“視”不可擋 萬兆迎來新趨

本刊記者 曉輝

追溯萬兆產品的發展，早在 2006年已經有廠商發布了相關產品，即在 2006年就已經存在萬兆這種產品形態，但當時的市場需求還不明朗，對于萬兆產品的功能和性能的要求也與今天不盡相同。當時大家更看重萬兆產品的性能，主要指高吞吐量。但是今天，隨著互聯網發展的日益多元化和復雜化，僅僅對于吞吐量提出要求已遠遠不夠，如低延遲、深度防御等其他因素開始扮演著越來越重要的角色。就萬兆這個話題，記者采訪了東軟網絡安全營銷中心解決方案部部長徐松泉。

一、視頻影音時代來臨

網絡產品的更新換代一定與整個互聯網大環境的發展息息相關，萬兆也不例外。今天互聯網上視頻和語音的流量越來越大，YouTube已經成為僅次于Google和facebook的全球流量排名第三的網站；在國內，土豆、優酷、CNTV(中國網絡電視臺)等在線視頻網站也正大熱，人們改變了原來的從網上下載的視頻瀏覽習慣，更多地選擇在線觀看。徐松泉說到，P2P下載對網絡傳輸質量的要求并不高，而在線視頻應用卻絕對要求網絡傳輸的高質量。美國、日本等國家已經實現了真正意義上的高帶寬和低時延，能夠充分保障在線觀看的流暢。從我們國家的網絡基礎設施看，雖然目前還支持不了視頻流量占整個帶寬的百分之六七十這樣的比率，但可以看到，運營商們為了適應人們對于互聯網應用的新需求正在積極“備戰”。未來絕大多數的互聯網應用是與視頻相關的，因此今天的運營商看重的不僅僅是帶寬，更看重數據傳輸的質量，同時需要面臨諸如低時延的挑戰。

其實不單是通信行業，交通、醫療、環保、金融等與人們生活緊密相關的其他行業也是如此。比如平安城市，徐松泉舉例說，一個城市可能有幾十萬甚至上百萬的監控攝像頭，通過這些監控攝像頭采集到的海量視頻數據被傳輸到指揮監控中心，工作人員正是依據這些數據，進行分析并做出及時的響應和反饋。再比如近年來的熱詞之一——健康城市。試想，患者的血壓、心率等相關數據都將被實時地傳輸到醫院，患者與醫生的溝通也將通過實時的視頻來實現。大量的影像、視頻、通訊會話數據的傳輸對網絡質量，尤其是延遲，是非常敏感的。另外還有中國目前在建的很多云計算中心、IDC等等。這些都反映出，未來的互聯網數據將以實時數據、特別是實時的視頻數據為主。

二、新趨勢賦予“萬兆”的新使命

以上的種種對萬兆產品的發展提出了新的要求。徐松泉認為，首先不僅要求保障高帶寬，更要低時延。例如在線觀影，數據可能要經過十幾個甚至更多的設備，如果每個防火墻的時延是幾十微秒，疊加起來就會出現很大的時延，嚴重影響視頻的流暢和觀影體驗。因此低時延是保障網絡傳輸質量的關鍵。目前，東軟是惟一一家可以將萬兆產品的時延控制在5微秒以下的國內廠商，法寶就是東軟核心的FPGA專利技術。據悉，該技術需要很長時間的技術積累，東軟從2004年開始研發FPGA技術，到現在已經有7年的時間。所謂七年磨一劍，最終形成了今天的東軟萬兆和超萬兆(100G)的解決方案。高帶寬、高并發、低時延，該系列產品和解決方案在市場上試水一年，取得了不錯的成績。

其次，除了低時延和高帶寬，萬兆產品還需具備深度防御能力。徐松泉提到，解決這個問題的最好辦法就是多核架構。將協議級的深度檢測放在 8核甚至16核上運行，CPU就不會成為技術瓶頸，既保障了強大的深度防御能力，又能適應高帶寬的需求。據了解，東軟從兩個領域同時發力：2004年開始研發FPGA技術；2006年研究多核架構；2009年做到將兩個技術的深入融合；2010年正式對外發布了東軟NetEye集成安全網關(NISG)萬兆產品和相關解決方案，目的就在于充分滿足如運營商、IDC、高校等大型網絡環境用戶的部署需求。

另外一個亟待解決的關鍵問題是異常流量的監控。如何在幾百G的巨型網絡環境下準確定位出異常流量攻擊，徐松泉給出的解釋是，東軟依靠其特有的 Flow采樣技術，可以通過東軟的超萬兆(100G)解決方案很快地找到攻擊源頭，再通過加載控制規則定點攔截、精確打擊攻擊流量。同時，利用東軟正在申請國際專利的 NEL技術還可以解決對互聯網音視頻核心協議的防護問題，如對SIP協議的防護，對H323協議的防護，對3G中最核心的GTP協議的防護等，有效地解決了互聯網面臨的基于音視頻協議攻擊的防護問題。除了提供最基本的防火墻等功能和基于協議的攻擊防御功能以外，東軟萬兆安全解決方案還具備DDoS攻擊防御、QoS保證、帶寬管理等功能，以及采用東軟多核、眾核的先進技術架構進行檢測，擁有萬兆甚至超萬兆的業界領先水平的深度防御檢測能力。

最后徐松泉還提到，東軟的萬兆解決方案采用平臺化的思路，將FPGA解決方案作為一個平臺，能以插件的形式與其他設備結合，將需要檢測的流量通過網絡設備直接引導到FPGA上做深度檢測，也可以與國內、國際的合作伙伴開展深度合作，將10-100G的FPGA解決方案嵌入到設備中，令其在原有的功能基礎上具備強大的防火墻、IPS和DDoS防御等功能。

一個產品或者解決方案不能解決所有的安全問題，因為信息安全本來就不是一件能夠一勞永逸的事情。即使是擁有了如東軟集成安全網關(NISG)這樣40G的防火墻處理能力、8G的應用層處理能力的超級重型武器，也還是需要配合專業的信息安全服務(東軟同時也提供等保咨詢與規劃等專業信息安全服務)來充分填補安全縫隙，才能將信息安全真正做得徹底、做得面面俱到，做得萬無一失。