根据美国联邦调查局 (FBI)，2020年发生的网路犯罪造成美国高达超过 40 亿美元的损失。为因应各种新型的网路安全威胁，Palo Alto Networks 开发了首款透过 NVIDIA BlueField 资料处理器 (DPU) 加速的新一代虚拟防火墙 (NGFW)。

Palo Alto Networks 的 ITO 服务透过 NVIDIA BlueField DPU智慧地卸载无法受惠于安全检查的流量。

DPU 透过将流量从主机处理器卸载到独立于伺服器 CPU 的专用硬体上，可加速对封包的过滤和转发。该解决方案让每一台伺服器在不牺牲网路效能的情况下，都能拥有 Palo Alto Networks 新一代虚拟防火墙的入侵防御和进阶网路安全功能，同时还能对网路流量的相关部分进行智慧筛选，并将其余的流量卸载到 DPU，实现以往无法达成的流量检查。

由 DPU 加速的 Palo Alto Networks VM 系列 NGFW 已在近期发布，采用零信任网路安全原则，由 DPU 担任智慧网路筛选器，能够以不占用 CPU 的方式，对网路流量进行解析、分类和导流，使 NGFW 能够在典型的应用中达到近每秒 100Gb 的传输量，效能为单用 CPU 的 VM 系列防火墙的五倍，而与传统的硬体方案相比，可节省高达 150% 的资本支出。

作为市场上第一个支援 BlueField 的 NGFW，VM 系列透过以 BlueField DPU 卸载主机处理器，进而加速封包过滤和转发等功能，有助于应用感知切分 (application-aware segmentation)、预防恶意软体、检测新型网路威胁及防止资料外泄等任务。

智慧流量卸载服务

在某些客户环境中，大多数流量没有检查的需求 (如影片、游戏、视讯会议等串流媒体流量)，或是无法进行检查，例如客户无法在防火墙上分配相应解密方针的加密流量。在这些情况下，智慧流量卸载 (ITO) 技术可以确保防火墙资源能被最佳化，并只用于检查那些可受益于日常安全检查的流量。

包含资料中心内的媒体和加密资料在内，高达 80% 的网路流量都不需要或由无法由防火墙进行检查。为了因应这个情况，NVIDIA 和 Palo Alto Networks 的联合解决方案囊括了 ITO 服务，可以对网路流量进行检查，以确认每一个 session 是否受益于这些安全检查。

ITO 服务会检查流量中每一个 session，如果防火墙确定该 session 无法实现安全检查，ITO 会指示 BlueField-2 DPU 将该 session 中的所有相关封包直接转发到目的地，而不发送到防火墙。仅检视可以从安全检查中受益的流量并将其余流量卸载到 DPU，透过这样的方式才能在不牺牲安全性的情况下，降低防火墙和主机 CPU 上的总体负载并提升效能。

ITO 使企业、电信和云端营运商能透过可在零信任环境下于每一台主机上运行的 NGFW 保护终端用户、帮助加速数位转型的同时免于各种网路安全威胁。

Palo Alto Networks 在 BlueField DPU 上着手进行 NGFW 的早期开发，他们使用 gRPC 开源远端程式呼叫框架 (remote procedure call framework；云端原生运算基金会的一个专案) 和一款开源硬体加速框架 NVIDIA ASAP2。

BlueField 和 ASAP2 的 gRPC 介面已并入 NVIDIA DOCA SDK，这个资料中心基础架构单晶片架构可提供开发人员一个开放的平台，以打造在 BlueField DPU 上运行的软体定义、硬体加速的网路、储存、安全和管理应用程式。

NVIDIA 致力于建立一个大型开发者社群，以 NVIDIA GPU 和 BlueField DPU 为资料中心基础架构应用和服务带来彻底的变革，而 DOCA 正是其中的一部份。