来源 :山石网科新视界2025-12-23
加密不减速
安全与速度,数据传输的“鱼和熊掌”如何兼得?
在数字化业务不断推进的背景下,数据安全在企业运营中的重要性持续提升。大型互联网公司的跨数据中心互联、运营商骨干网的加密传输、企业分支与总部之间的安全通信等场景,常借助IPSec VPN隧道来实现数据的机密性和完整性,并兼顾一定的传输性能。但在这些业务中,往往同时要应对数十Gbps的高吞吐需求和加密防护的要求——如何在保证数据安全的前提下维持较高的传输效率,是企业需要面对的实际问题。
CPU的“加密”重负,让性能和安全成为“二选一”
在IPSec高吞吐场景中,传统防火墙依赖CPU完成加密与数据处理的方式存在明显局限。数据加/解密属于计算密集且需一定并行能力的任务,在此类应用中容易触及性能上限,主要表现为以下几方面:
1、CPU资源占用偏高:加密运算影响系统整体处理能力
防火墙等安全设备的通用CPU需同时完成策略匹配、会话管理、流量控制等多项任务,而数据加/解密运算(如AES-256、SHA-3等算法)计算量大且并发要求高,会消耗相当比例的CPU算力。当加密流量超出CPU处理能力时,可能导致系统整体响应变慢,并波及其它关键功能的执行效率。
2、吞吐性能受限:提升空间有限
受CPU单核性能及核心数量扩展能力限制,尤其是国产化防火墙的整机IPSec吞吐水平普遍不高。在加密算法复杂度提升或并发会话数增多的情况下,性能会进一步下降,难以满足超大规模业务的需求。
3、数据链路易形成积压:加密处理延迟影响传输效率
当加密处理速度低于网络接口速率时,未完成处理的数据包会在安全模块前堆积,造成端到端延迟增加、TCP重传率上升,进而可能引起业务中断或体验下降,类似在网络入口处因处理环节受限而影响整体通行效率的情况。
IPSec专属加速,实现加密处理与高吞吐的兼容
山石网科ASIC防火墙采用“硬件级加解密卸载+异构算力协同”架构,对防火墙转发机制进行调整,为IPSec高吞吐场景提供一种兼顾安全与性能的实现方式。
IPSec专属加速:为加密流量提供专用处理路径
山石网科ASIC防火墙内置ASIC芯片并集成加解密模块,通过并行通道设计,针对IPSec协议栈及主流算法实现高吞吐数据处理。加/解密等任务可完全由ASIC硬件完成,将CPU占用率降低80%以上,并实现微秒级传输延迟,为加密流量提供稳定的专用通道。在单隧道应用中,吞吐性能同档次最高可提升近15倍,体现出ASIC芯片在并行计算上的优势。
吞吐性能表现:满足大规模高并发需求
依托ASIC芯片的大规模并行计算能力,可高效处理高并发加密会话,使单设备整机IPSec吞吐达到较高水平,能够适应数据中心级海量数据同步的需要;单链路可实现高效加密,适用于金融高频交易、运营商5G骨干网等对性能与稳定性要求较高的场景。
安全与速度的兼顾:符合规范的加速方案
在遵循国内外安全标准的前提下,通过硬件加速提升IPSec VPN性能:全面支持国密算法(SM3/SM4)及国际主流算法,满足等保2.0等合规要求;在突发流量情况下仍能保持传输稳定,减少因性能波动造成的业务影响。
以“芯”赋能,应对IPSec高吞吐场景的实际需求
山石网科ASIC防火墙凭借在IPSec高吞吐方面的性能特点,可在多个行业带来实际改善:例如帮助大型互联网公司在数据中心之间完成GB级别的安全数据同步,为金融领域的关键业务数据提供符合合规要求的加密与高速传输。其采用ASIC硬件加速架构,可在一定程度上缓解传统防火墙在IPSec高吞吐场景下的性能限制,使加密处理不再明显制约传输速度,为企业业务的平稳运行与安全合规提供可靠支撑。