媒体聚焦

大家谈芯 | 兆芯CPU:让国产防火墙技术硬起来 (2019.08.22)

文:罡风

日前,“2019自主可控计算机大会”在北京成功举办。大会期间,兆芯副总经理罗勇博士发表主题演讲,分享了兆芯在推动产业生态发展工作上的重要经验与成果,并且展示了基于兆芯最新一代开先KX-6000/开胜KH-30000系列处理器的网络安全防火墙、桌面整机及服务器产品。由于兆芯具备IP自主设计能力,因而比较适合对安全有较高要求的应用场景,在网络安全设备方面具有较好市场前景。

国产防火墙多采用国外CPU

防火墙是将内部网络和外部网络做安全隔离的设备,内外部网络间的所有数据流都必须经过防火墙进行访问控制。

上图为一种常用的安全组网方式,把内部网络和外部网络用防火墙隔离开,通过在防火墙上采用各种技术,来防止外部网络的不安全因素进入内部网络。

对于关键行业和企业的信息安全而言,防火墙都有非常重要的意义。防火墙可以分为软件部分和硬件部分,软件分为专用操作系统和防火墙应用系统两个层面,而硬件上最关键的部分莫过于CPU了。

在软件上,国内很多防火墙厂商已经能够自己做了,已经实现了国产化,但在硬件部分最关键的CPU上,依然是采用国外的CPU。国产防火墙采用国外CPU,犹如花钱请洋人当雇佣兵给中国的边防哨所站岗执勤,不仅非常尴尬,而且存在很多隐患。由于CPU是否自主化关系到防火墙的安全性能,采用国外芯片和国产软件的防火墙只能称为半自主可控。

兆芯CPU防火墙更具安全性

对于网络安全产品而言,最重要的是本身是否安全。如果没有CPU的国产化与自主化,那么信息安全就无从谈起。兆芯具备x86解决方案,包括GPU和相关定制电路IP的自主设计能力及测试能力,且相关定制电路IP完全达到量产/认证标准,因而在安全性上相对于采用国外x86 CPU的防火墙具有先天优势。

兆芯CPU经过多年的积累与迭代,从架构设计,到物理版图设计,全部自主完成。CPU自主设计的最大好处是可以保证CPU里没有冗余模块,可以杜绝预留后门问题,或者说自己掌握CPU的后门。

相比之下,如果关键行业使用的防火墙采用的是国外CPU,那么,攻击者可以利用国外公司预置后门,对国内单位的安全设备进行攻击。事实上,通过英特尔 CPU进行攻击并非危言耸听。在德国汉堡举行的第33界混沌通信大会上,安全技术公司Positive Technologies的研究员Maxim Goryachy和Mark Ermolov就揭示了一种对Intel CPU进行完全控制的攻击方式,而且在整个过程中用户对此不会有任何察觉。

因此,采用兆芯CPU的网络设备会比采用国外CPU的网络设备更加安全。

兆芯防火墙性能不输国外

就性能来说,采用兆芯CPU的防火墙可以比肩采用国外CPU的同类型商业产品。基于兆芯KX-6000的网络安全平台防火墙在两个万兆网口测试环境下可达小包128B 线速,吞吐量达可达20 Gbps。

在专用操作系统层面,兆芯也积极与合作伙伴共同磨合优化,使其具备更好的性能。目前,已与启明星辰、天融信、奇安信、深信服、东软、绿盟、网神等公司开展合作。

由于兆芯防火墙,可无缝移植国外x86 CPU平台防火墙,还在性能上可以达到比肩采用国外x86 CPU防火墙的同类产品,加上兆芯具备x86解决方案及相关定制电路IP自主设计能力和测试能力,因而非常适合一些对安全性要求较高的用户使用。

 


关于兆芯

兆芯致力于通过技术创新与兼容主流的发展路线,为行业用户提供基于x86架构的通用处理器和配套芯片等产品,推动国家信息产业的整体发展。兆芯x86通用处理器具有杰出的操作系统和软硬件兼容性,性能领先,广泛应用于电脑整机、笔记本、一体机、服务器和嵌入式计算平台等,能够为党政办公、金融、教育、交通、网络安全、能源等行业提供可靠的解决方案。

兆芯是国内领先的芯片设计厂商之一,总部位于上海,在北京、深圳、西安、武汉等地设有研发中心和分支机构。兆芯同时掌握CPU、GPU、芯片组三大核心技术,且具备三大核心芯片及相关IP设计与研发的能力。

信息中心>企业信息

大家谈芯 | 兆芯CPU:让国产防火墙技术硬起来 (2019.08.22)

文:罡风

日前,“2019自主可控计算机大会”在北京成功举办。大会期间,兆芯副总经理罗勇博士发表主题演讲,分享了兆芯在推动产业生态发展工作上的重要经验与成果,并且展示了基于兆芯最新一代开先KX-6000/开胜KH-30000系列处理器的网络安全防火墙、桌面整机及服务器产品。由于兆芯具备IP自主设计能力,因而比较适合对安全有较高要求的应用场景,在网络安全设备方面具有较好市场前景。

国产防火墙多采用国外CPU

防火墙是将内部网络和外部网络做安全隔离的设备,内外部网络间的所有数据流都必须经过防火墙进行访问控制。

上图为一种常用的安全组网方式,把内部网络和外部网络用防火墙隔离开,通过在防火墙上采用各种技术,来防止外部网络的不安全因素进入内部网络。

对于关键行业和企业的信息安全而言,防火墙都有非常重要的意义。防火墙可以分为软件部分和硬件部分,软件分为专用操作系统和防火墙应用系统两个层面,而硬件上最关键的部分莫过于CPU了。

在软件上,国内很多防火墙厂商已经能够自己做了,已经实现了国产化,但在硬件部分最关键的CPU上,依然是采用国外的CPU。国产防火墙采用国外CPU,犹如花钱请洋人当雇佣兵给中国的边防哨所站岗执勤,不仅非常尴尬,而且存在很多隐患。由于CPU是否自主化关系到防火墙的安全性能,采用国外芯片和国产软件的防火墙只能称为半自主可控。

兆芯CPU防火墙更具安全性

对于网络安全产品而言,最重要的是本身是否安全。如果没有CPU的国产化与自主化,那么信息安全就无从谈起。兆芯具备x86解决方案,包括GPU和相关定制电路IP的自主设计能力及测试能力,且相关定制电路IP完全达到量产/认证标准,因而在安全性上相对于采用国外x86 CPU的防火墙具有先天优势。

兆芯CPU经过多年的积累与迭代,从架构设计,到物理版图设计,全部自主完成。CPU自主设计的最大好处是可以保证CPU里没有冗余模块,可以杜绝预留后门问题,或者说自己掌握CPU的后门。

相比之下,如果关键行业使用的防火墙采用的是国外CPU,那么,攻击者可以利用国外公司预置后门,对国内单位的安全设备进行攻击。事实上,通过英特尔 CPU进行攻击并非危言耸听。在德国汉堡举行的第33界混沌通信大会上,安全技术公司Positive Technologies的研究员Maxim Goryachy和Mark Ermolov就揭示了一种对Intel CPU进行完全控制的攻击方式,而且在整个过程中用户对此不会有任何察觉。

因此,采用兆芯CPU的网络设备会比采用国外CPU的网络设备更加安全。

兆芯防火墙性能不输国外

就性能来说,采用兆芯CPU的防火墙可以比肩采用国外CPU的同类型商业产品。基于兆芯KX-6000的网络安全平台防火墙在两个万兆网口测试环境下可达小包128B 线速,吞吐量达可达20 Gbps。

在专用操作系统层面,兆芯也积极与合作伙伴共同磨合优化,使其具备更好的性能。目前,已与启明星辰、天融信、奇安信、深信服、东软、绿盟、网神等公司开展合作。

由于兆芯防火墙,可无缝移植国外x86 CPU平台防火墙,还在性能上可以达到比肩采用国外x86 CPU防火墙的同类产品,加上兆芯具备x86解决方案及相关定制电路IP自主设计能力和测试能力,因而非常适合一些对安全性要求较高的用户使用。

 


关于兆芯

兆芯致力于通过技术创新与兼容主流的发展路线,为行业用户提供基于x86架构的通用处理器和配套芯片等产品,推动国家信息产业的整体发展。兆芯x86通用处理器具有杰出的操作系统和软硬件兼容性,性能领先,广泛应用于电脑整机、笔记本、一体机、服务器和嵌入式计算平台等,能够为党政办公、金融、教育、交通、网络安全、能源等行业提供可靠的解决方案。

兆芯是国内领先的芯片设计厂商之一,总部位于上海,在北京、深圳、西安、武汉等地设有研发中心和分支机构。兆芯同时掌握CPU、GPU、芯片组三大核心技术,且具备三大核心芯片及相关IP设计与研发的能力。