铁流:中科神威防火墙打破X86的垄断格局

日前,主题为“中国芯·新动能”的第十二届中国集成电路产业促进大会在昆山隆重召开。2017年第十二届“中国芯”评选结果在大会现场揭晓。根据评选结果显示,采用自主CPU的产品应用——中科神威千兆线速防火墙获得最具创新应用产品殊荣。这既显示出自主CPU的产业生态在逐步完善,又显示出越来越多的应用厂商开始认可自主CPU。

铁流:中科神威防火墙打破X86的垄断格局

铁流:中科神威防火墙打破X86的垄断格局


国产防火墙大多采用X86 CPU

防火墙是将内部网络和外部网络做安全隔离的设备,内外部网络间的所有数据流都必须经过防火墙进行访问控制。对于党政军和企业的信息安全而言,防火墙都有非常重要的意义。防火墙可以分为软件部分和硬件部分,软件分为专用操作系统和防火墙应用系统两个层面,而硬件上最关键的部分莫过于CPU了。

在软件上,国内很多防火墙厂商已经能够自己做了,已经实现了国产化,但在硬件部分最关键的CPU上,依然是采用国外的CPU。采用中国人自主设计CPU的防火墙少之又少。国产防火墙采用国外CPU,犹如花钱请洋人给中国的边防哨所站岗执勤,不仅非常尴尬,而且存在很多隐患。由于CPU是否自主化关系到防火墙的安全性能,采用X86芯片和国产软件的防火墙只能称为半自主可控。

本次在第12届“中国芯”评选评审会上,中科神威千兆线速防火墙NSFW-6000-L被授予最具创新应用产品。这款防火墙的最大特点是采用了中国自主研发的CPU——申威411。申威411 采用国内自主设计的SW64指令集,采用境内40nm工艺,集成四个CPU核,主频1.4—1.6GHz,整数运算达每秒704亿次(@1.6GHz),双精浮点运算达每秒1024亿次(@1.6GHz),功耗为25-30W,具有双路PCI-E 2.0 ×8接口,单链路带宽达5GBps。单独就芯片性能而言,与Intel的四核桌面CPU还是有不小的差距。但就性能来说,足以满足千兆线速防火墙的需求。何况网络安全设备主要看吞吐率、并发等参数,而不是单独比拼CPU的性能。

铁流:中科神威防火墙打破X86的垄断格局


采用申威CPU的防火墙具有更高的安全性

对于网络安全产品最重要的是安全产品本身是否安全,如果没有CPU的国产化与自主化,那么信息安全就无从谈起。由于中科神威千兆线速防火墙采用的是申威411 CPU,因而在安全性上相对于采用X86 CPU的防火墙具有先天优势。

具体来说,由于申威CPU是基于SW64指令集,该指令集是由国内自主研发设计,和当年DEC的Alpha完全不是一回事。由于申威CPU的研发单位背景特殊,SW64指令集至今没有公开。不公开指令集虽然对软件生态建设非常不利,但这也使恶意攻击者无法编写针对申威处理器的shellcode,产品具备极高的自身安全性。

除了指令集自主研发设计,申威411的微结构也是自主研发设计的,从架构设计,到物理版图设计,全部在中国大陆自主完成。与国内一些ARM阵营IC设计公司购买ARM的IP授权,然后拿到台积电去流片完全不是一回事。微结构自主设计的最大好处是可以保证CPU里没有冗余模块,可以杜绝预留后门问题,或者说自己掌握CPU的后门。

相比之下,如果党政军单位使用的防火墙采用的是X86 CPU,那么攻击者可以利用x86芯片的预置后门,或利用X86芯片的漏洞植入微码木马,或进行bypass攻击等方式,对党政军单位的安全设备进行攻击。事实上,通过X86 CPU进行攻击并非危言耸听。在德国汉堡举行的第33界混沌通信大会上,安全技术公司Positive Technologies的研究员Maxim Goryachy和Mark Ermolov就揭示了一种对Intel的X86平台进行完全控制的攻击方式,而且在整个过程中用户对此不会有任何察觉。

总而言之,相比传统X86平台产品,中科神威防火墙对溢出式攻击和恶意代码具有天然的免疫力,杜绝了‘后门’植入、“逻辑”炸弹等未知风险,可更好的保障网络安全。

铁流:中科神威防火墙打破X86的垄断格局


中科神威防火墙性能不输于X86防火墙

中科神威防火墙除了具有非常高的安全性,在性能上可以比肩采用X86 CPU的同类型商业产品。中科神威防火墙在千兆环境下可达小包100%线速,最大吞吐量达8Gbps,延时小于90us,并发连接接数为220万次,每秒新建链接达2.8万次。

单单就性能来说,申威411这款芯片与Intel的四核CPU还是有不小的差距的,但正如“神威太湖之光”超级计算机所采用的申威26010芯片,虽然在芯片制程工艺还暂时落后于美国Intel,但凭借出色的架构,无论在性能还是效率上都远超美国,已经连续三次蝉联全球超算榜首,中科神威千兆线速防火墙在CPU性能并不领先的条件下,通过软件的优化和系统级的适配,特别是中科网威公司创新的SW-DPDK算法,使得整机性能实现了小包(64字节)线速,这个意义十分重大,它标志着自主可控防火墙已经可以在千兆网络环境中完全替换基于X86的防火墙。

此外,在专用操作系统层面,中科神威防火墙采用的神威睿思操作系统,是与申威CPU专门定制的,可以达到相辅相成的作用,有点类似与电脑游戏里开BUFF的增益效果。在应用系统层面上,中科网威公司针对党政军的特殊应用需求,定制了很多一般商用防火墙所不具备的功能。

由此可见,中科神威防火墙不仅打破了基于国外处理器防火墙的垄断格局,可实现无缝替代传统X86平台防火墙,还在性能上可以达到比肩采用X86 CPU防火墙的同类产品。加上在应用系统层面上针对党政军定制的特殊应用,这款防火墙非常适合军队、党政、国企等对安全性要求较高的用户使用。

铁流:中科神威防火墙打破X86的垄断格局


中科神威万兆线速防火墙或将问世

必须指出的是,中科神威千兆线速防火墙采用的CPU——申威411是上海高性能集成电路设计中心在2014年前后推出的产品,在2016年底至2017年初,上海高性能集成电路设计中心成功研发出了申威421和申威1621两款芯片,申威421的总体性能与龙芯3A3000大致相当,在浮现性能上还略有胜出。而申威1621是一款16核CPU,采用28nm工艺,主频达到2G,双精浮点性能可以达到512G。根据相关单位测试,申威1621的性能明显优于国内某公司设计的集成了16个Cortex A57 内核的CPU。在采用申威1621这款CPU之后,中科神威防火墙可以实现万兆线速。目前,适配工作正在进行中。

猜你感兴趣

更多 >>

评论

评 论

热门评论

5楼sghgn

4楼 lesfigo
这个适用党政机关军队涉密部门,民用基本是86构架,用不了,而且普通涉密部门还是用的WINDOS系统,一样没法用,要想打破美国垄断太难,不是难在技术,而是难在生态圈建设。打个比方简单地说:全世办都是220伏电压,你研发出一个很先进的300伏的电压系统,虽然很先进,但全球标准不和你一样,用途就很狭小。西方企业有句话:三流企业卖产品,二流企业卖技术,一流企业卖标准是条真理,微软,英特尔的强大不在于产品有多逆天,而在于以万计的标准和专利陷阱,让你绕不开躲不过,自己另起炉烘成本又是天文数字,还得看市场接不接受。
理是这个理,不只是操作系统,还有各种通用的行业应用软件,无论是办公系统、编程软件、平面设计、影音编辑、3D游戏、建筑设计等等,基本都是美国的公司垄断。但再难也得做,这是关系到国家未来的大事,当然也必须靠国家集中精力办大事才能做成。好在我们国家本身是全世界工业门类最齐全的国家,现在各行各业都离不开计算机、都在向自动化、智能化、人工智能的方向转变,这就是说,我们具备了一块面积稍小,但气候齐全的土壤。这就有利于我们打造出一个小型而又齐全的生态圈,然后再移栽到世界其它土壤。我们可以先从最高最低两端入手,高端是指那些非常专业的应用领域,甚至是一例一用的,做一套卖一套,不依赖生态圈生存的,比如像是给超级计算机设计的操作系统和专门应用软件。低端就是指像广大农村这样的普通老百姓的需求这一块。正如近十年来,我们国家持续推广的家电三下乡活动,活活是把日韩的家电挤出了中国市场,可以类似来个电脑三下乡嘛,反正这些普通老板姓的需求就普通的上上网,没有那么多专业需求。用国产CPU、操作系统也可以满足了,如此再来一次“农村包围城市”,我觉得此事可期。

硬件软件一个都不能少,看到中国每一个领域的突破都很高兴。

4楼 lesfigo
这个适用党政机关军队涉密部门,民用基本是86构架,用不了,而且普通涉密部门还是用的WINDOS系统,一样没法用,要想打破美国垄断太难,不是难在技术,而是难在生态圈建设。打个比方简单地说:全世办都是220伏电压,你研发出一个很先进的300伏的电压系统,虽然很先进,但全球标准不和你一样,用途就很狭小。西方企业有句话:三流企业卖产品,二流企业卖技术,一流企业卖标准是条真理,微软,英特尔的强大不在于产品有多逆天,而在于以万计的标准和专利陷阱,让你绕不开躲不过,自己另起炉烘成本又是天文数字,还得看市场接不接受。
5楼 sghgn
理是这个理,不只是操作系统,还有各种通用的行业应用软件,无论是办公系统、编程软件、平面设计、影音编辑、3D游戏、建筑设计等等,基本都是美国的公司垄断。但再难也得做,这是关系到国家未来的大事,当然也必须靠国家集中精力办大事才能做成。好在我们国家本身是全世界工业门类最齐全的国家,现在各行各业都离不开计算机、都在向自动化、智能化、人工智能的方向转变,这就是说,我们具备了一块面积稍小,但气候齐全的土壤。这就有利于我们打造出一个小型而又齐全的生态圈,然后再移栽到世界其它土壤。我们可以先从最高最低两端入手,高端是指那些非常专业的应用领域,甚至是一例一用的,做一套卖一套,不依赖生态圈生存的,比如像是给超级计算机设计的操作系统和专门应用软件。低端就是指像广大农村这样的普通老百姓的需求这一块。正如近十年来,我们国家持续推广的家电三下乡活动,活活是把日韩的家电挤出了中国市场,可以类似来个电脑三下乡嘛,反正这些普通老板姓的需求就普通的上上网,没有那么多专业需求。用国产CPU、操作系统也可以满足了,如此再来一次“农村包围城市”,我觉得此事可期。
生态圈的建立不是光上上网就满足,简单地说你要另起炉灶,不光系统,就是最小的看图软件,解压缩都全部要重建非基于WINDOS平台的程序,硬件上就更难了,避开X86构架,那等于说要全世界硬件厂商执行你的标准,严格地说,和重建一个计算机互联网世界一样困难。

有个真实个例,当年金山的WPS,一度在国内压倒了OFFICE,96年之前,国内的办公市场还是WPS的天下,就是这一个年轻人求伯君编写的金山的软件曾占到90%以上的市场份额,但最后结局只能向微软妥协开向核心程序WPS格式向微软开放,这一结局被雷军后来形容为“WPS在微软Word面前死了一回”。Windows的垄断优势在于培养了全世界人的习惯,形成了以他为核心的生态圈,WPS再强,微软只需做小小的程序改动,WPS就不能安装在WIN系统上或者让你装上也问题百出,一会儿这不兼容,那不正确,这不是技术优势,这是生态圈,标准的优势。

打破美国垄断,不是非要另起炉灶不可,华为模式很有参考意义,最早华为不做手机芯片的,那时是高通天下,华为想做手机芯片,同样绕不开高通专利陷井和生态圈,但华为没有另起炉灶从头再来,华为用自己在通信基带领域强大的专利技术同高通达成专利互相放行协议,现在华为能生产市场上主流级别手机芯片,并占据了半壁江山,很多事情不是有决心就能排除万难,精神可嘉但也不能枉顾现实。

4楼 lesfigo
这个适用党政机关军队涉密部门,民用基本是86构架,用不了,而且普通涉密部门还是用的WINDOS系统,一样没法用,要想打破美国垄断太难,不是难在技术,而是难在生态圈建设。打个比方简单地说:全世办都是220伏电压,你研发出一个很先进的300伏的电压系统,虽然很先进,但全球标准不和你一样,用途就很狭小。西方企业有句话:三流企业卖产品,二流企业卖技术,一流企业卖标准是条真理,微软,英特尔的强大不在于产品有多逆天,而在于以万计的标准和专利陷阱,让你绕不开躲不过,自己另起炉烘成本又是天文数字,还得看市场接不接受。
拜托这个是网络防火墙!!!!你懂什么是网络防火墙?这和什么指令CPU有毛线关系。

这个太重要了,中国的芯片首先可以使用在特种行业里

更多精彩内容

热门图集