深度数据包检测（DPI）是网络安全的一项关键技术，可在数据包通过网络传输时对其进行检测和分析。通过检查这些数据包的内容，DPI 可以识别恶意软件、病毒和恶意流量等潜在的安全威胁，并防止它们渗透到网络中。但是，DPI 的实施也会对网络性能产生重大影响。

使用 NVIDIA BlueField DPU 可降低执行深度数据包检测的成本和性能影响。

Suricata 是一款高性能、开源的网络分析和威胁检测应用程序，供私有和共有组织使用，并供主要供应商嵌入以保护资产。使用 Suricata（或任何其他入侵检测系统和入侵防御系统（IDS / IPS）解决方案）检测高吞吐量流量需要高 CPU 占用率。因此，CPU 可用性可能会成为瓶颈。

每种方法都有其优点和缺点。分布式检测更为复杂，因为它需要部署和管理所有分布式节点。但是，它可以通过启用东西向流量检测以及为分布式节点处理的特定流量定制检测规则来提供更高的安全级别。

BlueField DPU 可以加速集中式和分布式检测。这降低了 Suricata 的计算资源利用率，并在释放主机资源的同时实现了更高的网络吞吐量。

有关如何在零信任环境中将 BlueField DPU 用于分布式解决方案的更多信息，请参阅 NVIDIA 发布零信任网络安全平台。

Suricata 使用内核数据路径在软件中实现旁路。吞吐量得到了提高，但仍然依赖于消耗 CPU 周期的软件将数据包直接路由到用户空间，而无需经过 Suricata 引擎的检测。

BlueField DPU 在其智能网卡子系统中提供了线速转向模块，可以使用 NVIDIA DOCA Flow API 进行配置。DOCA Flow 是用于在硬件中构建通用数据包处理管道的 API，使您能够将入口流量重定向到 ARM 子系统或直接重定向到主机。它还可以被配置为将出口流量重定向到 ARM 子系统或直接重定向到外部级联端口。

使用具有 Suricata 的 DOCA Flow 来配置硬件，以便在主机和外部级联端口之间直接重定向旁路流。这使得线速流量能够重定向到这些流，以便进行集中式和分布式检测。

此外，BlueField-3 DPU 还包括一个具有 16 个 ARM A78 核心的 ARM 子系统。在内置 ARM 子系统上运行的 Suricata 通过卸载到 ARM 处理器来降低主机 CPU 的利用率。在 ARM 核心上运行的 Suricata 可让您使用 BlueField-3 DPU 来检测同一主机上 VM 到 VM 的流量。

为了展示在 Suricata 中 BlueField DPU 硬件加速旁路的价值，NVIDIA 对分布式检测场景进行了概念验证。Suricata 部署在 BlueField ARM 子系统上，Suricata 引擎更新使用 DOCA Flow API 来处理旁路流，而不是使用内核旁路。我们在 BlueField-3 DPU 上实现了 400G 设备双向线速的旁路流，并实现了数 Gbps 的检测流，且在 x86 主机服务器上无 CPU 负载。

图 2 描述了传统软件解决方案（基于主机）与 DPU 加速和潜在分布式解决方案相比的网络性能提升和 x86 CPU 利用率。

图 2 : BlueField DPU 和 DOCA Flow API 强力加速吞吐量，

同时将服务器上的 CPU 负载降低到几乎为零*

*实际流量的实际吞吐量取决于流量的类型和配置文件以及检测规则集。性能可能会相应变化。

这项工作还可以用于加速其他流量检测解决方案，例如：Snort 或 WAF，其原理与应用于 Suricata 加速的原理相同。