快速增長(zhǎng)的網(wǎng)絡(luò)和數(shù)據(jù)通信發(fā)展，給數(shù)據(jù)中心安全設(shè)備提出了更高要求：要有超高的吞吐量、并發(fā)連接數(shù)和新建連接速率，安全性能要隨需線性擴(kuò)展，還要有強(qiáng)大的應(yīng)用安全處理能力……然而，在新的網(wǎng)絡(luò)環(huán)境下，傳統(tǒng)架構(gòu)下的安全設(shè)備性能和擴(kuò)展性瓶頸已經(jīng)顯現(xiàn)：使用單CPU架構(gòu)的系統(tǒng)無(wú)法滿足用戶要求，多CPU架構(gòu)中的堆疊式架構(gòu)和傳統(tǒng)分布式架構(gòu)也都難以使安全產(chǎn)品性能實(shí)現(xiàn)全面有效的線性增長(zhǎng)。

8月22日，山石網(wǎng)科推出全分布式架構(gòu)及基于該架構(gòu)的首款網(wǎng)絡(luò)安全產(chǎn)品Hillstone X7180。它破了傳統(tǒng)架構(gòu)的技術(shù)壁壘，為安全性能和功能的全面擴(kuò)展提供了架構(gòu)基礎(chǔ)。X7180提供以高性能防火墻為核心的多種網(wǎng)絡(luò)安全功能，其吞吐、新建、并發(fā)等關(guān)鍵性能都可以隨著CPU的增加而實(shí)現(xiàn)線性增長(zhǎng)，并能為應(yīng)用層安全擴(kuò)展提供有力保證。

全分布式架構(gòu)突破傳統(tǒng)技術(shù)壁壘

目前，典型的安全產(chǎn)品架構(gòu)主要分為單CPU架構(gòu)和多CPU架構(gòu)，后者又可細(xì)分為堆疊式架構(gòu)和分布式架構(gòu)。在高端安全產(chǎn)品上只采用單一的CPU架構(gòu)已滿足不了用戶需求，而現(xiàn)有的多CPU架構(gòu)也還存在性能增長(zhǎng)上的瓶頸，這主要體現(xiàn)在對(duì)于實(shí)時(shí)動(dòng)態(tài)信息（RTO）的處理上。RTO處理機(jī)制是決定安全設(shè)備和可擴(kuò)展性的關(guān)鍵因素之一。RTO是在進(jìn)行數(shù)據(jù)包處理中動(dòng)態(tài)創(chuàng)建的信息，包含了攻擊防護(hù)和系統(tǒng)監(jiān)控所需的計(jì)數(shù)器和狀態(tài)信息。存儲(chǔ)RTO信息的數(shù)據(jù)庫(kù)就是RTO-DB。

在堆疊式架構(gòu)中，為提升整機(jī)數(shù)據(jù)處理能力，多個(gè)系統(tǒng)模塊被疊加在一個(gè)大系統(tǒng)中。這種架構(gòu)下，子系統(tǒng)模塊之間的性能和容量不能互相支援，跨模塊之間的性能較低且無(wú)法相互冗余，并且，對(duì)資源和RTO的管理都比較困難。

現(xiàn)有常見(jiàn)的分布式架構(gòu)有兩種：共享型分布式和復(fù)制型分布式。

共享型分布式架構(gòu)在多CPU的系統(tǒng)架構(gòu)中采用集中的RTO-DB管理方式，所有RTO信息都存儲(chǔ)在一個(gè)RTO-DB中。在CPU增加后，這種一對(duì)多的模式會(huì)限制性能的提升，并可能出現(xiàn)單點(diǎn)故障。復(fù)制型分布式架構(gòu)是在多CPU系統(tǒng)中，所有CPU上完全復(fù)制RTO信息。在這一架構(gòu)下，每個(gè)CPU都有相同的RTO-DB的復(fù)制信息，CPU增加時(shí)，RTO-DB的信息同步復(fù)雜度隨之增加，造成資源內(nèi)耗。

與以上架構(gòu)不同的是，全分布式架構(gòu)通過(guò)基于會(huì)話的智能流量分配算法實(shí)現(xiàn)業(yè)務(wù)流量在業(yè)務(wù)模塊（SSM）和接口模塊（IOM）上的分布式高速處理，基于獨(dú)特的資源分布管理算法，突破了多CPU下的資源高效分配的技術(shù)壁壘，實(shí)現(xiàn)RTO信息在多CPU上分布式存儲(chǔ)與同步。全分布式架構(gòu)使防火墻的吞吐量、最大并發(fā)連接數(shù)、每秒新建連接數(shù)性能可隨CPU增加而全面線性增長(zhǎng)。

全新X7180魅力綻放

采用創(chuàng)新的全分布式架構(gòu)，Hillstone X7180具有360Gbps的防火墻吞吐，能實(shí)現(xiàn)1.2億的最大并發(fā)連接，240萬(wàn)的每秒新建連接，支持1000個(gè)虛擬防火墻，最大功率僅為1300W，機(jī)箱設(shè)計(jì)僅有5U，實(shí)現(xiàn)了高性能、多安全功能和綠色節(jié)能并舉。在可擴(kuò)展、高可靠、虛擬化安全、IPv6過(guò)渡技術(shù)等方面，X7180也有顯著提升，可為數(shù)據(jù)中心應(yīng)用及云計(jì)算安全提供強(qiáng)大的支撐。

X7180依然沿用了山石網(wǎng)科電信級(jí)設(shè)計(jì)方案，軟硬件均采用高可靠設(shè)計(jì)，通過(guò)增強(qiáng)的設(shè)備級(jí)HA保障系統(tǒng)可靠性；主控、模塊冗余保證設(shè)備可靠性；風(fēng)扇、電源冗余保證部件可靠性；全接口bypass保證接口可靠性等“四級(jí)”整體安全可靠，確保業(yè)務(wù)不間斷運(yùn)行。

X7180支持高達(dá)1000個(gè)虛擬防火墻，每個(gè)虛擬防火墻系統(tǒng)擁有獨(dú)立的系統(tǒng)資源，并可獨(dú)立精細(xì)化管理，為不同的業(yè)務(wù)或用戶提供可視化的獨(dú)立安全管理平面?？筛鶕?jù)實(shí)際業(yè)務(wù)情況，合理分配每一個(gè)虛擬防火墻的CPU、會(huì)話、接口、等資源，能獨(dú)立配置安全策略和日志審計(jì)。

在下一代互聯(lián)網(wǎng)部署技術(shù)上，X7180支持IPv6過(guò)渡技術(shù)，包括雙棧、隧道、DNS64/NAT64等多種技術(shù)，同時(shí)具備成熟的NAT444功能，支持外網(wǎng)地址固定端口塊向內(nèi)網(wǎng)地址的靜態(tài)映射，能夠基于會(huì)話和用戶生成日志，方便溯源，便于管理。增強(qiáng)的NAT功能，能夠充分適應(yīng)目前運(yùn)營(yíng)商網(wǎng)絡(luò)的特點(diǎn)，降低用戶網(wǎng)絡(luò)建設(shè)成本。

數(shù)據(jù)中心：安全廠商的新機(jī)遇

X7180具備應(yīng)對(duì)云計(jì)算、寬帶提速、大數(shù)據(jù)互聯(lián)網(wǎng)時(shí)代下數(shù)據(jù)業(yè)務(wù)高速發(fā)展的安全防護(hù)能力，主要部署在大型云數(shù)據(jù)中心、運(yùn)營(yíng)商城域網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等應(yīng)用場(chǎng)景，滿足海量業(yè)務(wù)環(huán)境下的安全應(yīng)用防護(hù)需求。

在山石網(wǎng)科市場(chǎng)副總裁張凌齡看來(lái)，在數(shù)據(jù)中心安全領(lǐng)域，近期國(guó)內(nèi)有非常大的機(jī)會(huì)。中國(guó)政府正進(jìn)行大量云計(jì)算中心建設(shè)，這些云計(jì)算中心會(huì)在近一兩年落地。2012年，中國(guó)宣布建設(shè)100個(gè)智慧城市，近期又宣布了93個(gè)，隨著近200個(gè)智慧城市的建設(shè)，大型數(shù)據(jù)中心、云計(jì)算中心增長(zhǎng)將非常迅速。據(jù)統(tǒng)計(jì)，2012年~2016年，全球數(shù)據(jù)中心市場(chǎng)年復(fù)合增長(zhǎng)率將達(dá)到12%。中國(guó)的增長(zhǎng)速度是全球的2~3倍。這給數(shù)據(jù)中心安全廠商帶來(lái)的機(jī)會(huì)是巨大的。

另?yè)?jù)透露，目前，山石網(wǎng)科的數(shù)據(jù)中心防火墻X系列，大約占整個(gè)銷售額的25%~30%，其余70%~75%的銷售額來(lái)自企業(yè)級(jí)市場(chǎng)，其中，中小型市場(chǎng)占15%左右。2013年，山石網(wǎng)科在中小企業(yè)，政府、教育金融、企業(yè)及運(yùn)營(yíng)商、ICP等領(lǐng)域全面發(fā)力，與此相對(duì)應(yīng)，產(chǎn)品也分別覆蓋到一體化多功能安全網(wǎng)關(guān)、下一代智能防火墻和數(shù)據(jù)中心安全產(chǎn)品。