不同于前幾代無線網絡，5G具有許多新的功能，如更低的延遲、更高的可靠性和吞吐量、通過云原生架構實現的靈活服務部署、以及更高的設備密度等。5G的采用及其功能的擴展推動了移動網絡寬帶達到100Gbps，甚至更高。

隨著5G的出現以及云計算的部署日益頻繁，網絡安全需要從新的方向增強以提供足夠的保護。如今的網絡攻擊方式日益復雜，并且攻擊面也日益擴大，加之比本地部署更易受攻擊的現代云環境，想要妥當地落實保護也并非易事。在5G時代，我們需要一種新的安全策略來提供充分的保護。

圖1 充分保障5G網絡安全所面臨的挑戰與日俱增

新一代5G防火墻

Palo Alto Networks和NVIDIA聯合創建了一種可擴展的自適應安全解決方案，該方案將Palo Alto新一代防火墻與NVIDIA BlueField-2數據處理器（DPU）相結合，提高了虛擬化軟件定義網絡的高性能安全標準。NVIDIA BlueField-2 DPU提供一套豐富的網絡流量卸載引擎，可滿足5G和云等高要求市場中不斷發展的安全需求。Palo Alto Networks發揮其在保護企業和移動網絡方面的專長，并將其應用于5G。兩家公司憑借這些專長，部署了包括虛擬防火墻在內的5G原生安全倡議。該虛擬防火墻致力于滿足5G云原生環境的嚴格安全需求，通過規模化、操作簡易性和自動化，為客戶提供無與倫比的安全保護。

圖2 Palo Alto Networks新一代防火墻提供原生5G安全

對于希望在5G和云環境中對安全基礎設施進行現代化升級的數據中心而言，NVIDIA 和Palo Alto Networks軟件定義的硬件加速安全架構可提高基礎設施的效率，以更靈活的粒度實現整體解決方案堆棧中零信任安全，并使安全和管理操作更高效。

圖3 BlueField-2 DPU智能流量卸載

這一動態解決方案內置智能流量卸載，因此能夠針對實時威脅進行適配，而無需改變網絡基礎設施。NVIDIA ASAP2 VNF流量卸載技術可對基于AppID的長流識別進行過濾或轉發。此外，該AppID還被用于檢查前幾個數據包，以檢測其是否包含威脅或是否能夠卸載流量。如果數據包不適合流量卸載，將被發送至防火墻進行檢查。如果防火墻確定該會話并無威脅，則其將被發送至PAN gRPCd進程。該進程會調用DPU守護程序，將該會話添加至DPU會話流表中，以便將來進行卸載。DPU將處理流量中的所有后續數據包，且不消耗任何服務器CPU周期用于防火墻處理進程。該解決方案提供高達100Gb/s的吞吐量，其中80%的流量被卸載至DPU，并確保在不運用CPU的情況下獲得最高性能。因此，與基于主機的傳統防火墻安全方案相比，其吞吐量增加了5倍。

關于作者

Ash Bhalgat 是 NVIDIA 網絡業務部門的云和電信市場開發高級總監。他領導云和電信解決方案、技術營銷和合作伙伴生態系統業務開發，以推動網絡投資組合收入和市場份額增長。

審核編輯：郭婷