Ｈｉｌｌｓｔｏｎｅ山石网科：技术为需求服务:山石网科

　　Hillstone山石网科是近几年来迅速崛起的安全厂商,以提供集成化的安全网关产品/解决方案而著称。计算机世界实验室两年内先后测试过该公司提供的3款产品,感觉功能方面在逐步完善,性能也屡创新高。最近G5150测试报告的发布引发了新一轮热议,我们索性有请山石网科副总裁莫宁及CTO刘向明献身说法,为读者朋友们揭开高性能的奥秘。
　　
　　需求改变架构
　　
　　韩勖:我注意到山石网科即将发布的SG-6000系列产品采用了新的多核Plus G2系统架构。从多核Plus到多核Plus G2,都有哪些改进呢?这些改进的意义何在?
　　莫宁:这个改进的过程其实是利用自主创新能力去满足市场需求的一个过程。第一代的多核Plus基于单个CPU共享内存的并行处理方式,做到比较高的性能。但客户的要求越来越高,有时候不是简单成倍的增长,甚至是几十倍的增长; 我们产品又发展很快,功能不断丰富,加入了IPS、上网行为管理等应用层安全特性。芯片厂商提供的产品并不能很好地适应这些变化,在这种情况下,我们不能依赖别人。多核Plus G2的重大改进就是多核多CPU的并行处理,摆脱芯片处理能力方面的限制,使向更高端延伸成为一种可能。
　　刘向明:比如我们去年发布的SA-5180,是SA系列中性能最高的产品,但还是有客户希望在打开AV、IPS的时候达到更高的性能。这种情况就不是依靠单一的芯片能解决的,多核Plus G2就是瓶颈被突破时一种非常自然的进化。
　　韩勖:那么在多核Plus G2的研发过程中遇到过什么难题?在分布式处理方面采用了什么样的解决方式?
　　莫宁:路由器的实现相对简单,它可以针对每个数据包去做处理,因为这里没有流的概念; 安全网关做的是应用层方面的业务,必须对每一个完整的流去做处理。所以,我们最大的难点在于任务调度的实现方式,要么把整个流在所有内核间做同步,然后每个包在不同的内核上进行处理,要么把流合理分配到某些内核上,减少同步工作的复杂度。这是最大的一个问题。我们的软件相对灵活,既可以做到任务的全并行处理,也可以使用几个内核去做性能开销比较大的工作,例如病毒过滤等等。
　　韩勖:所以才会有单独用于病毒过滤的业务处理模块了?但我看到SG-6000系列产品支持的扩展模块中,各种接口卡占了很大比例。这又是出于什么考虑?
　　莫宁:主要还是用户使用的灵活性。举个例子,万兆接口如果放在主板上,大部分用户应该都用不上,支持Bypass的接口也一样。但这样一来设备成本也会增加很多,产品就缺乏竞争力。我们是经过权衡才决定设备上固化多少个接口的,应该可以满足大部分用户的需求。个别用户需要更多的光/电/万兆或者带有Bypass特性的接口时,可以利用模块进行扩展。
　　刘向明:这次发布的扩展模块有业务加速、接口扩展和存储三大类,未来我们会根据用户需求推出有针对性的扩展模块。集中式处理的产品肯定要有各种扩展模块,把选择权留给用户。比如说有的用户比较关注病毒过滤或者行为审计,那只需将相应的模块插到SG-6000上就行了。
　　韩勖:刚刚测试过的G5150可以通过扩展模块增加最多32个千兆接口,我想请教一下,提供远超产品处理能力的接口数量用意何在?
　　莫宁:这样设计主要是为了满足用户需求。例如最近一个客户购买了几十台的G3150,每个地区中心都部署一台,每台配满4个8光口模块。分支机构的流量并不大,但距离相隔很远,需要直接通过光纤连到地区中心的G3150。在国内,这种部署方式还是比较普遍的,流量都是从各分支到总部然后再到互联网。如果通过交换机汇聚的话,它的安全不能得到保证,有可能因为某个节点出现问题影响到其他节点。
　　
　　软件:高效+实用
　　
　　韩勖:对于安全网关的功能模块来说,与各领域领导厂商进行合作是业内比较常见的做法,比如你们也在使用卡巴斯基的病毒特征库。那么在UTM Plus新增的功能里,自行研发占多大比例?
　　莫宁:像以前的病毒过滤引擎一样,IPS、上网行为管理、URL过滤功能的引擎也都是我们自己研发的。IPS和应用的特征库是我们自己在做维护更新; URL特征库采用合作的方式,目前有超过2000万条地址信息。
　　韩勖:测试中IPS的性能表现给我留下了深刻的印象,不知IPS的引擎采用了哪些技术实现?
　　刘向明:应用层业务实际上都有一套统一的处理机制,不是病毒过滤做一遍、IPS再做一遍,行为分析又做一遍,是不同的功能看不同的点,这是效率提升的根本原因。一开始要把包分析成会话,数据来了可能会有重复,这个关联所需要的时间比较长。流解析完之后,不同的功能模块开始并行处理。病毒过滤更多地对数据部分感兴趣,IPS更多地对协议部分感兴趣。实际上,大部分开销都消耗在组包、协议分析等步骤上,而不是特征比对部分。
　　莫宁:独立的功能模块有独立的部分。我们有一个好的处理方式,一个包进来,不同的信息可以反馈到不同的模块去,同时保证一边收包,一边发包。这也是综合性能可以做到很高的原因。
　　韩勖:现在,管理与审计的可视化是大家都看到的一个需求,但真正实现了的产品还不多。山石网科的可视化做到了什么程度?
　　刘向明:可视化的重要性不言而喻,传统的安全产品在这方面做得还很不够。安全产品的功能越来越多,但从管理员的角度看,反而越来越难知道到底是怎么一个状况、出现什么问题。实际上他更关心如何去管理网络,而不是攻击到底如何发起。现在可视化做的就是把各类信息关联起来的工作,管理员可以实时地看到什么角色有着什么样的行为。存储模块也可以把这些信息都保存下来,如果要审计几个月前某人干了什么事情,用软件把数据提取出来进行分析就行。这个软件是随上网行为管理模块一起交付给用户的。
　　韩勖:那么可视化实现过程中的难点主要有哪些呢?
　　刘向明:主要还是技术方面。首先实现可视化需要不小的系统开销,传统的硬件平台可能比较难满足。其次,越来越多的应用开始转向P2P模式,其中有些是加密的,数据的识别判断是一个难点。另外,有很多用户可能出差或者在家工作,能不能把行为准确定位到人,也是一个技术难点。其实就是对应用、角色和行为的判断识别,一定要准确。行为分析也很重要,例如某个账号很久没有使用,突然开始活动,是正常的状态还是被黑客所利用?这就涉及到对应用模型的分析,也是可视化需求的一部分。