本刊記者 曉輝

追溯萬兆產(chǎn)品的發(fā)展，早在 2006年已經(jīng)有廠商發(fā)布了相關產(chǎn)品，即在 2006年就已經(jīng)存在萬兆這種產(chǎn)品形態(tài)，但當時的市場需求還不明朗，對于萬兆產(chǎn)品的功能和性能的要求也與今天不盡相同。當時大家更看重萬兆產(chǎn)品的性能，主要指高吞吐量。但是今天，隨著互聯(lián)網(wǎng)發(fā)展的日益多元化和復雜化，僅僅對于吞吐量提出要求已遠遠不夠，如低延遲、深度防御等其他因素開始扮演著越來越重要的角色。就萬兆這個話題，記者采訪了東軟網(wǎng)絡安全營銷中心解決方案部部長徐松泉。

一、視頻影音時代來臨

網(wǎng)絡產(chǎn)品的更新?lián)Q代一定與整個互聯(lián)網(wǎng)大環(huán)境的發(fā)展息息相關，萬兆也不例外。今天互聯(lián)網(wǎng)上視頻和語音的流量越來越大，YouTube已經(jīng)成為僅次于Google和facebook的全球流量排名第三的網(wǎng)站；在國內(nèi)，土豆、優(yōu)酷、CNTV(中國網(wǎng)絡電視臺)等在線視頻網(wǎng)站也正大熱，人們改變了原來的從網(wǎng)上下載的視頻瀏覽習慣，更多地選擇在線觀看。徐松泉說到，P2P下載對網(wǎng)絡傳輸質(zhì)量的要求并不高，而在線視頻應用卻絕對要求網(wǎng)絡傳輸?shù)母哔|(zhì)量。美國、日本等國家已經(jīng)實現(xiàn)了真正意義上的高帶寬和低時延，能夠充分保障在線觀看的流暢。從我們國家的網(wǎng)絡基礎設施看，雖然目前還支持不了視頻流量占整個帶寬的百分之六七十這樣的比率，但可以看到，運營商們?yōu)榱诉m應人們對于互聯(lián)網(wǎng)應用的新需求正在積極“備戰(zhàn)”。未來絕大多數(shù)的互聯(lián)網(wǎng)應用是與視頻相關的，因此今天的運營商看重的不僅僅是帶寬，更看重數(shù)據(jù)傳輸?shù)馁|(zhì)量，同時需要面臨諸如低時延的挑戰(zhàn)。

其實不單是通信行業(yè)，交通、醫(yī)療、環(huán)保、金融等與人們生活緊密相關的其他行業(yè)也是如此。比如平安城市，徐松泉舉例說，一個城市可能有幾十萬甚至上百萬的監(jiān)控攝像頭，通過這些監(jiān)控攝像頭采集到的海量視頻數(shù)據(jù)被傳輸?shù)街笓]監(jiān)控中心，工作人員正是依據(jù)這些數(shù)據(jù)，進行分析并做出及時的響應和反饋。再比如近年來的熱詞之一——健康城市。試想，患者的血壓、心率等相關數(shù)據(jù)都將被實時地傳輸?shù)结t(yī)院，患者與醫(yī)生的溝通也將通過實時的視頻來實現(xiàn)。大量的影像、視頻、通訊會話數(shù)據(jù)的傳輸對網(wǎng)絡質(zhì)量，尤其是延遲，是非常敏感的。另外還有中國目前在建的很多云計算中心、IDC等等。這些都反映出，未來的互聯(lián)網(wǎng)數(shù)據(jù)將以實時數(shù)據(jù)、特別是實時的視頻數(shù)據(jù)為主。

二、新趨勢賦予“萬兆”的新使命

以上的種種對萬兆產(chǎn)品的發(fā)展提出了新的要求。徐松泉認為，首先不僅要求保障高帶寬，更要低時延。例如在線觀影，數(shù)據(jù)可能要經(jīng)過十幾個甚至更多的設備，如果每個防火墻的時延是幾十微秒，疊加起來就會出現(xiàn)很大的時延，嚴重影響視頻的流暢和觀影體驗。因此低時延是保障網(wǎng)絡傳輸質(zhì)量的關鍵。目前，東軟是惟一一家可以將萬兆產(chǎn)品的時延控制在5微秒以下的國內(nèi)廠商，法寶就是東軟核心的FPGA專利技術。據(jù)悉，該技術需要很長時間的技術積累，東軟從2004年開始研發(fā)FPGA技術，到現(xiàn)在已經(jīng)有7年的時間。所謂七年磨一劍，最終形成了今天的東軟萬兆和超萬兆(100G)的解決方案。高帶寬、高并發(fā)、低時延，該系列產(chǎn)品和解決方案在市場上試水一年，取得了不錯的成績。

其次，除了低時延和高帶寬，萬兆產(chǎn)品還需具備深度防御能力。徐松泉提到，解決這個問題的最好辦法就是多核架構。將協(xié)議級的深度檢測放在 8核甚至16核上運行，CPU就不會成為技術瓶頸，既保障了強大的深度防御能力，又能適應高帶寬的需求。據(jù)了解，東軟從兩個領域同時發(fā)力：2004年開始研發(fā)FPGA技術；2006年研究多核架構；2009年做到將兩個技術的深入融合；2010年正式對外發(fā)布了東軟NetEye集成安全網(wǎng)關(NISG)萬兆產(chǎn)品和相關解決方案，目的就在于充分滿足如運營商、IDC、高校等大型網(wǎng)絡環(huán)境用戶的部署需求。

另外一個亟待解決的關鍵問題是異常流量的監(jiān)控。如何在幾百G的巨型網(wǎng)絡環(huán)境下準確定位出異常流量攻擊，徐松泉給出的解釋是，東軟依靠其特有的 Flow采樣技術，可以通過東軟的超萬兆(100G)解決方案很快地找到攻擊源頭，再通過加載控制規(guī)則定點攔截、精確打擊攻擊流量。同時，利用東軟正在申請國際專利的 NEL技術還可以解決對互聯(lián)網(wǎng)音視頻核心協(xié)議的防護問題，如對SIP協(xié)議的防護，對H323協(xié)議的防護，對3G中最核心的GTP協(xié)議的防護等，有效地解決了互聯(lián)網(wǎng)面臨的基于音視頻協(xié)議攻擊的防護問題。除了提供最基本的防火墻等功能和基于協(xié)議的攻擊防御功能以外，東軟萬兆安全解決方案還具備DDoS攻擊防御、QoS保證、帶寬管理等功能，以及采用東軟多核、眾核的先進技術架構進行檢測，擁有萬兆甚至超萬兆的業(yè)界領先水平的深度防御檢測能力。

最后徐松泉還提到，東軟的萬兆解決方案采用平臺化的思路，將FPGA解決方案作為一個平臺，能以插件的形式與其他設備結(jié)合，將需要檢測的流量通過網(wǎng)絡設備直接引導到FPGA上做深度檢測，也可以與國內(nèi)、國際的合作伙伴開展深度合作，將10-100G的FPGA解決方案嵌入到設備中，令其在原有的功能基礎上具備強大的防火墻、IPS和DDoS防御等功能。

一個產(chǎn)品或者解決方案不能解決所有的安全問題，因為信息安全本來就不是一件能夠一勞永逸的事情。即使是擁有了如東軟集成安全網(wǎng)關(NISG)這樣40G的防火墻處理能力、8G的應用層處理能力的超級重型武器，也還是需要配合專業(yè)的信息安全服務(東軟同時也提供等保咨詢與規(guī)劃等專業(yè)信息安全服務)來充分填補安全縫隙，才能將信息安全真正做得徹底、做得面面俱到，做得萬無一失。