可編程能力在新一代安全設(shè)備中的重要性

　　通過基于軟件的防火墻部署網(wǎng)絡(luò)安全的傳統(tǒng)方法，由于無法滿足時(shí)延與帶寬需求而無法擴(kuò)展。將賽靈思自適應(yīng)器件的靈活性及可配置性及其 IP 和工具產(chǎn)品相結(jié)合，能夠顯著提高安全處理性能。

　　概要

　　本白皮書探討了多種防火墻架構(gòu)，其中包括基于軟件與 NPU 的架構(gòu)，并且闡明了為什么新一代設(shè)計(jì)需要基于賽靈思自適應(yīng)器件的內(nèi)聯(lián)防火墻架構(gòu)。賽靈思 16nm FPGA 與 SoC以 及 7nm Versal?ACAP 能夠以硬化塊與軟 IP 的形式提供多種架構(gòu)組件，因此使其成為設(shè)計(jì)新一代安全設(shè)備的理想選擇。 這些 IP 包括高速 SerDes 和多速率接口 IP，例如硬化 MAC、PCIe ?接口與存儲(chǔ)器控制器。 此外，賽靈思器件還可以提供具備流分類軟搜索 IP 的業(yè)界一流存儲(chǔ)器架構(gòu)，使其成為網(wǎng)絡(luò)安全和防火墻應(yīng)用的最佳選擇。

　　介紹

　　本白皮書介紹了在企業(yè)與電信數(shù)據(jù)中心網(wǎng)絡(luò)中用作新一代防火墻 (NGFW) 的安全設(shè)備的功能、部署與架構(gòu)。賽靈思器件的靈活性與可配置性與其 IP 與工具產(chǎn)品相結(jié)合，能夠顯著提高用于威脅檢測(cè)與預(yù)防的網(wǎng)絡(luò)安全設(shè)備的性能，同時(shí)可以實(shí)現(xiàn)性能擴(kuò)展。此外，這些器件還可以助力實(shí)現(xiàn)即將面世的新一代安全技術(shù)，例如后量子加密 (PQC) 以及用于異常檢測(cè)的機(jī)器學(xué)習(xí) (ML) 技術(shù)。

　　由于企業(yè)網(wǎng)絡(luò)正在向基于策略與意圖的網(wǎng)絡(luò)轉(zhuǎn)型，因此流與策略可以定義有關(guān)流量的操作(路由、QoS、拋棄、標(biāo)記等)。此外，輸入流量所需的安全策略會(huì)根據(jù)網(wǎng)絡(luò)中流的性質(zhì)不斷變化。大多數(shù)流量需要根據(jù)狀態(tài)以動(dòng)態(tài)方式處理網(wǎng)絡(luò)流量。

　　基于端口的傳統(tǒng)防火墻可以提供基于邊界的保護(hù)，它可以根據(jù)數(shù)據(jù)包參數(shù)(如：IP 地址與 TCP/UDP 端口號(hào))過濾流量，因?yàn)閼?yīng)用感知僅在軟件中進(jìn)行處理，其無法進(jìn)行性能擴(kuò)展。NGFW 應(yīng)當(dāng)不但能夠識(shí)別和處理特定類別的流量，而且還應(yīng)當(dāng)能夠識(shí)別與應(yīng)用內(nèi)容相關(guān)的威脅。企業(yè)使用的眾多應(yīng)用允許端口跳變，采用非標(biāo)準(zhǔn)端口或者隱藏 SSL 隧道中的威脅，因此傳統(tǒng)的基于靜態(tài)端口的防火墻無法檢測(cè)出威脅與惡意軟件。

　　企業(yè)網(wǎng)絡(luò)防火墻

　　為確保企業(yè)辦公室之間的安全性，歷代網(wǎng)絡(luò)防火墻都部署在網(wǎng)絡(luò)邊緣，其聯(lián)網(wǎng)絡(luò)采用多種傳輸網(wǎng)技術(shù)，而且往往會(huì)采用同一個(gè)網(wǎng)絡(luò)流水線作為公共網(wǎng)。隨著基于策略的網(wǎng)絡(luò)的演進(jìn)發(fā)展以及軟件定義網(wǎng)絡(luò) (SDN) 與基于意圖的網(wǎng)絡(luò) (IBN) 的涌現(xiàn)，具有不同吞吐量與功能的防火墻在逐步部署到企業(yè)網(wǎng)絡(luò)的眾多不同位置。參見圖 1。

圖 1： 企業(yè)網(wǎng)絡(luò)的新一代防火墻

　　如圖 1所示，防火墻的作用已經(jīng)從企業(yè)網(wǎng)邊界擴(kuò)展到企業(yè)中的多個(gè)位置，如：連接企業(yè)總部與分支機(jī)構(gòu)，保護(hù)連接邊緣，或保護(hù)企業(yè)數(shù)據(jù)中心的流量不受企業(yè)訪問的影響。NGFW 能夠根據(jù)多種數(shù)據(jù)包參數(shù)(端口、 IP 地址、有效載荷內(nèi)容)或者根據(jù) L3-VPN 或 SSL/TLS 等加密技術(shù)檢測(cè)和阻止網(wǎng)段之間的威脅與惡意軟件。

　　防火墻部署與功能

　　安全設(shè)備負(fù)責(zé)檢查和分析來自企業(yè)網(wǎng)絡(luò)外部的所有流量。防火墻能夠部署到企業(yè)網(wǎng)絡(luò)的多個(gè)位置，如：企業(yè)不同部門之間的流量，或者通過由交換機(jī)和路由器組成的多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)從企業(yè)訪問進(jìn)入企業(yè)數(shù)據(jù)中心的流量。

　　安全設(shè)備 (NGFW) 可以內(nèi)聯(lián)部署，也能夠以旁路模式部署。這兩種模式的主要區(qū)別是內(nèi)聯(lián)模式直接連接到外部網(wǎng)絡(luò)端口，而旁路設(shè)備可以連接到交換機(jī)或路由器的分流器或鏡像端口。圖 2 顯示了網(wǎng)絡(luò)中的防火墻連接。雖然防火墻的功能大同小異，但是內(nèi)聯(lián)防火墻比旁路防火墻設(shè)備更復(fù)雜，同時(shí)性能也更強(qiáng)大。

　　部署到具體位置的防火墻的規(guī)模與功能在策略規(guī)則分配方面有所不同，但是某些基本功能(如：流量分類、緩沖等)保持不變。

圖 2： 企業(yè)的絡(luò)中的 NGFW

　　網(wǎng)絡(luò)節(jié)點(diǎn)或安全設(shè)備可以負(fù)責(zé)實(shí)現(xiàn)以下安全功能：

　　1. L2 安全 - 用于鏈路加密的 MACSec

　　2. L3 安全 - 來自用戶與其他網(wǎng)絡(luò)節(jié)點(diǎn)的 VPN 隧道

　　3. 無效流量的阻斷與過濾(基于協(xié)議與端口的過濾)

　　4. 傳入與傳流量的 TLS/SSL 加密/解密

　　5. 跨多個(gè)流量的異常檢測(cè)

　　6. 狀態(tài)模式匹配

　　7. 統(tǒng)計(jì)異常檢測(cè)

　　8. IP 分片

　　9. TCP 重組與排序

　　10. 基于正則表達(dá)式 (regex) 的簽名/內(nèi)容匹配

　　除了上述功能之外，新一代網(wǎng)絡(luò)安全產(chǎn)品也已經(jīng)開始實(shí)現(xiàn)用于網(wǎng)絡(luò)分析與惡意軟件預(yù)測(cè)的 ML 模型。此類模型不依賴基于簽名的傳統(tǒng)檢測(cè)功能。支持ML的防火墻可以收集遙測(cè)數(shù)據(jù)，而且可以在威脅出現(xiàn)之前提前部署安全策略。

　　上述功能的其中一部分是基本功能，是所有網(wǎng)絡(luò)節(jié)點(diǎn)(安全交換機(jī)與路由器)的組成部分，而且是在采用 ASIC 或可編程器件創(chuàng)建的已部署網(wǎng)絡(luò)交換機(jī)和路由器中實(shí)現(xiàn);其他功能(L3 及更高級(jí)功能)更加復(fù)雜，需要大量流量分類與處理操作。網(wǎng)絡(luò)協(xié)議層越高，流量處理的復(fù)雜性就越高。例如，層1(L1) 安全只需要幀級(jí)加密(如：OTN 傳輸有效載荷幀)，而且是采用批量加密協(xié)議 (AES-GCM) 在光網(wǎng)絡(luò)節(jié)點(diǎn)中實(shí)現(xiàn)。層 2(L2) 與層 3(L3) 需要在以太網(wǎng)與 IP 層面進(jìn)行數(shù)據(jù)包處理，其需要數(shù)據(jù)包級(jí)別的處理。層 4(L4) 與更高級(jí)別需要進(jìn)行內(nèi)容級(jí)安全處理，其中每個(gè) TCP 或 UDP 會(huì)話都包括多個(gè)以太網(wǎng)與 IP 數(shù)據(jù)包。一些L2 與 L3 安全功能可以在硬件器件(ASIC、ASSP、FPGA、SoC、ACAP 與 NPU)中輕松實(shí)現(xiàn)。此外，更高層的安全處理(L3 及以上)也需要對(duì)傳入流量進(jìn)行基于軟件的內(nèi)容處理，才能實(shí)現(xiàn)威脅檢測(cè)與清除。

　　由于新的接入網(wǎng)技術(shù)(5G 前傳、PON 與電纜)在過去幾年已經(jīng)大幅提高了吞吐量與流量，因此僅僅基于軟件流量處理的防火墻設(shè)備不足以滿足預(yù)期吞吐量下的性能與時(shí)延要求。

　　新一代防火墻的硬件架構(gòu)

　　由于防火墻需要處理和檢查所有的傳入流量，因此它們需要執(zhí)行以下操作：

　　● L2/L3 數(shù)據(jù)包處理

　　● L2/L3 安全功能

　　o LinkSec/MACSec

　　o L3-VPN/IPSec

　　● L4–L7 數(shù)據(jù)包處理與安全

　　圖 3 顯示為防火墻設(shè)計(jì)選項(xiàng)。

圖 3：防火墻的演進(jìn)發(fā)展：旁路與內(nèi)聯(lián)處理對(duì)比

　　低端防火墻設(shè)備(通常低于 10G)的設(shè)計(jì)可以采用網(wǎng)絡(luò)接口器件與 CPU。常見的網(wǎng)絡(luò)接口 (NIC) 器件(定制 ASIC、FPGA 或 ASSP)可以處理處理理傳入流量(以太網(wǎng)與 IP 數(shù)據(jù)包)，并且能夠執(zhí)行眾所周知的 L2 與 L3 功能，而更高層 (L4–L7)功能是由在 CPU 中運(yùn)行的軟件執(zhí)行。

　　中端防火墻能夠處理更高的吞吐量 (10G–50G)，其設(shè)計(jì)主要采用網(wǎng)絡(luò)接口器件與旁路安全處理器(安全 ASIC、NPU 或 FPGA)。由于只使用軟件的解決方案不能以更高的吞吐量對(duì)流量進(jìn)行分類和處理，因此旁路安全處理器可以用作 CPU 協(xié)處理器，以便卸載加密/解密、公開密鑰基礎(chǔ)設(shè)施(PKI)和/或狀態(tài)流量處理功能。雖然在這種架構(gòu)中可以將 ASIC 或 NPU 用作網(wǎng)絡(luò)接口，但是在中端防火墻中采用 FPGA 日漸流行，因?yàn)樗趦?nèi)聯(lián)模式下可以實(shí)現(xiàn)處理傳入流量所需的可擴(kuò)展性和靈活性，從而可以降低威脅檢測(cè)與預(yù)防方面的時(shí)延。

　　吞吐量達(dá)到 50G-400G 的新一代高端防火墻主要設(shè)計(jì)用于內(nèi)聯(lián)操作模式。在內(nèi)聯(lián)模式下，網(wǎng)絡(luò)接口器件需要更加智能，才能處理龐大流量，這涉及到對(duì)傳入和傳出數(shù)據(jù)包的更深入的檢查。此類接口器件也需要實(shí)現(xiàn)安全功能，如內(nèi)聯(lián) IPSec，其采用常用的加密協(xié)議與 TCP 級(jí)安全。這種架構(gòu)仍然采用 NPU 來實(shí)現(xiàn)具體的加密協(xié)議、PKI 和狀態(tài)處理。內(nèi)聯(lián)設(shè)備的流量分類需求在流量數(shù)量與復(fù)雜性以及針對(duì)高吞吐量流量采取的措施方面各不相同。因此，用于內(nèi)聯(lián)安全處理的可編程器件(如FPGA)是實(shí)現(xiàn)此類功能的理想選擇。與 NPU 相比，F(xiàn)PGA 在流量處理方面提供了顯著的時(shí)延降低和優(yōu)異的可擴(kuò)展性。此外，F(xiàn)PGA 目前還可以配置新一代存儲(chǔ)器接口和片上高帶寬存儲(chǔ)器 (HBM)，這對(duì)于存儲(chǔ)器密集型流量處理應(yīng)用非常有用。

　　將 FPGA 用作網(wǎng)絡(luò)安全的流量處理器

　　進(jìn)出安全設(shè)備(防火墻)的流量進(jìn)行多級(jí)別加密。L2 加密/解密 (MACSec) 是在鏈路層 (L2) 網(wǎng)絡(luò)節(jié)點(diǎn)(交換機(jī)與路由器)進(jìn)行處理。超出 L2(MAC 層)的處理通常包括更深層的解析、L3 隧道解密 (IPSec) 以及加密 SSL 流量與 TCP/UDP 流量的處理。數(shù)據(jù)包處理涉及傳入數(shù)據(jù)包的解析與分類以及高吞吐量 (25–400Gb/s) 的龐大流量 (1–20M) 的處理。由于需要大量計(jì)算資源(核心)，NPU 可以用于相對(duì)更高速率的數(shù)據(jù)包處理，但是無法實(shí)現(xiàn)低時(shí)延、高性能可擴(kuò)展流量處理，因?yàn)榱髁刻幚聿捎?MIPS/RISC 核心，而根據(jù)其可用性來調(diào)度此類核心難度很大。采用基于FPGA的安全設(shè)備可以有效消除基于 CPU 和 NPU 的架構(gòu)所帶來的上述限制。

　　安全設(shè)備的流量處理

　　流量處理是數(shù)據(jù)包處理的更高級(jí)別的抽象，因?yàn)橐粋€(gè)數(shù)據(jù)流是由類型相似的眾多數(shù)據(jù)包組成。流量處理包括以下主要組成部分：

　　● 數(shù)據(jù)包解析

　　● 數(shù)據(jù)包查找

　　o 路由查找

　　o 根據(jù)數(shù)據(jù)包字段采用通配符搜索的流量查找

　　● 數(shù)據(jù)包編輯

　　o 校驗(yàn)和計(jì)算

　　o 包頭封裝/解封

　　o 安全包頭封裝

　　賽靈思提供了采用高級(jí)抽象語言 P4 進(jìn)行數(shù)據(jù)包處理的工具，其可以實(shí)現(xiàn)數(shù)據(jù)包解析、分類、查找與數(shù)據(jù)包編輯功能。與基于 RTL 語言的實(shí)現(xiàn)相比，使用 P4 完成數(shù)據(jù)包處理可以在更高的抽象層實(shí)現(xiàn)。采用P4可以提高現(xiàn)有可編程FPGA架構(gòu)的靈活性，因?yàn)樗梢暂p松實(shí)現(xiàn)數(shù)據(jù)包解析、數(shù)據(jù)包編輯以及流量表?xiàng)l目的修改。

　　如圖 4 所示，P4 介紹可以采用 P4 編譯器編譯的并且映射在賽靈思 FPGA 中的數(shù)據(jù)包處理流水線架構(gòu)，其中采用了基本架構(gòu)組件。P4 語言定義數(shù)據(jù)包解析、查找(IPv4、IPv6 和其他數(shù)據(jù)包字段)以及數(shù)據(jù)包的編輯(逆解析)。P4定義的架構(gòu)可以直接應(yīng)用于安全處理流水線，如：IPSec安全關(guān)聯(lián) (SA)、安全策略 (SP) 查找以及進(jìn)/出流量的隧道處理實(shí)現(xiàn)。

圖 4： 基于 P4 的數(shù)據(jù)包處理流量分類與查找

　　數(shù)據(jù)包處理的三個(gè)主要組成部分包括：

　　數(shù)據(jù)包解析：來自多個(gè)應(yīng)用，訪問企業(yè)網(wǎng)絡(luò)與數(shù)據(jù)中心網(wǎng)絡(luò)不同節(jié)點(diǎn)所產(chǎn)生的流量需要針對(duì)具體流量類型分類。解析過程涉及眾多數(shù)據(jù)包參數(shù)的提取，其中包括 L2 包頭、L3 包頭以及來自數(shù)據(jù)包已知偏移量的字段。這些解析需求隨應(yīng)用不同以及數(shù)據(jù)包不同位置的簽名不同而變化。FPGA 的靈活架構(gòu)加上 P4 定義的解析器能夠滿足這些不斷變化的分類需求。

　　數(shù)據(jù)包查找：完成解析之后，需要根據(jù)流量的類型對(duì)數(shù)據(jù)包進(jìn)行分類。加密的數(shù)據(jù)包根據(jù)協(xié)議與安全包頭字段進(jìn)行解密處理。匹配操作模塊對(duì)數(shù)據(jù)包解析器模塊生成的搜索密鑰進(jìn)行查找，以實(shí)現(xiàn)目的地/操作分配。對(duì)于加密流量，秘鑰搜索包括安全關(guān)聯(lián)與安全策略的確定，它可以決定應(yīng)用于加密數(shù)據(jù)包的解密密鑰信息和策略。L2 加密數(shù)據(jù)包 (MACSec) 需要更簡單直接的查找，而更高層的加密查找可能更加復(fù)雜，具有更寬泛的密鑰與結(jié)果值。圖5 介紹了 MACSec、IPSec 和 TCP 協(xié)議的查找示例。查找次數(shù)隨網(wǎng)絡(luò)節(jié)點(diǎn)變化，不過某些情況下一些流量類別需要多層查找。

圖 5： L2/L3/L4 安全實(shí)現(xiàn)方案查找示例

　　上述查找特定于安全處理。此外，防火墻也可以針對(duì)路由器功能、網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 以及傳入流量的策略(或訪問控制)查找實(shí)現(xiàn)附加查找。

　　以下安全與網(wǎng)絡(luò)查找類別包括精確匹配、最長前綴匹配 (LPM) 和通配符搜索，其采用由包頭字段組成的密鑰：

　　● 路由查找

　　● NAT 查找

　　● 采用多個(gè)字段的流量分類

　　如圖 6 所示，數(shù)據(jù)包處理查找可分為三類，有各自的表和密鑰大小要求。

圖 6： 采用基于 FPGA 的安全設(shè)備進(jìn)行查找

　　賽靈思的 IP 產(chǎn)品組合包括用于二進(jìn)制匹配、通配符三元匹配和最長前綴匹配的搜索 IP。這些搜索 IP 可以靈活組合，以適應(yīng)所有采用片上 SRAM 與 DRAM (HBM) 的賽靈思 FPGA。這三類搜索 IP 全部支持 100Mb/s 至 400Gb/s 吞吐量。

　　秘鑰寬度、結(jié)果寬度和表內(nèi)的條目數(shù)量可以決定 FPGA 所用片上邏輯資源和存儲(chǔ)器 (SRAM/DRAM) 的數(shù)量。由于賽靈思擁有具有不同資源(邏輯/存儲(chǔ)器)數(shù)量的廣泛器件類別，因此用戶能夠針對(duì)其吞吐量與表大小要求選擇具有適當(dāng)資源的賽靈思器件。此外，查找 IP 配備用于修改和更新流量表?xiàng)l目的應(yīng)用層軟件 API。

　　數(shù)據(jù)包編輯：安全處理涉及在完成解析、包頭查找和過濾之后將修改后的加密或解密數(shù)據(jù)包發(fā)送到出站端口。傳出流量包括修改后的新包頭、更新后的數(shù)據(jù)包字段、認(rèn)證包頭以及糾錯(cuò)字段。部分常見數(shù)據(jù)包處理需求包括：

　　● 更改 L2/L3 包頭 (MAC/VLAN/IPv4/IPv6)

　　● 創(chuàng)建與更新安全 (MACSec/IPSec) 包頭

　　● 更新 IP 包頭校驗(yàn)和

　　● 更新 TCP 校驗(yàn)和

　　● 更新以太網(wǎng) CRC

　　● 更新認(rèn)證字段

　　圖7 顯示了用于 MACSec 和 IPSec 的數(shù)據(jù)包編輯/修改操作。在通過出站端口發(fā)送數(shù)據(jù)包之前，可能需要對(duì)包頭字段進(jìn)行多次修改，這包括校驗(yàn)和與 CRC 的計(jì)算與插入。除了標(biāo)準(zhǔn)包頭，數(shù)據(jù)包通常還包括專用包頭，而且也可能需要采用不同的協(xié)議包頭(VXLAN、IP in IP、GRE 等)對(duì)數(shù)據(jù)包進(jìn)行封裝與解封。賽靈思可編程器件能夠在線路速率下以最大靈活性實(shí)現(xiàn)數(shù)據(jù)包修改。

圖 7：MACSec 與 IPSec 數(shù)據(jù)包重寫

　　此外，賽靈思器件還提供 P4 可編程能力，因此也可以采用 P4 實(shí)現(xiàn)數(shù)據(jù)包重寫操作。與 RTL 實(shí)現(xiàn)方案相比，P4 逆解析器功能能夠進(jìn)一步簡化包頭的創(chuàng)建與插入。為在賽靈思器件上以線路速率運(yùn)行，可以使用賽靈思 P4 編譯器合成 P4 編輯器代碼。

　　對(duì)于應(yīng)用層安全實(shí)現(xiàn)，對(duì)數(shù)據(jù)包重寫操作的需求更加復(fù)雜。例如，如果 TCP 數(shù)據(jù)包在 FPGA 內(nèi)終止，則會(huì)話追蹤與封裝/解封需求會(huì)比 IPSec 或 MACSec 數(shù)據(jù)包修改需求需要更多的邏輯與存儲(chǔ)器資源。

　　此外，數(shù)據(jù)包修改任務(wù)也可以在軟件(運(yùn)行 CPU 核心)中執(zhí)行，但是高端安全設(shè)備所需的吞吐量無法通過軟件實(shí)現(xiàn)方案滿足線路速率操作。在可編程硬件中執(zhí)行數(shù)據(jù)包處理操作的另一個(gè)關(guān)鍵優(yōu)勢(shì)是可以節(jié)省大量的 CPU 資源(CPU 核心)，節(jié)省下來的資源可以分配給軟件中運(yùn)行的實(shí)際應(yīng)用。

　　FPGA 中的應(yīng)用級(jí)安全處理

　　FPGA 是新一代防火墻內(nèi)聯(lián)安全處理的理想選擇，這是因?yàn)椴捎?FPGA 可以成功滿足對(duì)更高性能、靈活性和低時(shí)延操作的需求。此外，F(xiàn)PGA 還可以實(shí)現(xiàn)應(yīng)用級(jí)安全功能，從而進(jìn)一步節(jié)省計(jì)算資源并提高性能。

　　FPGA 中有關(guān)應(yīng)用安全處理的常見示例包括：

　　● TTCP 卸載引擎

　　● 正則表達(dá)式匹配

　　● 非對(duì)稱加密 (PKI) 處理

　　● TLS 處理

　　由于眾多用戶空間應(yīng)用采用 TCP 作為客戶端或服務(wù)器模式下的通信協(xié)議，并且 TCP 是客戶端與服務(wù)器之間的安全 (TLS/SSL) 連接基本塊，因此 TCP 卸載引擎 (TOE) 是用于內(nèi)聯(lián) FPGA 處理的重要卸載塊。企業(yè)防火墻通常同時(shí)終止大量 TCP 連接，這將消耗大量的 CPU 周期與存儲(chǔ)器。為了實(shí)現(xiàn)應(yīng)用級(jí)安全處理，可能需要采用擁有大量核心的昂貴的高端 CPU 來終止眾多 TCP/UDP 連接。FPGA 中的 TCP 處理實(shí)現(xiàn)方案通過節(jié)省眾多實(shí)現(xiàn) TOE 所需的內(nèi)核，能夠顯著節(jié)約成本和功耗。

　　圖 8 顯示了安全設(shè)備中由 FPGA 輔助完成數(shù)據(jù)包處理的示例。由于進(jìn)入防火墻網(wǎng)絡(luò)接口的數(shù)據(jù)包可能屬于眾多不同的應(yīng)用，因此追蹤與多個(gè)應(yīng)用關(guān)聯(lián)的數(shù)據(jù)包，并將其發(fā)送到正確應(yīng)用或者在正確應(yīng)用進(jìn)行接收是一種需要占用大量存儲(chǔ)器的狀態(tài)化操作。此外，上述關(guān)聯(lián)還需要對(duì) TCP 段進(jìn)進(jìn)行重新排序、分段和重組。雖然仍然可以采用 CPU 處理協(xié)議消息的新連接請(qǐng)求與認(rèn)證，但是 FPGA 可以追蹤活動(dòng)會(huì)話并且根據(jù)會(huì)話 ID 將數(shù)據(jù)包分配給相關(guān)應(yīng)用。

圖 8：采用 FPGA進(jìn)行應(yīng)用級(jí)狀態(tài)處理

　　FPGA 中的 TLS 卸載/處理

　　FPGA 的 TLS 處理功能是 TCP 卸載引擎的擴(kuò)展，其中 TCP 有效載荷的加密與解密在 FPGA 中執(zhí)行。TSL 會(huì)話的發(fā)起與認(rèn)證在軟件中執(zhí)行(CPU)。在建立安全連接時(shí)，由 FPGA 執(zhí)行后續(xù)的 TLS 記錄處理。

　　圖 9 顯示了在賽靈思器件中作為 CPU 卸載的完整內(nèi)聯(lián) SSL 處理功能的組件。賽靈思器件可以實(shí)現(xiàn)整個(gè)邏輯，以處理 100G 以太網(wǎng)接口數(shù)據(jù)包。它可以識(shí)別 TCP 與 TLS 流，并且相應(yīng)地將數(shù)據(jù)包引導(dǎo)到相關(guān) CPU 或者采用可編程資源進(jìn)行處理。

圖 9：FPGA 中的 TLS 卸載

　　FPGA 中的正則表達(dá)式 (Regex)

　　正則表達(dá)式 (regex) 涉及流量的有效載荷數(shù)據(jù)中字符串或特殊字符的匹配。它廣泛應(yīng)用于 DPI、IPS/IDS、DLP 和 DDoS 防護(hù)。Regex 匹配通常是在軟件中執(zhí)行，其采用專用軟件庫。由于 regex 搜索需要針對(duì)眾多規(guī)則對(duì)有效載荷進(jìn)行匹配，因此純軟件 regex 處理給新一代安全設(shè)備帶來了性能與時(shí)延挑戰(zhàn)。

　　圖 10 說明了采用賽靈思器件的 100Gb/s 內(nèi)聯(lián) regex 處理。在此 regex 加速處理模型中，Perl 兼容正則表達(dá)式 (PCRE) 或 Snort 規(guī)則首先在軟件編譯器中進(jìn)行編譯，然后通過 PCI 接口發(fā)送到與 CPU 連接的 FPGA，作為二進(jìn)制字符串匹配規(guī)則條目保存到 FPGA 的內(nèi)部 SRAM 或DRAM(HBM 或 DDR)存儲(chǔ)器。FPGA 會(huì)在內(nèi)部 SRAM 或 DRAM (片上 HBM 或外部 DDR)中填充大量 regex 規(guī)則/條目(轉(zhuǎn)換成二進(jìn)制的特殊字符與字的組合)。regex 處理的內(nèi)聯(lián)加速與軟件相比可以顯著提高性能(10-30 倍)。

圖 10：FPGA 中的 Regex 匹配

　　基于 FPGA 的安全設(shè)備中的機(jī)器學(xué)習(xí) (ML)

　　在新一代安全設(shè)備中，基于 ML 的流量分析與惡意軟件檢測(cè)是關(guān)鍵應(yīng)用之一。ML 模型將會(huì)被部署用于通過分析加密數(shù)據(jù)中的特定模式而實(shí)現(xiàn)的加密流量檢測(cè)。在高端安全設(shè)備中，則需要采用 ML 模型處理海量實(shí)時(shí)數(shù)據(jù)，以便預(yù)測(cè)異常，因此采用加速器實(shí)現(xiàn) ML 模型將給高吞吐量與低時(shí)延惡意軟件預(yù)測(cè)帶來巨大優(yōu)勢(shì)。防火墻已經(jīng)開始在軟件中部署用于異常檢測(cè)的 ML 模型。在新一代設(shè)備中，賽靈思可編程器件將會(huì)通過將 ML 模型卸載到可編程邏輯而提供顯著提高的預(yù)測(cè)速度。

　　此類基于 FPGA 的 ML 模型包括：

　　● 隨機(jī)樹(隨機(jī)森林)

　　● 深度神經(jīng)網(wǎng)絡(luò) (DNN)

　　o 多層感知機(jī) (MLP) 或卷積神經(jīng)網(wǎng)絡(luò) (CNN)

　　推斷模型的選擇取決于多種因素，如：準(zhǔn)確性、輸入模式改變頻率、訓(xùn)練需求、FPGA 資源利用率等。

　　賽靈思 ML 解決方案包括支持大多數(shù)常用 ML 框架的軟件庫與工具。這些模型可以高效映射到賽靈思可編程器件以及 Versal ACAP 所提供的 AI 引擎中的查找表 (LUT)、DSP 與 SRAM/DRAM 存儲(chǔ)器。

　　針對(duì) FPGA 中安全分析功能實(shí)現(xiàn) ML 模型的另一個(gè)優(yōu)勢(shì)是惡意軟件預(yù)測(cè)所需要的內(nèi)聯(lián)流量/數(shù)據(jù)包處理可以在同一個(gè) FPGA 中執(zhí)行。在 ML 模型的內(nèi)聯(lián)實(shí)現(xiàn)方案中，將網(wǎng)絡(luò)接口連接到同一個(gè) FPGA 可以節(jié)省從 CPU 向 ML 模型發(fā)送數(shù)據(jù)所需的 PCIe? 帶寬。

　　圖 11 顯示了 ML 模型在 200Gb/s 防火墻中的應(yīng)用。TLS 處理器具有 TSL 解析器以及 IP 數(shù)據(jù)報(bào)中 TLS 參數(shù)提取功能。隨后，這些參數(shù)反饋給 ML<5018/> 處理器，以便查找和調(diào)節(jié) ML 模型的系數(shù)。根據(jù)相關(guān)系數(shù)，模型可以預(yù)測(cè) TSL 流量的善意與惡意簽名。

圖 11：安全設(shè)備中的 ML 模型

　　采用 FPGA 的新一代安全技術(shù)

　　后量子加密

　　眾多現(xiàn)有的非對(duì)稱算法容易受到量子計(jì)算機(jī)的破壞。對(duì)量子計(jì)算安全加密算法的研究和實(shí)現(xiàn)已經(jīng)起步，而已經(jīng)有學(xué)術(shù)論文介紹了如何采用 FPGA 實(shí)現(xiàn)此類算法。RSA-2K、RSA-4K、ECC-256、DH 和 ECCDH 等非對(duì)稱安全算法受到量子計(jì)算技術(shù)的影響最大。目前正在探討新的非對(duì)稱算法實(shí)現(xiàn)方案和 NIST 標(biāo)準(zhǔn)化。

　　目前提議的后量子加密(PQC)包括針對(duì)以下方面的環(huán)上誤差學(xué)習(xí) (R- LWE) 算法：

　　● 公共密鑰加密 (PKC)

　　● 數(shù)字簽名

　　● 密鑰創(chuàng)建

　　提議的公共密鑰加密的實(shí)現(xiàn)方案包括某些眾所周知的數(shù)學(xué)運(yùn)算(TRNG、高斯噪聲采樣器、多項(xiàng)式加法、二進(jìn)制多項(xiàng)式定標(biāo)器除法、乘法等)。用于眾多此類算法的 FPGA IP 已經(jīng)面世或者可以采用 FPGA 構(gòu)建塊高效實(shí)現(xiàn)，如：現(xiàn)有的和新一代賽靈思器件中的 DSP 與 AI 引擎。

　　安全訪問服務(wù)邊緣 (SASE)

　　安全訪問服務(wù)邊緣 (SASE) 是新興的新一代企業(yè)安全技術(shù)，旨在滿足企業(yè)的動(dòng)態(tài)安全訪問需求。SASE 的早期定義在企業(yè)邊緣集成自適應(yīng)網(wǎng)絡(luò)與安全需求，其中包括 SD-WAN、軟件與物理防火墻以及網(wǎng)絡(luò)安全網(wǎng)關(guān)。SASE 需要采用動(dòng)態(tài)安全策略更新來提供對(duì)聯(lián)網(wǎng)應(yīng)用的不間斷安全訪問。

　　采用 FPGA 在硬件中實(shí)現(xiàn) SASE 剛剛起步，不過，由于 FPGA 具有全面的可編程能力，因此它們?nèi)匀荒軌蛲ㄟ^ L2/L3/L4 加密技術(shù)和上述其他技術(shù)在流量處理以及動(dòng)態(tài)安全連接流水線的提供方面起到重要作用。

　　用于安全設(shè)備的賽靈思工具與 IP

　　賽靈思器件具有高性能可編程資源以及業(yè)界一流的工具與 IP，是設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)流量安全處理的理想選擇。它們可以提供最高數(shù)據(jù)與信號(hào)處理能力，以及最新的多速率高吞吐能力。SerDes 用于符合最新接口標(biāo)準(zhǔn)的設(shè)計(jì)，其中包括 1G-400G 以太網(wǎng)、600G Interlaken 以及高達(dá) 400G PCIe 吞吐量。此外，賽靈思器件還提供注冊(cè)裸片間路由線路，可支持高達(dá) 600MHz 可編程邏輯運(yùn)算。

　　除了基本的高性能設(shè)計(jì)資源，賽靈思還提供用于安全處理的多種設(shè)計(jì) IP。這些可編程 IP 包括 MAC 接口、用于向/從主機(jī)傳輸數(shù)據(jù)的高速 DMA、用于流量分類與路由的搜索 IP(BCAM、TCAM 與 STCAM)以及使用 AES-GCM 密碼進(jìn)行批量加密的片上 HBM 和/或 DDR 存儲(chǔ)器接口與軟加密引擎 (SCE)。

　　此外，賽靈思還擁有合作伙伴生態(tài)系統(tǒng)，其可以提供采用多種密碼協(xié)議的批量加密端到端解決方案，以及使用大多數(shù)常見密鑰交換(ECCDH、RSA-2K、RSA-4K 等)進(jìn)行非對(duì)稱加密的 IP。除了來自合作伙伴的基礎(chǔ)級(jí)標(biāo)準(zhǔn)加密 IP 之外，賽靈思目前還在與合作伙伴合作實(shí)現(xiàn)高級(jí) (L4+) 安全 IP，其中包括：

　　● 帶有大量活動(dòng)會(huì)話的 TCP 卸載引擎

　　● 內(nèi)聯(lián) SSL 卸載參考設(shè)計(jì)

　　● 應(yīng)用級(jí)安全卸載(5G L2 加速)

　　● 10K+ IPSec 會(huì)話數(shù)據(jù)包處理

　　賽靈思的最新器件 (Versal? Premium ACAP)配備有硬化高速加密引擎 (HSC)，可用作加密引擎，實(shí)現(xiàn)基于 AES-GCM 協(xié)議的高達(dá) 400Gb/s 的 MACSec、IPSec 或 SSL 處理。每個(gè) HSC 引擎都能夠以 1x400G、2x200G 或 4x100G 通道化模式支持 MACSec、IPSec 和任何其他批量加密需求，每 100G 最多支持 128 個(gè)安全關(guān)聯(lián) (SA)。采用可編程邏輯可以實(shí)現(xiàn)其他SA。

　　總結(jié)

　　由于通信網(wǎng)絡(luò)(邊緣、接入和核心網(wǎng))正在向具有應(yīng)用級(jí)政策感知功能的更高性能轉(zhuǎn)型，對(duì)更高吞吐量的安全處理的需求已經(jīng)大幅增加。此外，隨著接入技術(shù)的升級(jí)以及 5G 接入技術(shù) (xHaul)、新一代 PON 和有線網(wǎng)絡(luò)的部署，接入網(wǎng)絡(luò)的設(shè)備數(shù)量會(huì)以指數(shù)方式增長。新一代網(wǎng)絡(luò)安全設(shè)備需要具備 2~4 倍吞吐量，用于 L2 (MACSec) 安全與 L3 (IPSec) 安全處理。此外，新一代網(wǎng)絡(luò)會(huì)更多依賴意圖與策略，因此對(duì)高吞吐量應(yīng)用級(jí)安全處理(L4-L7 安全)的需求已經(jīng)顯著增加。高吞吐量應(yīng)用安全實(shí)現(xiàn)方案需要高吞吐量數(shù)據(jù)包處理，以及用于加密需求的大量計(jì)算資源。純軟件應(yīng)用安全實(shí)現(xiàn)方案無法滿足對(duì)性能與時(shí)延的期望。對(duì)于 5G 低時(shí)延應(yīng)用來說，時(shí)延需求更加重要，因此，采用可編程加速器作為內(nèi)聯(lián)安全處理器在新一代安全設(shè)備中的重要性日益突出。

　　在新一代防火墻中采用賽靈思器件不僅可以解決吞吐量和時(shí)延問題，其他優(yōu)勢(shì)還包括助力新技術(shù)的實(shí)現(xiàn)，如：機(jī)器學(xué)習(xí) (ML) 模型、安全訪問服務(wù)邊緣 (SASE) 和后量子加密 (PQC)。賽靈思器件可以為面向這些技術(shù)的硬件加速提供理想平臺(tái)，因?yàn)閮H用軟件實(shí)現(xiàn)方案無法滿足性能需求。賽靈思正在針對(duì)現(xiàn)有的和新一代網(wǎng)絡(luò)安全解決方案不斷開發(fā)和升級(jí)IP、工具、軟件以及參考設(shè)計(jì)。

（轉(zhuǎn)載）