網絡攻擊越來越復雜，并提出了一個日益嚴峻的挑戰。遠程勞動力連接的增加推動了邊緣和核心安全隧道流量的增長，聯邦政府和醫療保健網絡流量加密任務的擴展，以及視頻流量的增加，加劇了這一挑戰。

此外， 5G 速度的引入和數十億連接設備的增加正在增加移動和物聯網流量。

這些趨勢正在創造新的安全挑戰，需要網絡安全的新方向來維持充分的保護。 IT 部門和防火墻必須檢查成倍增加的數據，并深入查看流量，以應對新的威脅。他們必須能夠檢查在同一主機上運行的虛擬機和容器之間的流量，這些流量是傳統防火墻設備無法看到的。

運營商必須部署足夠的防火墻，能夠處理總流量，但在不犧牲性能的情況下這樣做的成本可能極其高昂。這是因為通用處理器（服務器 CPU ）未針對數據包檢查進行優化，無法處理更高的網絡速度。這導致性能欠佳、可擴展性差，并增加了昂貴的 CPU 內核的消耗。

下一代防火墻（ NGFW ）等安全應用程序正努力跟上更高的流量負載。雖然軟件定義的 NGFW 提供了在現代數據中心的任何位置放置防火墻的靈活性和敏捷性，但在性能、效率和經濟性方面對其進行擴展對當今的企業來說是一個挑戰。

下一代防火墻

為了應對這些挑戰， NVIDIA 與 Palo Alto Networks 合作，加快其 VM 系列下一代防火墻 通過 NVIDIA BlueField 數據處理器 （ DPU ）。這個 DPU 通過將流量從主機處理器卸載到 BlueField DPU 上的專用加速器和 ARM 核，加速數據包過濾和轉發。

該解決方案將 Palo Alto Networks 的虛擬 NGFW 的入侵預防和高級安全功能提供給每臺服務器，而不會犧牲網絡性能或消耗業務應用程序所需的 CPU 周期。這種硬件加速、軟件定義的 NGFW 是提高防火墻性能、最大限度地提高數據中心安全覆蓋率和效率的里程碑。

DPU 作為智能網絡過濾器，以零 CPU 開銷基于預定義策略解析和引導流量，使 NGFW 能夠在典型用例中支持接近 100Gb / s 的吞吐量。與僅在 CPU 上運行 VM 系列防火墻相比，這是性能提升的 5 倍，與傳統硬件相比，資本支出節省高達 150% 。

智能交通卸載服務

Palo Alto Networks- NVIDIA 聯合解決方案創建了智能流量卸載（ ITO ）服務，克服了性能、可擴展性和效率方面的挑戰。 VM 系列 NGFW 與 NVIDIA BlueField DPU 的集成增強了 NGFW 解決方案的成本經濟性，同時提高了威脅檢測和緩解能力。

在某些客戶環境中，多達 80% 的網絡流量不需要或無法通過防火墻進行檢查，例如來自視頻、游戲和會議的加密流量或流式流量。 NVIDIA 和 Palo Alto Networks 的聯合解決方案通過 ITO 服務解決了這個問題，該服務檢查網絡流量以確定每個會話是否會受益于深度安全檢查。

ITO 通過檢查所有控制數據包來優化防火墻資源，但只檢查需要深入安全檢查的有效負載流。假設防火墻確定會話不會從安全檢查中受益。在這種情況下，防火墻檢查流的初始數據包，然后 ITO 指示 DPU 將該會話中的所有后續數據包直接轉發到其目的地，而無需通過防火墻發送。

通過只檢查可以從安全檢查中受益的流并將其余的流卸載到 DPU ，可以減少防火墻和主機 CPU 上的總體負載，并在不犧牲安全性的情況下提高性能。

ITO 使企業能夠使用 NGFW 保護最終用戶， NGFW 可以在零信任環境下在每臺主機上運行，幫助加快其數字轉型，同時使他們免受各種網絡威脅的威脅。

首次上市的 NGFW

為了領先于新出現的威脅， Palo Alto Networks 聯合開發了第一個虛擬 NGFW ，由 BlueField DPU 加速。 VM 系列防火墻通過將這些任務從主機處理器卸載到服務器，以更高的速度和更少的 CPU 消耗，實現了應用程序感知的分段、防止惡意軟件、檢測新威脅和停止數據外泄 BlueField DPU 。

DPU 作為智能網絡過濾器，以零 CPU 開銷解析、分類和引導流量，使 NGFW 能夠在典型用例中支持每臺服務器接近 100Gb / s 的吞吐量。最近宣布的支持 DPU 的 Palo Alto Networks VM 系列 NGFW 使用零信任網絡安全原則。

審核編輯：郭婷