铁流:中科神威防火墙打破X86的垄断格局
2017-11-03 12:02:13
日前,主题为“中国芯·新动能”的第十二届中国集成电路产业促进大会在昆山隆重召开。2017年第十二届“中国芯”评选结果在大会现场揭晓。根据评选结果显示,采用自主CPU的产品应用——中科神威千兆线速防火墙获得最具创新应用产品殊荣。这既显示出自主CPU的产业生态在逐步完善,又显示出越来越多的应用厂商开始认可自主CPU。
防火墙是将内部网络和外部网络做安全隔离的设备,内外部网络间的所有数据流都必须经过防火墙进行访问控制。对于党政军和企业的信息安全而言,防火墙都有非常重要的意义。防火墙可以分为软件部分和硬件部分,软件分为专用操作系统和防火墙应用系统两个层面,而硬件上最关键的部分莫过于CPU了。
在软件上,国内很多防火墙厂商已经能够自己做了,已经实现了国产化,但在硬件部分最关键的CPU上,依然是采用国外的CPU。采用中国人自主设计CPU的防火墙少之又少。国产防火墙采用国外CPU,犹如花钱请洋人给中国的边防哨所站岗执勤,不仅非常尴尬,而且存在很多隐患。由于CPU是否自主化关系到防火墙的安全性能,采用X86芯片和国产软件的防火墙只能称为半自主可控。
本次在第12届“中国芯”评选评审会上,中科神威千兆线速防火墙NSFW-6000-L被授予最具创新应用产品。这款防火墙的最大特点是采用了中国自主研发的CPU——申威411。申威411采用国内自主设计的SW64指令集,采用境内40nm工艺,集成四个CPU核,主频1.4—1.6GHz,整数运算达每秒704亿次(@1.6GHz),双精浮点运算达每秒1024亿次(@1.6GHz),功耗为25-30W,具有双路PCI-E2.0×8接口,单链路带宽达5GBps。单独就芯片性能而言,与Intel的四核桌面CPU还是有不小的差距。但就性能来说,足以满足千兆线速防火墙的需求。何况网络安全设备主要看吞吐率、并发等参数,而不是单独比拼CPU的性能。
对于网络安全产品最重要的是安全产品本身是否安全,如果没有CPU的国产化与自主化,那么信息安全就无从谈起。由于中科神威千兆线速防火墙采用的是申威411CPU,因而在安全性上相对于采用X86 CPU的防火墙具有先天优势。
具体来说,由于申威CPU是基于SW64指令集,该指令集是由国内自主研发设计,和当年DEC的Alpha完全不是一回事。由于申威CPU的研发单位背景特殊,SW64指令集至今没有公开。不公开指令集虽然对软件生态建设非常不利,但这也使恶意攻击者无法编写针对申威处理器的shellcode,产品具备极高的自身安全性。
除了指令集自主研发设计,申威411的微结构也是自主研发设计的,从架构设计,到物理版图设计,全部在中国大陆自主完成。与国内一些ARM阵营IC设计公司购买ARM的IP授权,然后拿到台积电去流片完全不是一回事。微结构自主设计的最大好处是可以保证CPU里没有冗余模块,可以杜绝预留后门问题,或者说自己掌握CPU的后门。
相比之下,如果党政军单位使用的防火墙采用的是X86CPU,那么攻击者可以利用x86芯片的预置后门,或利用X86芯片的漏洞植入微码木马,或进行bypass攻击等方式,对党政军单位的安全设备进行攻击。事实上,通过X86CPU进行攻击并非危言耸听。在德国汉堡举行的第33界混沌通信大会上,安全技术公司PositiveTechnologies的研究员Maxim Goryachy和MarkErmolov就揭示了一种对Intel的X86平台进行完全控制的攻击方式,而且在整个过程中用户对此不会有任何察觉。
总而言之,相比传统X86平台产品,中科神威防火墙对溢出式攻击和恶意代码具有天然的免疫力,杜绝了‘后门’植入、“逻辑”炸弹等未知风险,可更好的保障网络安全。
中科神威防火墙除了具有非常高的安全性,在性能上可以比肩采用X86CPU的同类型商业产品。中科神威防火墙在千兆环境下可达小包100%线速,最大吞吐量达8Gbps,延时小于90us,并发连接接数为220万次,每秒新建链接达2.8万次。
单单就性能来说,申威411这款芯片与Intel的四核CPU还是有不小的差距的,但正如“神威太湖之光”超级计算机所采用的申威26010芯片,虽然在芯片制程工艺还暂时落后于美国Intel,但凭借出色的架构,无论在性能还是效率上都远超美国,已经连续三次蝉联全球超算榜首,中科神威千兆线速防火墙在CPU性能并不领先的条件下,通过软件的优化和系统级的适配,特别是中科网威公司创新的SW-DPDK算法,使得整机性能实现了小包(64字节)线速,这个意义十分重大,它标志着自主可控防火墙已经可以在千兆网络环境中完全替换基于X86的防火墙。
此外,在专用操作系统层面,中科神威防火墙采用的神威睿思操作系统,是与申威CPU专门定制的,可以达到相辅相成的作用,有点类似与电脑游戏里开BUFF的增益效果。在应用系统层面上,中科网威公司针对党政军的特殊应用需求,定制了很多一般商用防火墙所不具备的功能。
由此可见,中科神威防火墙不仅打破了基于国外处理器防火墙的垄断格局,可实现无缝替代传统X86平台防火墙,还在性能上可以达到比肩采用X86CPU防火墙的同类产品。加上在应用系统层面上针对党政军定制的特殊应用,这款防火墙非常适合军队、党政、国企等对安全性要求较高的用户使用。
必须指出的是,中科神威千兆线速防火墙采用的CPU——申威411是上海高性能集成电路设计中心在2014年前后推出的产品,在2016年底至2017年初,上海高性能集成电路设计中心成功研发出了申威421和申威1621两款芯片,申威421的总体性能与龙芯3A3000大致相当,在浮现性能上还略有胜出。而申威1621是一款16核CPU,采用28nm工艺,主频达到2G,双精浮点性能可以达到512G。根据相关单位测试,申威1621的性能明显优于国内某公司设计的集成了16个CortexA57 内核的CPU。在采用申威1621这款CPU之后,中科神威防火墙可以实现万兆线速。目前,适配工作正在进行中。
防火墙是将内部网络和外部网络做安全隔离的设备,内外部网络间的所有数据流都必须经过防火墙进行访问控制。对于党政军和企业的信息安全而言,防火墙都有非常重要的意义。防火墙可以分为软件部分和硬件部分,软件分为专用操作系统和防火墙应用系统两个层面,而硬件上最关键的部分莫过于CPU了。
在软件上,国内很多防火墙厂商已经能够自己做了,已经实现了国产化,但在硬件部分最关键的CPU上,依然是采用国外的CPU。采用中国人自主设计CPU的防火墙少之又少。国产防火墙采用国外CPU,犹如花钱请洋人给中国的边防哨所站岗执勤,不仅非常尴尬,而且存在很多隐患。由于CPU是否自主化关系到防火墙的安全性能,采用X86芯片和国产软件的防火墙只能称为半自主可控。
本次在第12届“中国芯”评选评审会上,中科神威千兆线速防火墙NSFW-6000-L被授予最具创新应用产品。这款防火墙的最大特点是采用了中国自主研发的CPU——申威411。申威411采用国内自主设计的SW64指令集,采用境内40nm工艺,集成四个CPU核,主频1.4—1.6GHz,整数运算达每秒704亿次(@1.6GHz),双精浮点运算达每秒1024亿次(@1.6GHz),功耗为25-30W,具有双路PCI-E2.0×8接口,单链路带宽达5GBps。单独就芯片性能而言,与Intel的四核桌面CPU还是有不小的差距。但就性能来说,足以满足千兆线速防火墙的需求。何况网络安全设备主要看吞吐率、并发等参数,而不是单独比拼CPU的性能。
对于网络安全产品最重要的是安全产品本身是否安全,如果没有CPU的国产化与自主化,那么信息安全就无从谈起。由于中科神威千兆线速防火墙采用的是申威411CPU,因而在安全性上相对于采用X86 CPU的防火墙具有先天优势。
具体来说,由于申威CPU是基于SW64指令集,该指令集是由国内自主研发设计,和当年DEC的Alpha完全不是一回事。由于申威CPU的研发单位背景特殊,SW64指令集至今没有公开。不公开指令集虽然对软件生态建设非常不利,但这也使恶意攻击者无法编写针对申威处理器的shellcode,产品具备极高的自身安全性。
除了指令集自主研发设计,申威411的微结构也是自主研发设计的,从架构设计,到物理版图设计,全部在中国大陆自主完成。与国内一些ARM阵营IC设计公司购买ARM的IP授权,然后拿到台积电去流片完全不是一回事。微结构自主设计的最大好处是可以保证CPU里没有冗余模块,可以杜绝预留后门问题,或者说自己掌握CPU的后门。
相比之下,如果党政军单位使用的防火墙采用的是X86CPU,那么攻击者可以利用x86芯片的预置后门,或利用X86芯片的漏洞植入微码木马,或进行bypass攻击等方式,对党政军单位的安全设备进行攻击。事实上,通过X86CPU进行攻击并非危言耸听。在德国汉堡举行的第33界混沌通信大会上,安全技术公司PositiveTechnologies的研究员Maxim Goryachy和MarkErmolov就揭示了一种对Intel的X86平台进行完全控制的攻击方式,而且在整个过程中用户对此不会有任何察觉。
总而言之,相比传统X86平台产品,中科神威防火墙对溢出式攻击和恶意代码具有天然的免疫力,杜绝了‘后门’植入、“逻辑”炸弹等未知风险,可更好的保障网络安全。
中科神威防火墙除了具有非常高的安全性,在性能上可以比肩采用X86CPU的同类型商业产品。中科神威防火墙在千兆环境下可达小包100%线速,最大吞吐量达8Gbps,延时小于90us,并发连接接数为220万次,每秒新建链接达2.8万次。
单单就性能来说,申威411这款芯片与Intel的四核CPU还是有不小的差距的,但正如“神威太湖之光”超级计算机所采用的申威26010芯片,虽然在芯片制程工艺还暂时落后于美国Intel,但凭借出色的架构,无论在性能还是效率上都远超美国,已经连续三次蝉联全球超算榜首,中科神威千兆线速防火墙在CPU性能并不领先的条件下,通过软件的优化和系统级的适配,特别是中科网威公司创新的SW-DPDK算法,使得整机性能实现了小包(64字节)线速,这个意义十分重大,它标志着自主可控防火墙已经可以在千兆网络环境中完全替换基于X86的防火墙。
此外,在专用操作系统层面,中科神威防火墙采用的神威睿思操作系统,是与申威CPU专门定制的,可以达到相辅相成的作用,有点类似与电脑游戏里开BUFF的增益效果。在应用系统层面上,中科网威公司针对党政军的特殊应用需求,定制了很多一般商用防火墙所不具备的功能。
由此可见,中科神威防火墙不仅打破了基于国外处理器防火墙的垄断格局,可实现无缝替代传统X86平台防火墙,还在性能上可以达到比肩采用X86CPU防火墙的同类产品。加上在应用系统层面上针对党政军定制的特殊应用,这款防火墙非常适合军队、党政、国企等对安全性要求较高的用户使用。
必须指出的是,中科神威千兆线速防火墙采用的CPU——申威411是上海高性能集成电路设计中心在2014年前后推出的产品,在2016年底至2017年初,上海高性能集成电路设计中心成功研发出了申威421和申威1621两款芯片,申威421的总体性能与龙芯3A3000大致相当,在浮现性能上还略有胜出。而申威1621是一款16核CPU,采用28nm工艺,主频达到2G,双精浮点性能可以达到512G。根据相关单位测试,申威1621的性能明显优于国内某公司设计的集成了16个CortexA57 内核的CPU。在采用申威1621这款CPU之后,中科神威防火墙可以实现万兆线速。目前,适配工作正在进行中。