兆芯CPU:让国产防火墙技术硬起来

发布日期:

2019-08-22 14:57:51

来源:

日前,“2019自主可控计算机大会”在北京成功举办。大会期间,兆芯副总经理罗勇博士发表主题演讲,分享了兆芯在推动产业生态发展工作上的重要经验与成果,并且展示了基于兆芯最新一代开先KX-6000/开胜KH-30000系列处理器的网络安全防火墙、桌面整机及服务器产品。由于兆芯具备IP自主设计能力,因而比较适合对安全有较高要求的应用场景,在网络安全设备方面具有较好市场前景。


国产防火墙多采用国外CPU


防火墙是将内部网络和外部网络做安全隔离的设备,内外部网络间的所有数据流都必须经过防火墙进行访问控制。


兆芯CPU:让国产防火墙技术硬起来

上图为一种常用的安全组网方式,内部网络和外部网络用防火墙进行隔离,通过在防火墙上采用各种技术,来防止外部网络的不安全因素进入内部网络。


对于关键行业和企业的信息安全而言,防火墙都有非常重要的意义。防火墙可以分为软件部分和硬件部分,软件分为专用操作系统和防火墙应用系统两个层面,而硬件上最关键的部分莫过于CPU了。


在软件上,国内很多防火墙厂商已经能够自己做了,基本实现了国产化,但在硬件部分最关键的CPU上,依然是采用国外的CPU。国产防火墙采用国外CPU,犹如花钱请洋人当雇佣兵给中国的边防哨所站岗执勤,不仅非常尴尬,而且存在很多隐患。由于CPU是否自主化关系到防火墙的安全性能,采用国外芯片和国产软件的防火墙只能称为半自主可控。


兆芯CPU防火墙更具安全性


对于网络安全产品而言,最重要的是本身是否安全。如果没有CPU的国产化与自主化,那么信息安全就无从谈起。兆芯具备全套x86解决方案,包括GPU和相关定制电路IP的自主设计能力及测试能力,且相关定制电路IP完全达到量产/认证标准,因而在安全性上相对于采用国外x86 CPU的防火墙具有先天优势。


兆芯CPU:让国产防火墙技术硬起来

兆芯CPU经过多年的积累与迭代,从架构设计,到物理版图设计,全部自主完成。CPU自主设计的最大好处是可以保证CPU里没有冗余模块,可以杜绝预留后门问题,或者说自己掌握CPU的后门。


相比之下,如果关键行业使用的防火墙采用的是国外CPU,那么,攻击者可以利用国外公司预置后门,对国内单位的安全设备进行攻击。事实上,通过英特尔 CPU进行攻击并非危言耸听。在德国汉堡举行的第33界混沌通信大会上,安全技术公司Positive Technologies的研究员Maxim Goryachy和Mark Ermolov就揭示了一种对Intel CPU进行完全控制的攻击方式,而且在整个过程中用户对此不会有任何察觉。


因此,采用兆芯CPU的网络设备会比采用国外CPU的网络设备更加安全。


兆芯防火墙性能不输国外


就性能来说,采用兆芯CPU的防火墙可以比肩采用国外CPU的同类型商业产品。基于兆芯KX-6000的网络安全平台防火墙在两个万兆网口测试环境下可达小包128B 线速,吞吐量可达20 Gbps。


在专用操作系统层面,兆芯也积极与合作伙伴共同磨合优化,使其具备更好的性能。目前,已与启明星辰、天融信、奇安信、深信服、东软、绿盟、网神等公司展开了合作。


由于兆芯防火墙,可无缝移植国外 x86 CPU 平台防火墙,还在性能上达到比肩采用国外 x86 CPU 防火墙的同类产品,加上兆芯具备x86解决方案及相关定制电路IP自主设计能力和测试能力,因而非常适合一些对安全性要求较高的用户使用。