網絡攻擊正變得越來越復雜，并帶來了日益嚴峻的挑戰。遠程員工連接的增加推動了邊緣和核心安全隧道流量的增長，政府機構和醫療保健網絡流量加密要求的擴大，以及視頻流量的增加，加劇了這一挑戰。

此外，由于 5G 速度的引入和數十億連接設備的增加，移動和物聯網流量正在增加。

這些趨勢正在創造新的安全挑戰，需要網絡安全的新方向來維持足夠的保護。IT 部門和防火墻必須檢查成倍增加的數據，并深入查看流量內部，以應對新的威脅。他們必須能夠檢查在同一主機上運行的虛擬機和容器之間的流量，這些流量是傳統防火墻設備無法看到的。

運營商必須部署足夠多的防火墻來處理總流量吞吐量，但在不犧牲性能的情況下這樣做的成本可能極其高昂。這是因為通用處理器（服務器 CPU）未針對數據包檢查進行優化，無法處理更高的網絡速度。這會導致性能欠佳、可擴展性差，并增加了昂貴的 CPU 內核的消耗。

下一代防火墻（NGFW）等安全應用程序正努力跟上更高的流量負載。雖然軟件定義的 NGFW 提供了在現代數據中心的任何位置部署防火墻的靈活性和敏捷性，但在性能、效率和經濟性方面對其進行擴展對當今的企業來說是一個挑戰。

下一代防火墻

為了應對這些挑戰，NVIDIA 與 Palo Alto Networks 合作，通過 NVIDIA BlueField DPU（數據處理器）加快其 VM 系列下一代防火墻。DPU 通過將流量從主機處理器卸載到 BlueField DPU 上的專用加速器和 ARM 內核來加速數據包過濾和轉發。

該解決方案將 Palo Alto Networks 的虛擬 NGFW 的入侵防御和高級安全功能提供給每臺服務器，而不會犧牲網絡性能或消耗業務應用程序所需的 CPU 周期。這種硬件加速、軟件定義的 NGFW 是提高防火墻性能、最大化數據中心安全覆蓋率和效率的里程碑。

DPU 作為智能網絡過濾器來運行，以零 CPU 開銷實現基于預定義策略解析和引導流量，使 NGFW 能夠在典型用例中支持接近 100Gb/s 的吞吐量。與僅在 CPU 上運行 VM 系列防火墻相比，這是 5 倍的性能提升，與傳統硬件相比，資本支出節省高達 150%。

智能流量卸載服務

Palo Alto Networks - NVIDIA 聯合解決方案創建了智能流量卸載（ITO）服務，克服了性能、可擴展性和效率方面的挑戰。VM 系列 NGFW 與 NVIDIA BlueField DPU 的集成為 NGFW 解決方案提供了強大動力，從而提升了成本經濟性，同時提高了威脅檢測和緩解能力。

在某些客戶環境中，多達 80% 的網絡流量不需要或無法通過防火墻進行檢查，例如加密流量或來自視頻、游戲和會議的流式流量。NVIDIA 和 Palo Alto Networks 的聯合解決方案通過 ITO 服務解決了這個問題，該服務檢查網絡流量以確定每個會話是否會受益于深度安全檢查。

ITO 通過檢查所有控制數據包來優化防火墻資源，但只檢查需要深入安全檢測的有效負載流。假設防火墻確定會話不會從安全檢測中受益。在這種情況下，防火墻檢測流的初始數據包，然后 ITO 指示 DPU 將該會話中的所有后續數據包直接轉發到其目的地，而無需通過防火墻發送（圖 2）。

通過只檢查可以從安全檢測中受益的流并將其余的流卸載到 DPU ，可以減少防火墻和主機 CPU 上的總體負載，并在不犧牲安全性的情況下提高性能。

ITO 使企業能夠使用 NGFW 保護最終用戶，NGFW 可以在零信任環境下在每臺主機上運行，幫助加快其數字化轉型，同時使他們免受各種網絡威脅。

首款上市的 NGFW

為了比新興的威脅快一步，Palo Alto Networks 聯合開發了第一款由 BlueField DPU 加速的虛擬 NGFW 。VM 系列防火墻通過將應用程序感知分段、防止惡意軟件、檢測新威脅和阻止數據泄露任務從主機處理器卸載到 BlueField DPU 以更高的速度和更少的 CPU 消耗來實現所有這些任務。

DPU 作為智能網絡過濾器來運行，以零 CPU 開銷解析、分類和引導流量，使 NGFW 能夠在典型用例中支持每臺服務器接近 100Gb/s 的吞吐量。最近發布的 DPU 賦能的 Palo Alto Networks VM 系列 NGFW 就采用了零信任網絡安全原則。

審核編輯：湯梓紅