那 罡
企业的数据在不断集中的同时,应用也在不断增多。同时,与此相对应的网络也就变得越来越复杂,流量也在飞速提升。Hillstone山石网科总裁兼CEO童建认为,一个企业网内部需要大量的服务器,这些服务器会接受来自各个分支和总部的应用请求。在企业不断发展过程中,企业网络正在从千兆走向万兆甚至10万兆,造成的网络流量越来越大。此外,伴随着流量和应用的增加,网络对安全产品也提出了更高的要求,比如高性能、高并发、高容量的需求。
网络需要可视
然而,网络应用的数量也在不断丰富,包括IM(及时通信)、P2P下载、视频浏览、网络游戏和SNS(社交网络)等。另一方面,网络应用的方式在改变,一些应用程序开发商为了躲避协议封堵,将应用建立在HTTP等基础协议之上,或者端口号采用随机方式产生,或者采用诸如SSL的加密方式来隐藏内容。这些新的应用方式,让传统基于端口的应用和行为无法识别,也让网络变得越来越无法管理。
一连串的问题摆在IT负责人的面前:当前的设备如何更加有效地确保网络不受侵害?如何保护关键应用不受影响?如何应对网络流量的快速增长?如何保护当前投资?如果企业的安全设备在不具备千兆数据处理的同时执行深度应用检测,将很难解决上述难题。因此,如何看到网络中的内容成为新一代安全网关必须解决的问题。
目前,在安全网关系统的发展方向上,多核处理器正在代替NP/ASIC的位置。在这种系统里,多核处理器带来了比NP/ASIC更好的可编程性。但多核处理器只担任网络安全处理的任务,应用处理和内容安全仍然由主控CPU处理。在许多平台上,新建连接等防火墙功能也是由主控CPU实现的。
针对第一代x86和第二代NP/ASIC安全产品架构上的不足, Hillstone山石网科推出了多核Plus架构,该架构是专门针对当今网络安全的需求而定制的。多核Plus架构使用多核CPU加速应用层安全,使用ASIC来实现网络级安全,再使用高速交换总线加速各个模块之间的通信。
全并行架构
目前,Hillstone山石网科在多核Plus架构基础上又推出了多核Plus G2架构。Hillstone山石网科首席技术专家杨庆华解释说,该架构立足于当前网络的需求,并结合网络发展趋势,兼顾未来网络发展变化的需求,进一步增强了性能可扩展,实现了存储和接口的扩展。另外软件采用了全并行流检测引擎,进一步提升了网络可视化,优化了性能,增强了可靠性。
在传统的UTM设备中,流量需要流经几个独立的网络引擎、分类引擎、模式匹配引擎和策略引擎。这种重复劳动不仅效率低而且性能低。Hillstone山石网科采用优化的统一处理流程。一旦数据包进入处理流水线,流水线的处理阶段只用处理一次,包括:协议解析,协议安全处理,内容解析,内容安全处理,用户、应用、行为识别,应用处理等。每个阶段模块的处理结果会分别输入需要的下阶段模块处理,从而减少重复的分析和处理流程,大幅降低数据包的处理延时,提高系统容量和性能。
记者了解到,在Hillstone山石网科并行操作系统里,所有的流处理都是针对多CPU、多核系统而开发,并重复利用了硬件平台的平行性。在应用处理方面,该操作系统里所有流引擎都为高度并行化编程开发。
童建说,在设计系统时,降低数据结构的相互依赖,可以使性能、容量与CPU、CPU核数接近线性地增长。Hillstone山石网科的全并行处理方式能够在多个安全功能开启的情况下,仍然能保证非常高的吞吐量和低延迟。