首页 >> 2009网络信息安全高层论坛 >> 图文直播 >> 正文
图文:Hillstone山石网科副总裁 赵彦利
2009年4月16日 10:20    通信世界网    评论()    
作 者:CWW

    终端身份的识别安全,也是我们要关注的,任何一个接入到网络上来的用户的合法性和有效性,我们要进行有效的监管。另外,还有一些政策层面的考虑,像萨班斯法的考虑等等。

    从另外一个角度来讲,我们看到的是安全集成度越来越高。我们为什么讲这个话题?因为我们可能在不同的安全防护的时候有不同的解决方案,但是我们的花费可能是非常大的。对于设备的拥有者来讲,我们在有限的资源上防护,或者是提供更多的防护手段,这是我们在投资和实际实施的时候所要关注的问题,也就是现在很多的产品走集中化的道路。

    安全产品的性能是我们一直关注的,在讨论安全产品的时候,大家面临最大的问题就是性能。我安全防护措施越多,我对于客户的影响或者是对于整个网络的应用的影响是越大的。实际上,我希望能够找到一个非常恰当的防护手段,既能解决安全问题,同时又能保护用户的安全,这是我们最好的忙按。安全产品功能,包括了一些IP网络的安全防护,移动用户的监控和管理,特别是针对移动网所特有的一些攻击的防护,这些都是运营商所面临的一些困扰。

    作为一个新兴的厂家,我们Hillstone怎么理解应用安全,我们怎么跨越应用安全的鸿沟?下面,我简单介绍一下Hillstone这个公司。

    实际上,大家可能是第一次听说山石网科这个公司,但是NetScreen大家可能非常熟悉,实际上我们的创始人都来自于NetScreen这家公司。从04年开始发展,到06年我们的产品有一个多核的技术,成功地走到了运营商、大型的企业、大型的学校等等,这些都是依托于我们最新的技术。另外,我们在全国的布局也是非常快的,包括我们有北京的总部、上海、广州、成都、西安、福州,包括武汉、沈阳、南京、深圳、济南等等,都是有我们的办事机构。目前,我们基本上超过了160人的规模,大部分是研发人员,就是我们在产品的研发上投入是非常大的。

    另外一点,积累多年的网络安全的经验,我们站在巨人的肩膀上,我们走出的是一条什么样的道路呢?我们都知道,NetScreen是走ASIC体系的厂商,也是非常好的实力,ASIC是完全满足客户的需求。但是,随着网络的发展,越来越多地我们往应用在走的时候,可能没有办法逾越。那么Hillstone的多核的发展,是一个很好的解决办法。

    我们经过了1年多的实际销售,我们有运营商的客户,我们已经成功地在高校里面,高校的网络应用是最恶劣的,它对于产品的性能和稳定性是非常高的。另外,我们作政府行业和其他的企业行业,都有了非常多的一些客户。

    我们都讲网络安全逐渐在往应用安全在走,这是我们经常讲的第四代的网络安全架构是什么样的安全架构。最早是软件的,过渡到PC结构的,NetScreen是97年成立,是走ASIC硬件的架构,今天Hillstone所采用的是多核PLUS的安全架构。也就是说,我们采用的是新一代的安全的架构。

    这个架构有什么不一样的地方?我们透过这个架构,怎么去解决应用安全的问题,去跨越应用安全的屏障?

    传统的硬件是基于PC的安全厂家经常会讲的,我可能是用P此公共机的结构做安全防护,但是这种防护措施实际上有很大的问题,一个是总带宽的问题,还有CPU资源的瓶颈问题,很难解决应用安全。

    接下来是NetScreen最早的走ASIC架构的结构,实际上ASIC可以很好地解决网络安全的防护问题,我们很多的案例,很多的运营商用ASIC的架构很说明问题,我们可以快速地解决网络上的问题。但是,如果说我们往应用安全来走之后,ASIC架构有一个致命的问题,就是它的资源的限制问题,就是CPU的资源。因为任何的安全防护到了应用层,必须靠CPU支撑,包括一些攻击和病毒检测等等,完全靠CPU支撑。另外一点是内部总线的限制,没有办法去解决,或者是开我们所面临的一些问题。最大的问题,我们在安全产品里面经常会讲新建会话提不上去,基本上新建会话的指标在2万多。

    基于多核PLUS的架构我们是怎样的架构呢?很多的厂家也在讲多核的概念,实际上多核有不同的方式,Hillstone所采用的是专用的多核的架构,同时结合我们自己的ASIC的芯片,很多的时候并行操作系统是非常非常重要的。你要控制多核、充分发挥多核的优势,必须走并行化。有很多的厂家在设计的时候采用串行的方式,但是我们采用并行化完全走多核的方式。

    Hillstone所阐述的多核的安全架构,首先我们采用是专用的多核的处理器,你会发现在我们的产品里面,我们在性能指标上有一个指标,包括了新建会话我们是一个质的飞跃,我们1秒钟可以到25万。我们VP的处理能力和防火墙的处理能力完全一样,这些完全依赖多核的芯片体的加速。

    另外,我们的高速交换总线,我们在高端产品里面可以达到180高速交换总线。另外,我们的核心是透过高端的时候用专用的Stone ASIC处理器。另外,很少有厂家可以做64位全并行实时操作系统,我们是紧密地结合,给我们造成了非常好的架构上的优势。我们现在的概念叫做多核PLUS的概念。

    透过这个多核的产品,我们可以提供更加全面的集中化的解决方案,包括了高性能的防火墙VPN,包括了网关防毒,包括了流量的监控和管理等等,还有一些攻击防护,这些都是我们多核所能发挥的一些优势。

    这是我们多核PLUS安全架构的硬件架构,我们采用这个多核架构的时候,我们最高的CPU可以跑16核,相当于我们一个系统里面同时在跑16个CPU。另外,我们的高效交换总线是480兆的带宽,可以更好地支持我们应用的加速。所有的前端的接口,全部是千兆的接口。这是我们透过多核PLUS带给大家全新的安全架构的平台。

    操作系统实际上我们是完全模块化的操作系统,我们在任何功能全部可以跑在任何CPU的核上,全并行最大的好处是系统的稳定性。我们本身有一个专利的多核的控制技术,可以做到稳定性最佳的平衡。

    我们讲性能这一块,我们举了一个例子,这是清华研究院给我们做的对比测试的指标。在于新建会话的指标测试上,我们已经突破了业界最高的瓶颈。在ASIC架构上,一秒钟新建会话可以到2万多,我们现在可以扩展到25万,这是质的飞跃,完全依赖于多核PLUS的架构。还有一个是应用层的指标,就是你的防毒能力,运营商和客户都可以感觉到病毒的性能是我们一直没有办法逾越的,我们通过多核PLUS的架构,我们可以做到业界高的性能,可以做到1.4G。我们在媒体的公开测试里面,可以达到1.68G的处理能力,这也是业界最高的性能。透过多核PLUS的架构,我们提供全系列的产品。安全是有代价的,我们透过我们最新的技术应用在我们的安全产品里面,可以有效地控制我们的成本,能够提供非常好的性价比的解决方案,可以做到非常好的可实施的方案。

    我们拿出一款机器叫做5180,也是电信级万兆的产品,我们可以做到20G的处理能力,包括了10GVPN的处理能力,1秒钟可以支持20万的新建会话。另外,我们在支持ASIC VPN可以到运营级的级别。另外,我们IP Sec VPN可以到3万,支持2万的IP流量控制,包括我们在1.4G防病毒性能。所有的产品既然是延用了我们多年的积累,全部采用电信级的设计,包括了冗余模块的设计和全空口的设计等等。

    我们在我们全系列的产品里面,透过我们多核PLUS的平台,我们在单一系统可以跑防火墙VPN、防毒的功能、抗攻击DDOS的防护,还有专业高容量的高性能的流控性能。

    前面这张图讲了我们前面面临的安全问题,Hillstone如何解决我们所面临的安全问题?我们在单一的安全网关上,我们可以通过我们集成化的安全解决方案,以最低的代价解决你所面临的安全问题。我们在单一的网关上可以解决防毒的问题、安全审计、抗攻击、内容过滤等等单一地解决目前所有的问题,而且是可实施的方案。

    大家实际上都在讲抗攻击,我们讲一下我们比较早的案例。这是我们的Hillstone5050,应该是在07年的时候上线的系统,就是DNS的防护。我们都知道DNS的攻击量是非常大的,它1秒的请求是非常大的请求量。DNS有一个特点,请求之后这个会话必须要清掉,传统意义上的产品没有办法清除这么大的请求量,造成了运营商没有办法对于他的DNS进行有效的防护。我们利用一台5050的产品,解决它DNS攻击的问题。如果全省的DNS瘫痪,那么会造成全网的瘫痪。我们用一台5050快速地过滤掉非法的请求。5050支持的并发会话是500万,我们支持1秒的UDB的请求是50万,这是多核架构给大家带来性能上绝对的优势。

[1]  [2]  [3]  编 辑:高娟
关键字搜索:信息安全  网络安全  山石网科  
[ 本站暂时关闭评论 ]
 
  推 荐 新 闻
  技 术 动 态
  通 信 圈