使用DPU加速的下一代防火墙实现企业网络安全保护

网络攻击正变得越来越复杂，并带来了日益严峻的挑战。远程员工连接的增加推动了边缘和核心安全隧道流量的增长，政府机构和医疗保健网络流量加密要求的扩大，以及视频流量的增加，加剧了这一挑战。

此外，由于 5G 速度的引入和数十亿连接设备的增加，移动和物联网流量正在增加。

这些趋势正在创造新的安全挑战，需要网络安全的新方向来维持足够的保护。IT 部门和防火墙必须检查成倍增加的数据，并深入查看流量内部，以应对新的威胁。他们必须能够检查在同一主机上运行的虚拟机和容器之间的流量，这些流量是传统防火墙设备无法看到的。

运营商必须部署足够多的防火墙来处理总流量吞吐量，但在不牺牲性能的情况下这样做的成本可能极其高昂。这是因为通用处理器（服务器 CPU）未针对数据包检查进行优化，无法处理更高的网络速度。这会导致性能欠佳、可扩展性差，并增加了昂贵的 CPU 内核的消耗。

下一代防火墙（NGFW）等安全应用程序正努力跟上更高的流量负载。虽然软件定义的 NGFW 提供了在现代数据中心的任何位置部署防火墙的灵活性和敏捷性，但在性能、效率和经济性方面对其进行扩展对当今的企业来说是一个挑战。

为了应对这些挑战，NVIDIA 与 Palo Alto Networks 合作，通过 NVIDIA BlueField DPU（数据处理器）加快其 VM 系列下一代防火墙。DPU 通过将流量从主机处理器卸载到 BlueField DPU 上的专用加速器和 ARM 内核来加速数据包过滤和转发。

该解决方案将 Palo Alto Networks 的虚拟 NGFW 的入侵防御和高级安全功能提供给每台服务器，而不会牺牲网络性能或消耗业务应用程序所需的 CPU 周期。这种硬件加速、软件定义的 NGFW 是提高防火墙性能、最大化数据中心安全覆盖率和效率的里程碑。

DPU 作为智能网络过滤器来运行，以零 CPU 开销实现基于预定义策略解析和引导流量，使 NGFW 能够在典型用例中支持接近 100Gb/s 的吞吐量。与仅在 CPU 上运行 VM 系列防火墙相比，这是 5 倍的性能提升，与传统硬件相比，资本支出节省高达 150%。

Palo Alto Networks - NVIDIA 联合解决方案创建了智能流量卸载（ITO）服务，克服了性能、可扩展性和效率方面的挑战。VM 系列 NGFW 与 NVIDIA BlueField DPU 的集成为 NGFW 解决方案提供了强大动力，从而提升了成本经济性，同时提高了威胁检测和缓解能力。

图 1 . ITO 将 Palo Alto Networks NGFW 与 BlueField DPU 结合使用，可以帮助面临性能、安全性和成本挑战的企业

在某些客户环境中，多达 80% 的网络流量不需要或无法通过防火墙进行检查，例如加密流量或来自视频、游戏和会议的流式流量。NVIDIA 和 Palo Alto Networks 的联合解决方案通过 ITO 服务解决了这个问题，该服务检查网络流量以确定每个会话是否会受益于深度安全检查。

ITO 通过检查所有控制数据包来优化防火墙资源，但只检查需要深入安全检测的有效负载流。假设防火墙确定会话不会从安全检测中受益。在这种情况下，防火墙检测流的初始数据包，然后 ITO 指示 DPU 将该会话中的所有后续数据包直接转发到其目的地，而无需通过防火墙发送（图 2）。

图 2 . NGFW 的 DPU 加速提供了前所未有的性能和效率提升

通过只检查可以从安全检测中受益的流并将其余的流卸载到 DPU ，可以减少防火墙和主机 CPU 上的总体负载，并在不牺牲安全性的情况下提高性能。

ITO 使企业能够使用 NGFW 保护最终用户，NGFW 可以在零信任环境下在每台主机上运行，帮助加快其数字化转型，同时使他们免受各种网络威胁。

为了比新兴的威胁快一步，Palo Alto Networks 联合开发了第一款由 BlueField DPU 加速的虚拟 NGFW 。VM 系列防火墙通过将应用程序感知分段、防止恶意软件、检测新威胁和阻止数据泄露任务从主机处理器卸载到 BlueField DPU 以更高的速度和更少的 CPU 消耗来实现所有这些任务。

DPU 作为智能网络过滤器来运行，以零 CPU 开销解析、分类和引导流量，使 NGFW 能够在典型用例中支持每台服务器接近 100Gb/s 的吞吐量。最近发布的 DPU 赋能的 Palo Alto Networks VM 系列 NGFW 就采用了零信任网络安全原则。