AI防火墙：请查收我的真“芯”告白

Hello，大家好！

我AI防火墙又来了！

我有智能威胁检测能力

不过，我首先是一个防火墙

最早人们把防火墙仅用作控制出入的大门，

我这帮老铁的工作很简单：

有出入证就通过，

没有你就靠边站

后来老铁们配了安检仪来识别攻击和病毒，

有出入证也没用，

你得没有病菌才行。

再后来，

越来越多的黑客将威胁隐藏在加密流量中实施攻击，

在加密数据流中识别出威胁，

这一艰巨任务又落到了防火墙的肩头。

于是老铁们又被加装了X光扫描装置，

识别加密流量威胁。

可随之砸来的是一个巨大的难题：

当上述功能同时开启时，

健壮的身躯突然变得很无力——

性能骤降导致防护效果无法达到要求。

老铁们总是超负荷工作，

却得不到雇主的认可。

“你要我怎么做，怎么说，你才能爱我？”

现在好了！

全新的AI防火墙，我来支援了！

我不但有全新的筋骨，

更有一颗闪闪发光的“芯”!

下面请听听我的真“芯”告白。

一切从“芯”开始！

我是如何具备更高的应用和威胁处理性能呢？

上述的防火墙功能都极耗费设备硬件资源，仅靠通用的CPU来处理肯定不行。因此，业界通常采用ASIC/FPGA等辅助芯片来处理特定的业务，但是这种“堆芯片”的方案成本高，功耗高。

对于中低端防火墙，特别是桌面型设备，成本和功耗对客户影响很大。就像对于经济型车，油耗才是比较关键的指标。

那么如何保证经济实惠量又足？

那就是SoC（System on a Chip）方案，可以在一个芯片内部集成CPU和外围组件，如内存、输入输出接口等，构成一个系统芯片。华为AI防火墙就采用了这种技术，完美解决了中低端防火墙安全业务处理性能低的难题。

我有一颗七窍玲珑心

我的心，也就是我的“芯”，来自于华为全新自研的安全专用SoC芯片Hi1213。它内置4个64位处理器核，处理器核主频最高达到1.4GHz，同时采用了多种技术保障高性能业务处理。更为关键的是集成了加密引擎、业务感知（SA）加速引擎以及网络处理器（NP）加速引擎，这三大引擎。

这样，我就拥有了一颗七窍玲珑心，不同的业务有不同的心窍来应对。下面就让我把“芯”打开，分别阐述一下这些内置加速引擎所带来的变化。

NP加速引擎让我架起了筋斗云

我的防火墙老铁们是基于状态处理业务，获取TCP、UDP等协议报文交互的关键信息，并用“会话表”进行记录存放。此处划重点，请记住“会话”这个在防火墙业务处理中十分关键的概念。

当用户A发起新的业务请求时，比如访问网页www.huawei.com，报文到达防火墙，防火墙就会为用户A访问华为网站这个业务新创建会话表。当用户A继续和网站互动，后续报文源源不断流过防火墙，因为已经有该业务的会话表，只需要从会话表中获取所需信息即可。

但如果这全程都靠CPU管东管西，在业务量较大时，它就算忙得脚不离地也处理不过来，心悸、脱发、记忆力下降，超辛苦的！

不怕！

我“芯”里有料又高效，

“NP加速引擎”带着流量跑，

CPU重返青春好逍遥，

我飘了啊飘~~~

有了NP加速引擎，CPU建立对应的会话后会在最佳时机将该会话信息传递给NP，之后该会话的后续流量即可直接在NP进行处理和转发，就可以放CPU做一个安静的美男子了！

如此这般，

防火墙业务转发开了挂，

像孙悟空有日游四海筋斗云，

我有NP一骑快速转发！

SA加速引擎成就了我的火眼金睛

为了进行安全的深度管控，我需要对经过我身体的流量进行感知，这就是业务感知，其本质功能是将报文中的载荷与特征库里面已经存在的威胁特征进行对比。

细节是魔鬼，说起只是简单一句话，但是隐藏在背后的计算量却是惊人，比如在我体内能加载的IPS特征库规模超过10000+，这意味着我需要将流经防火墙的报文和IPS特征库里面这10000+的签名进行对比，查找是否有相同的特征。这还仅仅是IPS这样工作，还有AV库、应用识别特征库都是如此流程。

为了解决开启内容安全特性之后，性能急剧下降的问题，设计师大大在我的“芯”里集成了SA加速引擎，专门用于特征比对流程加速。就好像孙大圣练就了火眼金睛，任你千头万绪，就算是大海捞针也难不住我！

加密引擎就好像千里眼顺风耳

设计师大大考虑到我还有做VPN网关的重任，在我的“芯”里，除主处理核之外，专门设计了一个加密引擎用于处理加解密相关的计算，让主处理核“腾出手”来处理其他业务，从而不“堵塞”整体流程。我的这个加密引擎可以支持加速主流的加密算法及哈希算法，如DES/3DES、AES、SHA-1、RSA和MD5等。在加密引擎的加速下，我在作为VPN网关时，IPSec VPN的吞吐量，明显优于业界使用非SoC的同款防火墙。

但你以为这就算完了吗？这个加密引擎可不一般哦，它还有个更强大的技能，就是SSL加密检测！

前面我们有提到，黑客往往会通过加密来隐藏威胁并发起攻击，从而劫持用户网络。为了能高效地识别这种隐藏在加密流量里的威胁，在我的加密引擎里，还专门内置了SSL报文检测功能。

同时，设计师大大经过艰苦卓绝的努力，攻克了一个又一个技术难关，利用引擎里的专有模块优化并加速了SSL报文处理流程，让我的SSL报文检测性能甩开了我们这一届的好几条街！

它简直是我的千里眼和顺风耳，让我明察秋毫，什么威胁偷逃不掉！

看我“芯”中有料自逍遥

我的Hi1213芯片，

我的七窍玲珑心，

NP加速引擎让我瞬间驰骋万里，

SA引擎让我在面对万千妖魔时随心所欲，

加密引擎更是提升了我打怪升级的效率，

降妖除魔独领风骚，

看我“芯”中有料自逍遥！

One More Thing

Hi1213的SoC解决方案，在“加量不加价”的基础上让我有了卓越的性能提升，从容开启IPS等安全功能，威胁防御游刃有余。

吆喝个小贴士：

当前，我之所以取“智能”这个名号，是因为我有智能高级威胁检测和防御能力，但这个智能还依赖CPU来负责运算，后续我的芯里会集成专用硬件加速能力，即从硬件上对智能算法进行支撑。这样我就能从容的运行更多智能威胁检测算法，防御传统防火墙所不能检测的未知威胁，让中小企业边界防御更智能、更安全。

以上就是我，AI防火墙的真“芯”告白。

请收好。