AI防火墙：请查收我的真芯告白

　　有出入证也没用，
你得没有病菌才行。
再后来，
越来越多的黑客
将威胁隐藏在加密流量中实施攻击。

　　在加密数据流中识别出威胁，
这一艰巨任务又落到了防火墙的肩头。
于是老铁们又被加装了X光扫描装置，
识别加密流量威胁。

　　可随之砸来的是一个巨大的难题：
当上述功能同时开启时，
健壮的身躯突然变得很无力——
性能骤降导致防护效果无法达到要求。
老铁们总是超负荷工作，
却得不到雇主的认可。
“你要我怎么做，怎么说，你才能爱我？”

　　现在好了！
全新的AI防火墙，我来支援了！
我不但有全新的筋骨，
更有一颗闪闪发光的“芯”！
下面请听听我的真“芯”告白。
一切从“芯”开始！
我是如何具备更高的应用和威胁处理性能呢？
上述的防火墙功能都极耗费设备硬件资源，仅靠通用的CPU来处理肯定不行。因此，业界通常采用ASIC/FPGA等辅助芯片来处理特定的业务，但是这种“堆芯片”的方案成本高，功耗高。
对于中低端防火墙，特别是桌面型设备，成本和功耗对客户影响很大。就像对于经济型车，油耗才是比较关键的指标。那么如何保证经济实惠量又足？那就是SoC（System on a Chip）方案，可以在一个芯片内部集成CPU和外围组件，如内存、输入输出接口等，构成一个系统芯片。华为AI防火墙就采用了这种技术，完美解决了中低端防火墙安全业务处理性能低的难题。
我有一颗七窍玲珑心
我的心，也就是我的“芯”，来自于华为全新自研的安全专用SoC芯片Hi1213。它内置4个64位处理器核，处理器核主频最高达到1.4GHz，同时采用了多种技术保障高性能业务处理。更为关键的是集成了加密引擎、业务感知（SA）加速引擎以及网络处理器（NP）加速引擎，这三大引擎。这样，我就拥有了一颗七窍玲珑心，不同的业务有不同的心窍来应对。下面就让我把“芯”打开，分别阐述一下这些内置加速引擎所带来的变化。
NP加速引擎让我架起了筋斗云
我的防火墙老铁们是基于状态处理业务，获取TCP、UDP等协议报文交互的关键信息，并用“会话表”进行记录存放。此处划重点，请记住“会话”这个在防火墙业务处理中十分关键的概念。当用户A发起新的业务请求时，比如访问网页www.huawei.com，报文到达防火墙，防火墙就会为用户A访问华为网站这个业务新创建会话表。当用户A继续和网站互动，后续报文源源不断流过防火墙，因为已经有该业务的会话表，只需要从会话表中获取所需信息即可。但如果这全程都靠CPU管东管西，在业务量较大时，它就算忙得脚不离地也处理不过来。不怕！我“芯”里有料又高效，“NP加速引擎”带着流量跑，CPU重返青春好逍遥。有了NP加速引擎，CPU建立对应的会话后会在最佳时机将该会话信息传递给NP，之后该会话的后续流量即可直接在NP进行处理和转发。如此这般，防火墙业务转发开了挂，像孙悟空有日游四海筋斗云，我有NP一骑快速转发！
SA加速引擎成就了我的火眼金睛
为了进行安全的深度管控，我需要对经过我身体的流量进行感知，这就是业务感知，其本质功能是将报文中的载荷与特征库里面已经存在的威胁特征进行对比。为了解决开启内容安全特性之后，性能急剧下降的问题，设计师大大在我的“芯”里集成了SA加速引擎，专门用于特征比对流程加速。就好像孙大圣练就了火眼金睛，任你千头万绪，就算是大海捞针也难不住我！
加密引擎就好像千里眼顺风耳
设计师大大考虑到我还有做VPN网关的重任，在我的“芯”里，除主处理核之外，专门设计了一个加密引擎用于处理加解密相关的计算，让主处理核“腾出手”来处理其他业务，从而不“堵塞”整体流程。我的这个加密引擎可以支持加速主流的加密算法及哈希算法，如DES/3DES、AES、SHA-1、RSA和MD5等。在加密引擎的加速下，我在作为VPN网关时，IPSec VPN的吞吐量明显优于业界使用非SoC的同款防火墙。但你以为这就算完了吗？这个加密引擎可不一般哦，它还有个更强大的技能就是SSL加密检测！前面我们有提到黑客往往会通过加密来隐藏威胁并发起攻击从而劫持用户网络。为了能高效地识别这种隐藏在加密流量里的威胁在我的加密引擎里还专门内置了SSL报文检测功能同时设计师大大经过艰苦卓绝的努力攻克了一个又一个技术难关利用引擎里的专有模块优化并加速了SSL报文处理流程让我的SSL报文检测性能甩开了我们这一届的好几条街！它简直是我的千里眼和顺风耳让我明察秋毫什么威胁偷逃不掉！看我“芯”中有料自逍遥我的Hi1213芯片我的七窍玲珑心NP加速引擎让我瞬间驰骋万里SA引擎让我在面对万千妖魔时随心所欲加密引擎更是提升了我打怪升级的效率降妖除魔独领风骚看我“芯”中有料自逍遥！Hi1213的SoC解决方案在“加量不加价”的基础上让我有了卓越的性能提升从容开启IPS等安全功能威胁防御游刃有余吆喝个小贴士：当前我之所以取“AI”这个名号是因为我有基于AI的高级威胁检测和防御能力但这个AI还依赖CPU来负责运算后续我的芯里会集成AI硬件加速能力即从硬件上对AI算法进行支撑这样我就能从容的运行更多基于AI的威胁检测算法防御传统防火墙所不能检测的未知威胁让中小企业边界防御更智能、更安全。以上就是我AI防火墙的真“芯”告白请收好。