那　罡

企業(yè)的數(shù)據(jù)在不斷集中的同時(shí),應(yīng)用也在不斷增多。同時(shí),與此相對應(yīng)的網(wǎng)絡(luò)也就變得越來越復(fù)雜,流量也在飛速提升。Hillstone山石網(wǎng)科總裁兼CEO童建認(rèn)為,一個(gè)企業(yè)網(wǎng)內(nèi)部需要大量的服務(wù)器,這些服務(wù)器會(huì)接受來自各個(gè)分支和總部的應(yīng)用請求。在企業(yè)不斷發(fā)展過程中,企業(yè)網(wǎng)絡(luò)正在從千兆走向萬兆甚至10萬兆,造成的網(wǎng)絡(luò)流量越來越大。此外,伴隨著流量和應(yīng)用的增加,網(wǎng)絡(luò)對安全產(chǎn)品也提出了更高的要求,比如高性能、高并發(fā)、高容量的需求。

網(wǎng)絡(luò)需要可視

然而,網(wǎng)絡(luò)應(yīng)用的數(shù)量也在不斷豐富,包括IM(及時(shí)通信)、P2P下載、視頻瀏覽、網(wǎng)絡(luò)游戲和SNS(社交網(wǎng)絡(luò))等。另一方面,網(wǎng)絡(luò)應(yīng)用的方式在改變,一些應(yīng)用程序開發(fā)商為了躲避協(xié)議封堵,將應(yīng)用建立在HTTP等基礎(chǔ)協(xié)議之上,或者端口號采用隨機(jī)方式產(chǎn)生,或者采用諸如SSL的加密方式來隱藏內(nèi)容。這些新的應(yīng)用方式,讓傳統(tǒng)基于端口的應(yīng)用和行為無法識別,也讓網(wǎng)絡(luò)變得越來越無法管理。

一連串的問題擺在IT負(fù)責(zé)人的面前:當(dāng)前的設(shè)備如何更加有效地確保網(wǎng)絡(luò)不受侵害?如何保護(hù)關(guān)鍵應(yīng)用不受影響?如何應(yīng)對網(wǎng)絡(luò)流量的快速增長?如何保護(hù)當(dāng)前投資?如果企業(yè)的安全設(shè)備在不具備千兆數(shù)據(jù)處理的同時(shí)執(zhí)行深度應(yīng)用檢測,將很難解決上述難題。因此,如何看到網(wǎng)絡(luò)中的內(nèi)容成為新一代安全網(wǎng)關(guān)必須解決的問題。

目前,在安全網(wǎng)關(guān)系統(tǒng)的發(fā)展方向上,多核處理器正在代替NP/ASIC的位置。在這種系統(tǒng)里,多核處理器帶來了比NP/ASIC更好的可編程性。但多核處理器只擔(dān)任網(wǎng)絡(luò)安全處理的任務(wù),應(yīng)用處理和內(nèi)容安全仍然由主控CPU處理。在許多平臺上,新建連接等防火墻功能也是由主控CPU實(shí)現(xiàn)的。

針對第一代x86和第二代NP/ASIC安全產(chǎn)品架構(gòu)上的不足, Hillstone山石網(wǎng)科推出了多核Plus架構(gòu),該架構(gòu)是專門針對當(dāng)今網(wǎng)絡(luò)安全的需求而定制的。多核Plus架構(gòu)使用多核CPU加速應(yīng)用層安全,使用ASIC來實(shí)現(xiàn)網(wǎng)絡(luò)級安全,再使用高速交換總線加速各個(gè)模塊之間的通信。

全并行架構(gòu)

目前,Hillstone山石網(wǎng)科在多核Plus架構(gòu)基礎(chǔ)上又推出了多核Plus G2架構(gòu)。Hillstone山石網(wǎng)科首席技術(shù)專家楊慶華解釋說,該架構(gòu)立足于當(dāng)前網(wǎng)絡(luò)的需求,并結(jié)合網(wǎng)絡(luò)發(fā)展趨勢,兼顧未來網(wǎng)絡(luò)發(fā)展變化的需求,進(jìn)一步增強(qiáng)了性能可擴(kuò)展,實(shí)現(xiàn)了存儲(chǔ)和接口的擴(kuò)展。另外軟件采用了全并行流檢測引擎,進(jìn)一步提升了網(wǎng)絡(luò)可視化,優(yōu)化了性能,增強(qiáng)了可靠性。

在傳統(tǒng)的UTM設(shè)備中,流量需要流經(jīng)幾個(gè)獨(dú)立的網(wǎng)絡(luò)引擎、分類引擎、模式匹配引擎和策略引擎。這種重復(fù)勞動(dòng)不僅效率低而且性能低。Hillstone山石網(wǎng)科采用優(yōu)化的統(tǒng)一處理流程。一旦數(shù)據(jù)包進(jìn)入處理流水線,流水線的處理階段只用處理一次,包括:協(xié)議解析,協(xié)議安全處理,內(nèi)容解析,內(nèi)容安全處理,用戶、應(yīng)用、行為識別,應(yīng)用處理等。每個(gè)階段模塊的處理結(jié)果會(huì)分別輸入需要的下階段模塊處理,從而減少重復(fù)的分析和處理流程,大幅降低數(shù)據(jù)包的處理延時(shí),提高系統(tǒng)容量和性能。

記者了解到,在Hillstone山石網(wǎng)科并行操作系統(tǒng)里,所有的流處理都是針對多CPU、多核系統(tǒng)而開發(fā),并重復(fù)利用了硬件平臺的平行性。在應(yīng)用處理方面,該操作系統(tǒng)里所有流引擎都為高度并行化編程開發(fā)。

童建說,在設(shè)計(jì)系統(tǒng)時(shí),降低數(shù)據(jù)結(jié)構(gòu)的相互依賴,可以使性能、容量與CPU、CPU核數(shù)接近線性地增長。Hillstone山石網(wǎng)科的全并行處理方式能夠在多個(gè)安全功能開啟的情況下,仍然能保證非常高的吞吐量和低延遲。