Accelerating Enterprise Cybersecurity with Software-defined DPU Firewall | NVIDIA On-Demand

一、前言

本次会议为今年英伟达 GTC 大会的一个分会场，主要内容是介绍 Palo Alto 公司如何使用英伟达 BlueField DPU 搭建 NGFW (下一代防火墙)，分享者如下：

Mukesh Gupta

Palo Alto 产品副总裁

John McDowall

Palo Alto 卓越专家级工程师

二、背景

会议首先介绍了英伟达公司 BlueField DPU 的一些基本信息，以及 DPU 出现的背景和适合用来解决何种问题，具体内容与之前的调研报告类似，感兴趣的话可以跳转查看：

SmartNIC / 智能网卡 发展现状

会议之后介绍了 DPU 对于 NGFW 的主要意义，这个意义在于通过防火墙的流量其实大部分都是正常的流量（比如Zoom、Youtube、Facebook等），这部分流量不需要进行深度包检测，可能只需要最开始的几个包便可以识别出其来自什么样的应用，在传统的防火墙中后续的流量会依然需要防火墙的计算资源，而使用了 DP U 的 NGFW 则可以将这部分流量卸载到网卡中，让智能网卡直接通过硬件对流量进行处理，这样能极大的减少防火墙的计算资源消耗，或者处理更大带宽的流量。

三、解决方案

具体的解决方案如下所示，可以看到整个流程分为三大步：

• 第一步是当一个流的数据包初次经过时，将其头几个包上送到流量识别模块（Paloalto 将该模块称为 ITO - Intelligent Traffic Offload 模块），识别模块会判断这个流是否需要进一步的深度分析。
• 第二步是根据上一步的分析结果下发不同的流量调度策略，对于无需进一步分析的下发对应的卸载规则，；对于需要深度分析的，则下发转发规则。
• 第三步是智能网卡根据规则，将卸载的流量使用硬件进行快速处理，而对于需要转发的则送到对应的处理节点。

四、收益

Palo Alto 结合 DPU 去构建下一代防火墙的理想收益如下图所示，一方面是提高了防火墙的处理效率，将最大带宽从 16 Gbps 提高到了 98 Gbps，达到了接近线速处理的效果；另一方面则是大大降低了对防火墙计算资源的消耗，因为被卸载的流量根本无需防火墙去处理。

五、演示

之后其还进行了两组项目演示，用来展示 DPU 进行卸载的作用。在演示前，John 还详细介绍了其工作逻辑，如下图所示，可以发现其工作原理与我们目前正在搭建的 SmartOffload 框架工作原理非常相似，并且其似乎对 DPU 上的 ARM 处理器利用非常有限，只是用它转发宿主机和智能网卡之间的通信，这与我们使用 ConnectX-6 智能网卡来实现流量卸载也非常相似。