NVIDIA和Palo Alto Networks创建新一代5G防火墙

不同于前几代无线网络，5G具有许多新的功能，如更低的延迟、更高的可靠性和吞吐量、通过云原生架构实现的灵活服务部署、以及更高的设备密度等。5G的采用及其功能的扩展推动了移动网络宽带达到100Gbps，甚至更高。

随着5G的出现以及云计算的部署日益频繁，网络安全需要从新的方向增强以提供足够的保护。如今的网络攻击方式日益复杂，并且攻击面也日益扩大，加之比本地部署更易受攻击的现代云环境，想要妥当地落实保护也并非易事。在5G时代，我们需要一种新的安全策略来提供充分的保护。

图1 充分保障5G网络安全所面临的挑战与日俱增

新一代5G防火墙

Palo Alto Networks和NVIDIA联合创建了一种可扩展的自适应安全解决方案，该方案将Palo Alto新一代防火墙与NVIDIA BlueField-2数据处理器（DPU）相结合，提高了虚拟化软件定义网络的高性能安全标准。NVIDIA BlueField-2 DPU提供一套丰富的网络流量卸载引擎，可满足5G和云等高要求市场中不断发展的安全需求。Palo Alto Networks发挥其在保护企业和移动网络方面的专长，并将其应用于5G。两家公司凭借这些专长，部署了包括虚拟防火墙在内的5G原生安全倡议。该虚拟防火墙致力于满足5G云原生环境的严格安全需求，通过规模化、操作简易性和自动化，为客户提供无与伦比的安全保护。

图2 Palo Alto Networks新一代防火墙提供原生5G安全

对于希望在5G和云环境中对安全基础设施进行现代化升级的数据中心而言，NVIDIA 和Palo Alto Networks软件定义的硬件加速安全架构可提高基础设施的效率，以更灵活的粒度实现整体解决方案堆栈中零信任安全，并使安全和管理操作更高效。

图3 BlueField-2 DPU智能流量卸载

这一动态解决方案内置智能流量卸载，因此能够针对实时威胁进行适配，而无需改变网络基础设施。NVIDIA ASAP2 VNF流量卸载技术可对基于AppID的长流识别进行过滤或转发。此外，该AppID还被用于检查前几个数据包，以检测其是否包含威胁或是否能够卸载流量。如果数据包不适合流量卸载，将被发送至防火墙进行检查。如果防火墙确定该会话并无威胁，则其将被发送至PAN gRPCd进程。该进程会调用DPU守护程序，将该会话添加至DPU会话流表中，以便将来进行卸载。DPU将处理流量中的所有后续数据包，且不消耗任何服务器CPU周期用于防火墙处理进程。该解决方案提供高达100Gb/s的吞吐量，其中80%的流量被卸载至DPU，并确保在不运用CPU的情况下获得最高性能。因此，与基于主机的传统防火墙安全方案相比，其吞吐量增加了5倍。

关于作者

Ash Bhalgat 是 NVIDIA 网络业务部门的云和电信市场开发高级总监。他领导云和电信解决方案、技术营销和合作伙伴生态系统业务开发，以推动网络投资组合收入和市场份额增长。

审核编辑：郭婷