“解密价值35亿美金的下一代防火墙核心技术”有72个回复

1. 泛腾电子-徐鹤军 于 2012-12-23 11:12 下午

   抛砖引玉

2. aaa 于 2012-12-24 3:53 上午

   很不错，lz对基于telera的ngfw等设备的前景有何评价？

3. More Information and Reference 于 2012-12-24 11:43 上午

   For those who are interested in the completeness and reference doc, here is the link. Have fun in holidays.

   http://www.ll.mit.edu/HPEC/agendas/proc09/Day1/PA07_Giralt_abstract.pdf

4. playmud 于 2012-12-24 6:33 下午

   核心就是百万每秒级别正则加速卡？

5. 泛腾电子-徐鹤军 于 2012-12-24 6:44 下午

   To:aaa 基于Tilera的NGFW已经有公司开发完成，并且推向市场了。

6. 泛腾电子-徐鹤军 于 2012-12-24 6:47 下午

   To playmud :我理解的是采用逻辑运算来表示模式匹配，从而对模式匹配的功能进行平行优化。

7. bbb 于 2012-12-25 5:52 上午

   百卓网络也有Tilera产品，测试过，性能还可以，就是软件开发的周期太长。

8. 泛腾电子-徐鹤军 于 2012-12-25 7:46 下午

   To bbb :欢迎使用众核产品，与其他嵌入式网络处理器的开发曲线比较，众核的软件开发进展最快。从我们支持客户的经验来看，一般三个月左右就可以完成产品原型的开发和性能测试了。因为众核的软件开发欢迎基本与Intel平台上的Linux开发环境一致。上手非常快。这点已经被国内多家通信公司所认可，常被用来赶产品发布的进度。不用不知道，用了都说好。

9. DataPilot 于 2012-12-26 6:55 上午

   除了能够放在企业的互联网出口，还有什么用？

10. 泛腾电子-徐鹤军 于 2012-12-26 8:23 下午

    to DataPilot :所有需要大吞吐网络流量的地方都需要。网络安全，网络审计，数据分析等等。应用领域非常广阔

11. Peter 于 2012-12-27 2:02 上午

    OISF Welcomes Tilera as a Gold Level Consortium Member
    We are very pleased to welcome Tilera Corporation as a Gold level Consortium member of the Open Information Security Foundation (OISF)! Through this membership, Tilera will continue to focus on achieving unparalleled Suricata performance on the TILE-Gx processor family. The TILE-Gx processor family delivers industry leading performance and power efficiency (performance/watt), while providing ease-of-use with standard Linux programming.

    As the leader in 64-bit manycore general purpose processors, the company is already hard at work contributing to the Consortium and has delivered the highest performance, highest density Suricata solution in the market – seeing about 40 Gbps throughput in a 1U platform. The Suricata implementation on TILE-Gx processors supports all the features of Suricata including both the IDS and IPS modes of operation.

    “Tilera’s involvement with the OISF and Suricata is significant validation of Suricata as an Engine, and threading as the way forward for the industry as a whole,” said Matt Jonkman, president, OISF. “The performance benefits that Tilera has already demonstrated with Suricata and the TILE-GX processor family is thoroughly impressive and is just a taste of what is to come.”

    The industry-leading performance was achieved on Tilera’s TILExtreme-Gx high density platform that packs 144 cores with four TILE-Gx36 processors in a compact 1U rack mountable device. The standard TILExtreme-Gx platform provides up to 160Gbps of Ethernet I/O and is ideal for a variety of compute and I/O intensive tasks such as Network Security (IDS/IPS, DPI, DLP), Network Monitoring, Data Forensics and Big Data processing. It is actively being deployed by several Tilera customers. Additionally, based on the performance and I/O requirements, Tilera customers have the ability to scale up or down by choosing from range of platforms ranging from half-length PCIe cards to the high density 1U chassis.

    Tilera will unveil a new platform that doubles the capacity in the first quarter of 2013. Support for the TILE-Gx will also be added for the open source version of Suricata.

    There will be much more exciting news to come from Tilera and the OISF in 2013. If you want to learn more about Tilera and its solutions, contact Satish Ganesan, Director of Marketing, Networking Solutions, for Tilera. In the meantime, stay tuned to this space for the latest updates!

    The Open Information Security Foundation (OISF) is a non-profit foundation organized to build a next generation IDS/IPS engine Suricata. The OISF has formed a multi-national group of the leading software developers in the security industry. In addition to developers and a consortium consisting of leading cyber security companies, OISF has engaged the open source security community to identify current and future IDS/IPS needs and desires.

12. aa 于 2012-12-27 2:33 上午

    很有启发意义的文章，多谢楼主！

13. whowe 于 2012-12-27 5:47 上午

    啥嘛，PAN 核心技术是基于应用和用户的策略管理理念，以及基于这个理念的产品和炒作技巧。这和具体的实现没啥关系。
    具体改善规则处理效率的方法多了去了，揪着一两点说 35 亿也就一个标题党。

14. 泛腾电子-徐鹤军 于 2012-12-27 6:50 下午

    To 13楼：所谓基于应用和用户的策略管理才是产品宣传的策略。这种理念在网安界都嚼烂了。没有底层革命性的算法，PAN也不敢如此嚣张。

15. 泛腾电子-徐鹤军 于 2012-12-27 7:36 下午

    To 13楼：我只能说你真不识货。

16. multithread 于 2013-01-03 7:48 上午

    同意#13楼的观点，具体的实现方法有很多种。例如，用NFA来替代DFA等。 PAN的具体实现也没用ASIC， 并非“完美”的解决方案，是可以超越的。

    同样所谓的“众核”体系结构也只是网络产品众多解决方案的一种而已，本人却看好大众化的 “多核”解决方案。

17. 泛腾电子-徐鹤军 于 2013-01-03 7:26 下午

    To #16楼：众核（当然不仅仅指Tilera，Cavium也出了32核的产品）在网络通信和分析处理领域的成绩已经有目共睹。每款处理器都有自己适合做的事情，想通吃是不行的。应该说众核的构架比目前的多核更适合处理网络应用。

18. multithread 于 2013-01-04 8:13 上午

    青菜、萝卜各有所爱， 谈不上谁比谁更好！

    作为一个在众核上玩了10几年的“老兵”，我想指出的是多核体系结构在网络应用上已经迎头赶上了，并有超越之势。这就是为什么网络新贵们像F5 and A10 都用的是Intel 多核体系结构。

    众核的优势是不存在I/O瓶颈口问题，通过SOC+订制的Linux，这些问题别人帮你解决了！

    而用多核的人必须对Linux内核态和NIC驱动有深入的了解，在内核上加上一、两千行C程序， 不需要Intel的DPDK，也能搞定I/O问题的。

19. alrn 于 2013-01-04 8:12 下午

    赞同multithread的看法，cavium/rmi门槛太高，intel+linux,性能用硬件提升！

20. gchen 于 2013-01-05 9:37 下午

    与18楼深有同感

    Intel平台的I/O不会成为瓶颈，性能差别在软件系统，主要涉及并行性，cache等。
    另外，intel对虚拟化的支持还是比较好的。借助于intel的虚拟化解决方案（从VT-x到VT-D，SR-IOV）未来edge device必将不再都是一个个物理盒子，虚拟化的edge device，不敢说一定能完全取代物理box，但占有edge device相当大得市场份额应该是没有问题的。
    vmware最近刚推出的最新版本esxi已经开始支持SR-IOV，如果esxi搭配上至强CPU，再加上intel 82599ES(支持SR-IOV）NIC， 在一个物理盒子里可以轻松实现多个万兆级别的虚拟edge device (Fire wall, loading balancer)。性能多强，就看CPU和优秀的软件系统了。
    A10早在vmware发布支持SR-IOV的esxi之前就用KVM在intel平台上实现了万兆级别的虚拟loading balancer，现已被爱立信和思科直接用在了德国电信等客户中。亚马逊的EC2，也采购了一批A10的虚拟化盒子。
    所有这些，让我觉得intel的多核平台至少在未来一定时间内，会被越来越多的厂商采用，特别安全，ADC以及其它4-7层设备厂商，

21. 泛腾电子-徐鹤军 于 2013-01-05 11:42 下午

    高端的网络应用设备的一个趋势是DataPlane与ControlPlane在硬件上分离。就如PANW的5000系列。DataPlane会用到加速设备，可以是ASIC，NP和众核。Intel目前可以勉强符合10Gbps档次的处理，但是对于40Gbps，100Gbps的需求就不行了。至少F5的构架与PANW类似。这种构架已经是业界共识了。至于中低端产品产品的构架就看各家企业的技术能力了。国内企业多数是DPDK方案，国外的网安企业则是嵌入式众核为主。

22. gchen 于 2013-01-06 2:29 上午

    所谓“业界共识的构架”，用硬件做dataPlane,这个构架早已不适合应用(apllication)为王的时代。如果说“DataPlane与ControlPlane在硬件上分离”指的是这个，那么它不算是一个趋势，是早就过时了。用它做4层以下的业务还可以，但7层业务，觉得用硬件来做还是不太可能。

    说Intel 无法满足100Gps的需求，这个说法有点想当然了。反而据我所知，用众核的厂家好像还没有百G级别的设备。

23. tim 于 2013-01-06 5:56 上午

    徐鹤军鼓吹多核，是因为他自己在做这个，想大卖。
    徐鹤军不要误导别人，弯曲需要的是干货

24. 泛腾电子-徐鹤军 于 2013-01-06 7:22 下午

    To 22楼：请你自己查查PANW和sonicwall以及其他厂家的技术文档看看，是不是dataplane 与controlplane 分离的。请给那个家一流网络厂家的构架是你说的模式。我们大家都可以摆事实讲道理。

25. 泛腾电子-徐鹤军 于 2013-01-06 7:26 下午

    To 23：在商言商，我当然乐意推荐自家的好东西给大家。看了我的文章觉得有益可以参考，觉得有兴趣的可以来联系。觉得不好的可以提出反面证据。欢迎大家讨论。我的文章是不是干货，首席认可发表就是个证明了。欢迎您也发点干货上来共享。

26. Panabit 于 2013-01-06 8:28 下午

    Data和Control分离是逻辑上的概念，不一定非得在两个板子上。个人觉得PAN将MANGEMENT单独用X86实现，主要是因为CAVIUM不适合做这个比如主频低，比如大量的日志存储，一些外部存储等的匹配，还是X86来得方便，什么都是现成的。这样还带来的好处是，研发可以完全分离，比如随便找一个PC，就可以开始快速研发，不用非要等到CAVIUM板子就绪。

27. Panabit 于 2013-01-06 8:35 下午

    各个厂家选择什么样的架构，不仅仅是技术问题，比如还有供应链等问题。个人觉得Tilera等在国内安全市场没有太多机会，也包括Cavium等，也会逐渐被X86替换回去。早期大家的软件都做不上去，现在基本上慢慢回来了。国内安全厂家普遍都不擅长做硬件，所以回归X86会成为一个现象。当然，在一些形象性高端领域，还会百家争鸣，各种方案都会有。在安全领域，个人始终觉得X86和ARM会主导未来市场。

28. 低调再低调 于 2013-01-06 10:36 下午

    X86确认有强者归来的感觉，最近公司规划的几款产品都采用了X86，而早期的PPC和ARM都被放弃了

29. tomqq 于 2013-01-07 12:11 上午

    不同意徐鹤军的观点，S3技术和35亿没有几毛钱关系。
    PA的价值核心在于“安全可视化”，具体要说这35亿和什么技术相关，就是APP可视、用户可视、内容可视，并基于这三点形成的报表呈现。
    至于用众核还是多核，这个不是问题的焦点。焦点在于PA看透了“安全是应用的问题，不同层面应用问题只有在不同层面才能看清楚”这个安全基本理论，并贯彻到了研发和销售整个过程。

30. tim 于 2013-01-07 12:23 上午

    To 23：在商言商，我当然乐意推荐自家的好东西给大家。看了我的文章觉得有益可以参考，觉得有兴趣的可以来联系。觉得不好的可以提出反面证据。欢迎大家讨论。我的文章是不是干货，首席认可发表就是个证明了。欢迎您也发点干货上来共享。

    ～～～～～～～～～～～～
    哈哈，这个徐鹤军也太可爱了，首席放你上来是给你面子而已。ps：首席漏出来的水货还少吗？
    在商言商没错，但是也别误导别人呀，哈哈。

    参考下以前的讨论吧，不说了
    http://www.tektalk.org/2011/08/06/many-core%E7%9A%84%E5%BA%94%E7%94%A8%E5%9C%BA%E6%99%AF%E7%9A%84%E7%A0%94%E7%A9%B6%EF%BC%8D%EF%BC%8Dtilera-tilepro64%EF%BC%8Cintel-xeon%EF%BC%8Camd-opteron/

31. gchen 于 2013-01-07 4:10 上午

    PANW做安全的思路与其它厂家相比，确有过人之处，但这是上层业务逻辑的创新，亮点不在系统构架，更与用什么CPU没关系。
    所谓“data plane与control plane分离”，对常上弯曲的人来说都是常识性的东西，忽悠客户还可以，在这里还是不要拿出来讲了。。。

    另外，简单看了下tilera 最高端的160G平台产品“TILExtreme-Gx platform”， 很怀疑这样的盒子能做成实际设备。第一次看到这么堆硬件的，不会有散热问题么？不懂硬件设计，欢迎懂得同学讨论下。
    相关链接：
    http://www.tilera.com/sites/default/files/productbriefs/TILExtreme-Gx-PB040-02_web.pdf

32. digiwolf 于 2013-01-07 4:23 上午

    to gchen：
    散热问题不大，也有冗余。就是噪音会很大。

33. 泛腾电子-徐鹤军 于 2013-01-07 5:09 上午

    To 29楼：应用可视化只有PANW有吗？很难吗？PANW 攻击UTM 的弱点可不是所谓的可视化。DPI 技术已经普及，细粒度的分析可以作到。关键是处理能力和时延。这就是SP3的价值。

34. 泛腾电子-徐鹤军 于 2013-01-07 5:16 上午

    To Tim:Facebook的论文是水货，真希望看看您的干货。我的文章都是以实实在在论文为基础的。我只是将自己的理解和信息共享出来。文章也没有推荐自家的设备。是不是误导不是你说了就算的。

35. 泛腾电子-徐鹤军 于 2013-01-07 5:20 上午

    To gchen:常识是常识，能否作的好就是另一回是了。理论都知道，看的就是工艺。棒子不是发了三次火箭都失败了。人家对火箭理论不清楚吗？

36. tim 于 2013-01-07 5:29 上午

    34楼一天都在鼓吹众核，可否拿点对比测试的数据（干货）出来？众核做L7安全真的有优势吗？
    论文。基础理解歪了，甚至连水货都不算，呵呵

37. 魏老师 于 2013-01-07 5:44 上午

    可以确定的是，做安全绝对不等于做性能，这是最不懂安全的观点

38. 根本不相干 于 2013-01-07 7:04 上午

    建议结题

39. 泛腾电子-徐鹤军 于 2013-01-07 6:35 下午

    To Tim:我的这篇文章你仔细看过吗？看懂了吗？哪里鼓吹多核啦？我是卖众核的，我的文章就一定是鼓吹众核的？评比的数据在本文的评论中不是已经有了吗？好好仔细看看。

40. 泛腾电子-徐鹤军 于 2013-01-07 6:40 下午

    To 37楼：说的没错，性能不是唯一的，但也是最重要的一点。所谓性能包括吞吐能力和延时等。业界评估一款防火墙的5个主要指标也大都是在测试性能。这些是硬指标，也最公平的。如果谈安全理念水的东西就太多了。

41. 魏老师 于 2013-01-07 6:58 下午

    因为应用安全水太多，没有很好的统一标准来评判，而性能这个容易划一个统一标准出来，就好象大学的四六级考试

42. 泛腾电子-徐鹤军 于 2013-01-07 7:47 下午

    所以要干货还是得讨论性能。

43. 云裳 于 2013-01-07 9:16 下午

    徐总，可否提供一下，做应用安全，众核和Intel多核的性能、优势对比数据？

44. 陈怀临 于 2013-01-08 10:58 上午

    我发出来文章有2种：1. 值得学习的。 2. 值得评判的。但我从来不会说出是哪种。。。大家自己琢磨；－）

45. tim 于 2013-01-08 6:47 下午

    徐鹤军总，可否提供一下，做应用安全，众核和Intel多核的性能、优势对比数据？
    ～～～～～～～～～～～～～～～～～～
    同求干货

46. 泛腾电子-徐鹤军 于 2013-01-08 9:54 下午

    请需要对比数据的朋友直接给我邮件，xu.h@fival.cn.相关的资料也已经发给陈首席了。就看首席是否愿意发布在弯曲上。

47. 泛腾电子-徐鹤军 于 2013-01-08 10:02 下午

    To 首席：可见首席同意发我的文章不是给面子，而是觉得有价值，这个价值或是可以借鉴，或是是可批判的。到目前为止的讨论没有一个是对本贴文章的内容的。

48. 泛腾电子-徐鹤军 于 2013-01-13 7:58 下午

    目前仅有一位朋友来邮件索取众核的测试指标。看来真正关心指标的人不多。

49. aaa 于 2013-01-14 5:31 下午

    徐鹤军总，

    硬件开源才好卖，那个米国的开源玩具卖的就很好。

    好不好， 市场自己会说话，能到菜市场摆个摊卖就成神品了。关着门，不让人看一眼东西，还大声吆喝东西好，快来买，就是好啊就是好～

    呵呵，

50. aaa 于 2013-01-14 5:38 下午

    数据开放，OS 开放,API 开源，硬件可以上淘宝，买五赠一，师兄只能帮你到这里了。

51. 泛腾电子-徐鹤军 于 2013-01-14 7:56 下午

    To AAA:苹果闭源不也大卖，看来你out了。东西好不怕卖不掉。谢谢兄弟捧场。

52. whocares 于 2013-01-20 5:14 上午

    楼主太不专业了,大哥，你找的那个论文已经够糙的了，好歹也别直接和paloalto的广告白皮书凑一起阿

53. 泛腾电子-徐鹤军 于 2013-01-20 6:08 下午

    采用SP3单通道平行处理架构，整个流程中只需一次解包与封包的过程，这样大大降低了CPU的负担，再加上多核+多CPU的硬件，将延迟时间减至最少,速度高达 20Gbps 却不会降低性能。摘自PANW官方微博

54. WhoCares 于 2013-01-20 6:20 下午

    文章看了下，简单的把两个没啥关联的文章拼凑在一起，忽悠为主，大哥你好歹换个标题，别搞得真让人以为你这是“解密”，建议首席打击标题党

55. 泛腾电子-徐鹤军 于 2013-01-20 7:55 下午

    To WhoCares:是否有关联可以去问问PANW的官方微博

56. 泛腾电子-徐鹤军 于 2013-01-21 7:28 下午

    关于众核的性能指标，首席已经发布。欢迎大家拍砖。

57. arthas 于 2013-01-21 9:14 下午

    经过DPDK & tilera 实测. Intel多核与tilera众核的性能在单转发上已经没有差别了.而且除了功耗, intel DPDK 性能完全超越了.不过在应用方面, 都还有待增强.

58. arthas 于 2013-01-21 9:21 下午

    老徐你们应该把硬件与配套软件方案&支持完善起来啊

59. 泛腾电子-徐鹤军 于 2013-01-22 6:42 下午

    To Arthas: 谢谢Arthas提供的信息，能否将具体测试的数据发布一下，我也很关心DPDK转发的具体性能指标。众核发布的转发指标是 64byte，60MPPS，4个万兆口。

60. 泛腾电子-徐鹤军 于 2013-01-22 6:43 下午

    近期我们将发布开源的多线程IDS方案，IPS的方案也正在调试中。希望这些方案可以方便客户的使用。

61. Test 于 2013-01-24 9:49 下午

    什么众核多核的，空谈这种概念有什么意义啊，所谓的众核无非是某些厂商＂制造＂出来用于宣传自己产品概念而已，根本就是个空泛可笑的名字，可供一些无知的人经常拿来放在嘴边装逼之用，其实都是傻逼

62. 老徐赶紧阿 于 2013-01-25 11:46 上午

    我对你这个IDS/IPS测试数据比较感兴趣，是用snort还是别的open source，测试数据源和应用规则细节要公布哦。

63. 老徐赶紧阿 于 2013-01-25 11:48 上午

    老徐，你的4个万兆接口和CPU是什么接口啊？怎么连接的？

64. 泛腾电子-徐鹤军 于 2013-01-26 8:56 上午

    To 62楼：我们用的另一款开源IDS软件Suricata。可以使用Snort的规则，欢迎来测试。

65. arthas 于 2013-01-28 5:47 下午

    老徐, DPDK 是单核就可以做到小包线速收包的.4核4 Ixgbe单向20G线速转发.
    你说的tilera 64byte，60MPPS，4个万兆口是双向?
    双向20g线速+起来也还不到60Mpps吧.
    我们对firwall的方案比较感兴趣啊? 不知道有没有.

66. 泛腾电子-徐鹤军 于 2013-01-28 6:14 下午

    To arthas:10Gbps 是15MPPS，40Gbps就是60MPPS。众核的netfilter的性能也不比Intel差。。6Wind有众核的加速方案对Firewall是很好的加速方案。不过6Wind是商业软件需要花钱的。

67. 泛腾电子-徐鹤军 于 2013-01-28 6:18 下午

    To Arthas：个人感觉对于NGFW的产品采用单一构架模式有瓶颈。必须以Dataplane和ControlPlane分离，前段加速方案来实现才能到达更高的性能。我得到的反馈是Intel 双6核E5500系列的产品DPI的性能是5Gbps左右。这一结果是在向多家国内网安类公司了解的消息。

68. arthas 于 2013-01-28 7:30 下午

    To 泛腾电子-徐鹤军:
    原来是直接四舍五入了! 老徐你可以要他们直接用x86的2600系列试一试! 你们的Gx 4xXGBE方案貌似还没出来吧.

69. equilizer 于 2013-01-28 9:38 下午

    To arthas:
    百卓有4万兆的GX36平台，刚刚给我们送测。

70. 泛腾电子-徐鹤军 于 2013-01-29 8:04 上午

    看来众核的客户越来越多了。我们产品规划是根据市场需求来制定的。目前看来4万兆的需求还不明显。

71. 泛腾电子-徐鹤军 于 2013-02-02 7:38 上午

    To equilizer:多谢支持，希望能够登门道谢。

72. 泛腾电子-徐鹤军 于 2013-02-08 3:19 上午

    祝大家新年快乐。祝PANW继续独领风骚。