曙光推出首款自主龙芯防火墙

本报记者 王 杰

    8月7日，曙光公司举行了主题为“中国芯，更安全”的产品发布会，推出首款基于中国自主知识产权的龙芯处理器的网络安全产品——曙光TLFW—100L防火墙。该产品采用龙芯2E处理器，曙光自主开发主板，结合曙光自主的防火墙软件，形成了软硬件一体化的防火墙安全系统。该产品实现了从硬件到软件、从系统到芯片的完全自主知识产权，可以预见，基于龙芯处理器的防火墙将对中国网络安全的发展产生深远影响。
    作为中国服务器领域的领军企业，曙光在服务器安全技术、网络安全技术等方面都有着深厚积累。从研制服务器开始，曙光就开始了安全技术的研发，机群监控系统、入侵监测系统、防火墙系统、FPGA内容过滤技术等陆续问世。2005年，曙光整合服务器安全与网络安全，形成了“立体安全”独特布局。目前，曙光的安全产品已经在全国各政府系统、公安、法院、社保、证券、军工、电力、教育等行业取得了广泛应用，成为中国安全领域的又一重要力量。此次基于中国自主设计研发的龙芯处理器防火墙的推出，旨在满足用户对自主可控的安全产品的需求，实现国家信息化自主创新的不断跨越，同时，也将对龙芯的产业化起到重要推动作用。
  只有完全自主，才能确保安全
    信息安全关系着企业、民生、经济、军事、国家等各个方面的安全，有人将信息安全比喻成关系到“国家安全的长城”，建立在国外芯片技术之上的信息化，国家安全将无从谈起。众所周知，CPU是信息化的核心部件，负责整个系统指令的执行、数学与逻辑的运算、数据的存储与传送、以及对内对外输入/输出的控制。一颗芯片由几百万个甚至几亿个晶体管构成，可以说只有设计者才知道每个晶体管的功能和用途，如果设计者在某些晶体管上“开了后门”，谁也无从知晓，这样就造成了安全隐患。政府采购中对安全产品有特殊要求，一般都要求采购“自主可控的国产安全产品”，但目前市场上的防火墙产品都缺乏完全的“自主可控”。防火墙产品是软硬件一体化的产品，硬件平台一般都采用国外核心芯片，软件OEM国外产品也不鲜见，在安全的背后隐藏着很多不安全的隐患。只有完全自主，才能确保安全。
    曙光2003年就推出了自主研发的防火墙软件系统，拥有软件著作权登记证，经过多年的积累，已经非常成熟。目前，随着龙芯2E的成熟，推出软硬件完全自主的防火墙安全系统已经水到渠成。龙芯2E最高工作频率为1GHz，典型工作频率为600—800MHz。龙芯2E是64位的通用RISC处理器，采用90nm的CMOS工艺制造，完全可满足百兆防火墙的应用需求。特别值得一提的是龙芯还专门针对网络攻击进行了安全设计。缓冲区溢出是一种非常普遍、非常危险的漏洞，是目前大多数网络攻击所采取的办法。利用缓冲区溢出发起攻击，可以导致程序运行失败、系统死机、重新启动等后果；更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。“龙芯”通过允许操作系统对堆栈段的取指进行限制，可以有效防止利用缓冲区溢出技术进行的网络攻击。整合软硬件之后的曙光TLFW-100L防火墙，达到了工业控制级标准，支持多种标准服务，提供强大的访问控制、安全管理功能，还具有高级路由、带宽管理、智能过滤以及VPN功能。
    曙光信息安全事业部总经理邓洪升认为：“信息安全产品同质化现象严重，要想在竞争中胜出就必须实现差异化，而龙芯处理器是实现差异化和低成本的最好武器。”龙芯2E处理器在防火墙中的应用，不仅为产品带来更高的安全性，更大幅的降低了产品的成本，而且基于龙芯处理器的防火墙功耗有望控制在10瓦以内，无论是在一次性采购，还是在运营管理方面，都体现了强大的成本优势。
  自主创新是曙光的发展战略
    2007年4月，财政部颁布《自主创新产品政府采购预算管理办法》，要求在政府采购活动中优先选用自主创新产品，为自主创新产品营造良好的市场环境，企业作为自主创新的主体迎来了崭新的发展时期。曙光公司销售总监王成江表示：“曙光的成立肩负着自主创新的民族使命，自主创新更是曙光发展的长期战略，只有运用自主创新才能形成产品差异化，才能构建竞争优势！”。经过不懈努力，曙光公司在自主创新道路上取得丰硕的成果，中国第一台64位服务器、登陆全球TOP10的曙光4000A、中国自主研发的刀片服务器以及基于龙芯处理器的防火墙、FPGA内容过滤技术等等，均显示了曙光公司非凡的自主创新实力，也不断推进着中国信息化的自主创新进程。
    作为中国服务器产业的领导者，曙光公司一直坚持以服务器产品为核心，存储、安全产品并行发展的策略，要成为中国最有价值的信息系统提供商。曙光的安全业务将借助服务器资源，形成独特的竞争优势。目前已经形成了以服务器安全技术为载体，以网络安全技术为手段，最终保障信息化安全应用的“立体安全”的整体解决方案。在不久的将来，曙光将不断推出与服务器整合的更加创新的安全产品出来，比如机群安全模块、安全服务器、刀片防火墙等等，相信对服务器应拥有着深刻理解的曙光将大大改变安全领域的格局。
  龙芯不断发展，曙光不断创新
    IC加工业是资金高度密集的产业，一条0.18微米生产线，一般要投资15亿美元以上，国外对先进IC加工设备出口中国仍有许多限制，因此，我国在芯片加工方面实现跨越式发展难度相当大。“十五”期间，国家863计划提出了自主研发CPU的战略思路，在国家领导人和国家相关部委的关注下，中科院计算机所于2000年11月起正式启动处理器设计项目，开始研制我国具有自主知识产权的高性能通用CPU芯片。
    在分析了计算机所系统设计方面的技术储备与优势后，计算机所在龙芯一号设计开始时，就提出了“高起点，一步到位”的要求。所谓高起点是指尽可能采用先进的制造工艺，从某种意义上讲，这也是利用了后发优势，以达到借树开花的效果。所谓“一步到位”，当然不是指第一次设计就做出性能超过最高性能的处理器产品，而是要求我们在微体系结构上有所创新。在当时国内有些单位还启动研制386、486的情况下，计算机所用国际先进水平的体系结构实现64位浮点运算，尽可能实现技术上的跨越式进步，并没有模仿国外竞争对手的发展模式，从20世纪80年代的技术开始一步一步爬行，而是一开始就强调正向自主设计，不采取解剖别人芯片反向设计的路线。“一步到位”的另一层意思是不做供鉴定用的实验室样片，要确保万无一失，经得起产品检验，做成可批量生产的芯片。
    首款中国通用式处理器芯片“龙芯1号”诞生于2002年，它的成功问世，标志着我国已经结束了在计算机关键技术领域的“无芯”历史，打破了我国长期依赖国外处理器产品的尴尬局面。本次曙光龙芯防火墙所采用的龙芯2E属于龙芯的二代产品，同时龙芯三代多核产品的应用也进入了实施阶段。伴随龙芯产品性能的日趋成熟，在中国处理器市场实现了从无到有的战略性转变之后，龙芯面临的是更加艰辛的产业化道路。
    据悉，本次龙芯2E在曙光防火墙产品中的应用只是一个系列产品的排头兵，曙光公司还将陆续推出基于龙芯处理器的千兆防火墙、龙芯IDS、龙芯VPN等产品，所有产品都将与曙光服务器产品协同销售，利用已有的服务器销售渠道获得快速、大面积的推广应用。同时，曙光将使用龙芯3处理器冲击世界领先的高性能计算机TOP10榜单，曙光将携手龙芯在信息产业道路上共同跨越。
    曙光与龙芯作为中国信息化的领军队伍，长久保持着密切、深入的合作，在信息产业自主创新的道路上起到了积极而深远的推动作用，中国的信息产业也只有不断的自主创新，才能不断成长，不断强大。