AMP方式示意圖
SMP方式顧名思義就是將多個內核平等看待����,每個內核運行的操作系統(tǒng)相同���,且每個內核上都運行一套IPS系統(tǒng),這樣從數(shù)據接收���、連接建立���、數(shù)據檢測到數(shù)據發(fā)送都是并發(fā)執(zhí)行的,相當于多個IPS系統(tǒng)在同時運行�����。這種架構比較簡潔�,各個處理器內核負載均衡,可以全方位地提升IPS產品性能����,特別是在測試單一性能指標時�,由于所有內核都參與處理工作���,往往可以獲得比較好的表現(xiàn)�����。這種架構也有其固有缺陷�,因為所有內核都運行相同的軟件系統(tǒng)(包含操作系統(tǒng)和IPS系統(tǒng))����,勢必產生對共享資源(內存數(shù)據、文件描述符�����、I/O設備等)的爭用�����。為處理并發(fā)與同步需要使用大量的鎖機制�,而這些鎖的操作又影響了性能發(fā)揮,更嚴重的是隨著內核數(shù)量的增多,并發(fā)與同步的消耗達到一定的量級�,這時性能就不再增長甚至下降了。
AMP方式就是將多個內核區(qū)別看待�,可以運行不同的操作系統(tǒng)也可以在相同的操作系統(tǒng)上運行不同的任務,各個處理器內核按照任務劃分���,各負其責�����,規(guī)避共享資源的競爭���,做到"術有專攻",從而提升IPS產品的綜合性能���。完整的操作系統(tǒng)往往比較龐大,耗費資源較多�����,效率也較低��。拿出幾個物理內核����,在其上建立一種簡易的系統(tǒng)環(huán)境(有時候直接叫做"裸核"環(huán)境)���,在這個"潔凈的空間"內運行單一任務(比如收發(fā)數(shù)據、模式匹配等)往往可以獲得極高的性能�,這是AMP方式的特點,也是其優(yōu)勢����。另外一種方式,在相同的操作系統(tǒng)上運行不同的任務也是同樣的機理�,只不過更容易實現(xiàn)一些,相應的性能提升的效果也遜色一些��。這種架構也有其缺陷�����,在測試單一性能指標時����,因為特定功能只有有限的內核參與處理,往往性能不夠理想�。架構本身也比較復雜,需要仔細權衡各個內核的任務分擔�,否則會造成內核負載不均衡�����,影響性能發(fā)揮�。
選擇哪一種架構需要根據處理器硬件平臺與IPS系統(tǒng)本身的特點來抉擇�,通常在硬件處理器內核比較少的情況下選擇SMP架構,在需要將一大堆不可能并行化的"遺產"繼承到產品中時只好選擇AMP架構����,如果已經使用了硬件內容加速,那么可以選擇SMP架構�����,如果是新開發(fā)IPS產品�����,內核分工可以動態(tài)調整的AMP架構是不錯的選擇�,但需要保證足夠的技術儲備和適當?shù)娜肆ν度搿?
在確定了工作模式后,就要考慮流量的分擔與負載問題了�����,多個內核并行處理��,它們共同的輸入就是來自網絡的數(shù)據流����,如何將這些數(shù)據流"喂"給處理器內核呢?最簡單的就是輪詢方法�,即將到達的數(shù)據依次交給等待處理的內核,各個內核平均分配�����,這對早期的基于單個數(shù)據包檢測的IPS系統(tǒng)比較適合?����,F(xiàn)代的IPS系統(tǒng)功能豐富����,不僅可以進行TCP流重組,還可以跟蹤應用層協(xié)議和控制流量�����。但是在多個內核上并發(fā)地跟蹤TCP狀態(tài)機是個棘手的問題�,實現(xiàn)難度也較大,所以出現(xiàn)了另外一種按照五元組分流的方法�����,即將同一個數(shù)據流分配到同一個內核上,保障一個數(shù)據流始終由一個內核處理�。這種方式大大降低了IPS內部實現(xiàn)復雜度,雖然具有流量較小時負載不均衡的副作用��,但從研發(fā)成本考慮還是可以接受的�����。
接下來就是對提升性能至關重要的IPS引擎的并行檢測�,IPS檢測引擎的并發(fā)是提升性能的關鍵。這里的引擎主要指應用協(xié)議的識別和分析�����、攻擊特征的匹配����、策略的檢查以及后續(xù)的數(shù)據處理。如果運行于應用層�,可以將每個IPS引擎作為一個單獨的進程對待,它們共用一份公共的攻擊特征庫����,對各自的輸入的數(shù)據流進行并行檢測和處理,就好像多個引擎在同時工作����。但是數(shù)據流之間有時候是相關的,比如一個應用層協(xié)議可以動態(tài)協(xié)商出它的一個子連接��,當這個子連接分配到另外一個IPS進程上處理時�����,要想控制它就需要進行進程間通訊��,這樣引擎的獨立性就被破壞了��。同樣在雙機熱備份的狀態(tài)同步�����、應用層協(xié)議動態(tài)識別上也會遇到同樣的困難����。如果IPS作為一個內核模塊運行于操作系統(tǒng)核心層,那么需要對所有可能產生競爭的共享資源進行并發(fā)訪問控制�,使其徹底并行化,除此之外可能沒有什么更好的辦法了�。
配置問題是并發(fā)系統(tǒng)中一個棘手的問題�����,用戶常常在系統(tǒng)運行過程中進行配置變更���,而且總是希望這種變更后的配置能夠即時生效。
在并發(fā)IPS系統(tǒng)中只有一份配置�����,配置的變化意味著所有的并行工作都要暫停下來����,需要根據新的配置調整運行參數(shù)。運行時態(tài)頻繁地調整配置不可避免地影響并發(fā)IPS系統(tǒng)性能���,如果設計不好還會產生"停頓"�����,導致丟包���。同樣的,在IPS系統(tǒng)中各種統(tǒng)計數(shù)據(流量統(tǒng)計、事件統(tǒng)計����、時間統(tǒng)計等)都需要實時地準確地顯示到用戶可視層面,多個引擎需要并發(fā)地對單一數(shù)據結果操作�,如果簡單地用鎖規(guī)避競爭也會很大程度上影響并發(fā)IPS系統(tǒng)性能的提升�����。
一個系統(tǒng)的成熟和完善離不開調試�����,與基于單內核的系統(tǒng)相比����,并發(fā)IPS系統(tǒng)的調試工具極度匱乏,調試手段也很不成熟����。那些傳統(tǒng)的強大的單步跟蹤工具已經沒有用武之地,就連簡單的打印調試信息也需要特別小心����,因為你需要先知道這個信息是哪個內核打印的才好定位問題。如果系統(tǒng)運行時死鎖,那么整個系統(tǒng)或者IPS進程會被掛起��,但留下的供你調試的線索卻非常有限���?����?傊?����,有四類問題比較關鍵:死機�����、內存泄漏�、內存篡改和報文調試�����。這些問題影響并發(fā)IPS系統(tǒng)的穩(wěn)定���,當然也影響到性能發(fā)揮�。
機遇與挑戰(zhàn)并存。盡管利用并行處理技術提升IPS產品性能并非易事�,還有很多問題有待解決,很多技術有待探索和突破�,但是相信,在當今多核處理器迅速普及并不斷發(fā)展的趨勢下�����,硬件計算資源的開發(fā)暨并行處理技術的應用將為IPS產品帶來性能的質的飛躍���。同時伴隨著新技術新產品的應用,也將引發(fā)現(xiàn)有IPS產品市場布局的一場變革�。
天融信公司的網絡衛(wèi)士入侵防御系統(tǒng)(TopIDP)應用了先進的多核處理器硬件平臺,將并行處理技術融入天融信自主知識產權操作系統(tǒng)TOS系統(tǒng)�����,實現(xiàn)了高效率的并行處理檢測引擎�����,達到了千兆級性能����,能夠滿足高速網絡的安全防御要求,同時也打破了國外產品長期壟斷高端IPS產品市場的局面。
(注:作者"吳亞飆"現(xiàn)為天融信總工程師)
