【51CTO.com 獨家特稿】早先沒做媒體的時候，給一個公司兼職做運維。公司在內(nèi)部放了幾臺IBM做測試網(wǎng)站服務(wù)器，IDC那邊托管了十幾臺做主站。兩邊的站點都向外部開放，一主一分。

在公司內(nèi)部部署對外網(wǎng)站服務(wù)器之后，安全和性能問題就不得不考慮了。以前買服務(wù)器、交換機之類的時候，IBM、Cisco，能上貴的絕對不買便宜的。這個領(lǐng)導(dǎo)也認?？墒钦f到買安全網(wǎng)關(guān)的時候，非技術(shù)出身的領(lǐng)導(dǎo)答應(yīng)的就不那么痛快了。

得，那就湊合著用吧。開始兩天還好。三天后，用戶有意見了。說你們分站怎么那么卡啊，訪問速度太慢了。公司內(nèi)部用的是10 M專線獨享，二十幾個人用，按理說不算慢?？蛇@網(wǎng)絡(luò)都是共用的，一旦有幾個人開著BT下載，外面的用戶訪問咱內(nèi)部站點就相當(dāng)費勁了。

領(lǐng)導(dǎo)開始找我了。小王，你看這個怎么解決一下？答：安全網(wǎng)關(guān)。

那幾天大老板正在緊縮開支，不過他一咬牙還是批了。

第二天山石網(wǎng)科的工程師就抱著盒子過來給我們裝上了。在熟悉的可視化圖形界面下，三下五除二配置完畢。不像有的路由器和交換機，除了命令行還是命令行。經(jīng)過一些BT限制和視頻網(wǎng)站屏蔽，網(wǎng)絡(luò)性能比以前提高多了。

說到可視化操作，很多廠商的產(chǎn)品都有可視化圖形界面，但是讓當(dāng)前網(wǎng)絡(luò)中所跑的“應(yīng)用”可視就不容易了。

舉個例子，通過80端口的數(shù)據(jù)一般我們都當(dāng)它是HTTP請求，但用戶是在看土豆網(wǎng)視頻還是在用網(wǎng)際快車下載，大家就不一定知道了吧。

要治療一個病人的癥狀，必須望聞問切。知道病人所處的實際病患情況，才可以對癥下藥。如果醫(yī)生都不能發(fā)現(xiàn)病人的發(fā)病原因、病患何處，他開出的藥或所作的處理能對病人有幫助嗎？

只有基于對應(yīng)用的可視，才能精確地區(qū)分各種應(yīng)用，全方位地進行管理和控制，從而有效地防范網(wǎng)絡(luò)外部和內(nèi)部威脅。這也相當(dāng)于現(xiàn)代醫(yī)學(xué)中，將X光透視引入醫(yī)療診斷的意義一樣。咱不為別的，就為提高診斷的準確率。

看看山石網(wǎng)科這個“醫(yī)生”能做到什么程度。

“Hillstone不僅通過協(xié)議端口識別應(yīng)用，而且能夠識別具體的應(yīng)用和行為，并針對行為進行更細粒度的應(yīng)用可視化和策略控制，對嵌入應(yīng)用的威脅進行實時安全防護。舉個例子，部署Hillstone 山石網(wǎng)科新一代多核安全網(wǎng)關(guān)的網(wǎng)絡(luò)，可以精確地識別通過80端口的各種流量，通過對這些流量的特征的分析，區(qū)分出這些流量基于的各種應(yīng)用，以及這些流量是通過哪個人的行為所產(chǎn)生的，都能詳細地加以識別和紀錄成日志，從而有效地防范風(fēng)險和提高帶寬利用率?！?/P>

嗯，如上所述，網(wǎng)絡(luò)中正在跑著的快車、迅雷、開心網(wǎng)之類的應(yīng)用，是逃不過這個設(shè)備的監(jiān)督了。

但是我們又要提出疑問了，一個好的安全網(wǎng)關(guān)要怎樣才能達到上述要求？做安全比較牛的工程師都知道，要實現(xiàn)“應(yīng)用”可視化，網(wǎng)絡(luò)中的數(shù)據(jù)包分析很占用資源，可Hillstone的盒子吞吐量能達到10G、20G？

在最近的一次媒體交流會上，筆者有幸讓Hillstone(山石網(wǎng)科)的趙彥利先生就此問題親口作了回答?？偨Y(jié)一下呢，重點有兩個。

一、多核Plus架構(gòu)

二、實時并行操作系統(tǒng)

一硬一軟相得益彰。此乃一個安全網(wǎng)關(guān)牛X的奧秘所在。

先說說“多核架構(gòu)”。Hillstone山石網(wǎng)科采用并行多核Plus G2（Multi-Core Plus）架構(gòu)（多核處理器+ASIC+高速交換總線）設(shè)計的新一代多核安全網(wǎng)關(guān)，提供可擴展的電信級硬件平臺，在產(chǎn)品功能上除了防火墻、VPN、防病毒、入侵檢測等UTM具備的功能外，還將帶寬管理、上網(wǎng)行為管理、攻擊防護等安全功能集成到統(tǒng)一的平臺，從底層進行軟硬件和并行操作系統(tǒng)的優(yōu)化。

芯片如馬，當(dāng)然跑的越快越好，架構(gòu)當(dāng)然也要科學(xué)先進，這是第一個奧秘。

再來看看“實時并行操作系統(tǒng)”。

這個名字有點拗口，連筆者當(dāng)時也聽的有些奇怪，Hillstone山石網(wǎng)科用的是他們自行開發(fā)的一款名叫StoneOS 的操作系統(tǒng)。采用創(chuàng)新的并行流檢測引擎，并行流檢測引擎通過交叉檢測技術(shù)實現(xiàn)網(wǎng)絡(luò)可視化將IP、端口識別為用戶，應(yīng)用和行為通過并行流檢測引擎完成所有安全威脅檢測，對所有安全威脅的檢測使用一個策略引擎，數(shù)據(jù)流被分配到并行多核架構(gòu)上實現(xiàn)安全威脅全并行處理。

好馬配好鞍，有了一個充分發(fā)揮硬件潛力的操作系統(tǒng)，性能變高將是水到渠成，這是第二個奧秘。

總結(jié)以上兩點，我們可以知道。有了搭載高性能多核芯片的設(shè)備，再結(jié)合可以并行流檢測的引擎。什么包分析處理、應(yīng)用可視化、上網(wǎng)行為管理、流量控制等等自然不是什么麻煩事了。不過要在高吞吐量環(huán)境下把這個做好，可不是個容易的事情。筆者建議，大家在給自己單位買設(shè)備的時候，一定得把這點考慮進去。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】