龙源期刊网 http://www.qikan.com.cn
Hillstone山石网科:防火墙的重定义
作者:
来源:《计算机世界》2010年第45期
韩勖:X6150在山石网科的产品线中是一款与众不同的产品,代表了面向数据中心的一种新产品形态。这一系列产品未来的发展方向是什么?有何明确的计划?
王钟:首先要明确一点,我们将X6150定位为数据中心防火墙,是因为在应用模式的发展面前,越来越多的数据中心用户有了更合适的选择。除此之外,这一系列产品同样适用于运营商、高校等行业用户。而针对产品本身来说,产品线的完善是一个长期工作,而当前我们要做的是在现有平台上增加功能和提升产品的综合特性。目前X6150有QoS业务模块,可以进行网络层到应用层的流量控制,是很多用户比较急需的功能;产品综合特性包括稳定性、可靠性等很多方面,单纯从产品规格表中看到的双主控、业务模块冗余等只是一个基础,还有更多的与用户业务紧密相关的细节特性要加入进去。
刘向明:例如我们很快就要发布一个新特性,可以让用户在业务不中断的情况下实现系统的在线升级。控制层面与业务层面分离的安全产品在线升级相对复杂一些,除了主控模块上的系统,业务模块同样也需要做软件升级,才能提供更多的安全特性。
韩勖:刚才您提到了产品线的完善,其实我注意到与原先2U规格的高端产品相比,X6150在性能上似乎已经有一些重叠,未来这是否会给用户在选型时造成更多的困扰? 王钟:这个问题其实不是产品定位的问题,而是用户定位的问题。经过调研,山石网科认为数据中心用户的关注点在于性能的可扩展性,业务的可扩展性、设备的可靠性和可管理性。所以在产品研发的过程中,不管是硬件架构还是软件特性,我们都围绕着目标用户关注的这几个点去做。并且未来完善产品线时,也都会按照这个思路去做。在同样处理能力的前提下,X6150的整体价格肯定会高于传统产品,用户额外得到的是安全基础架构的可扩展性。这一系列产品的目标用户必然要为业务承载网做长期的发展规划,否则也没有必要使用X6150这种架构的产品。
刘向明:如今互联网应用高速发展,安全产品的可扩展性也被越来越多的用户所关注。通过不同的模块配置,X6150可以覆盖性能要求在10G~100G区间内的应用环境,同时提供了扩展空间,自由度还是比较大的。每一个产品都有它的市场,对于X6150来说,它服务的都是性能压力非常大、扩展性要求又极高的一类用户。
韩勖:目前我们测试过的X6150还是单纯的高性能防火墙,而IPS、负载均衡等功能在数据中心中的应用愈发广泛,不知X6150在功能拓展方面是怎样计划的?
龙源期刊网 http://www.qikan.com.cn
王钟:我们多次研究过用户的应用模型,IPS对于数据中心来说确实是一个比较重要的安全功能。所以接下来我们的工作重点,除了上面提到的那些,也包括了功能扩展这一块。至于是在现有业务模块上增加特性,还是推出单独的处理模块,要根据技术评估和用户需求而定。 韩勖:X6150测得的性能十分出色,64Byte小包吞吐量大于16G,几种大包更是达到百G的吞吐量。不知后继性能方面有无提升计划?CEO童建先生在产品发布会上宣称正在研发64Byte小包吞吐量达到50G的产品,大概在什么时候推出?
刘向明:这类产品的性能提升大多通过两种方式,即增加业务模块数量或者提升单板处理能力。业务模块数量牵扯到产品线的扩充问题,未来一定会有不同型号的产品;业务模块目前的处理能力是20G,未来也肯定会有增强,我们已有这方面的计划。整机50G的小包吞吐量确实是既定计划,时间也不会太久。这个结果是我们基于对新处理架构的评估得到的结果,目前还没经过任何测试。
韩勖:与传统的采用交换机+防火墙业务板架构的高端防火墙相比,X6150采用的分布式处理方式有着哪些优势?
王钟:它们的出发点是完全不同的。为交换机增加防火墙处理卡,实际上提供的是一个附加的安全特性,类似于一个功能补充性质的方案,很可能不同于用户真正的安全诉求。而分布式处理的出发点,是从用户角度考虑的大型网络环境下的安全诉求和管理诉求,乃至未来组网、业务的扩展需求。当然,前者在一定程度上对于部署过特定交换机产品的用户是有意义的,但在整体的扩展性上还存在瓶颈;而X6150给用户的,是一个完全针对安全业务设计、各方面拥有最佳扩展性的方案。
刘向明:从技术角度看,前者很难提供强大、灵活的安全特性。有一个问题非常关键,就是交换机中插入多块防火墙业务卡时,流量是如何分配的。如果不能做到均分,就很难避免单点瓶颈。还有一个基本要求,即流量与业务卡之间的绑定也不应该由人工完成,因为这样管理起来会非常的麻烦。我们在选择分布式处理机制做产品的时候,考虑得比较全面,注意避免了一些可能出现瓶颈的因素,所以业务、性能的扩展性和部署的灵活性是可以得到保证的。 韩勖:除架构之外,与市场同类产品相比,X6150的核心竞争力何在?我注意到QoS模块支持2?7层流量整形,这比较令人费解。数据中心是否存在应用层流量的整形需求?它能给用户的业务带来怎样的变化?
刘向明:我们认为X6150的核心竞争力就是全面的扩展性。这不单是指性能的扩展,还包括业务的扩展。现在用户普遍关注的应用识别就是最明显的例子,其实它是所有应用层功能的基础。只有弄清数据流的应用归属,病毒过滤、IPS等模块才能进行相应的操作。山石网科在很久以前就意识到应用识别将成为防火墙的标准功能,所以将这一特性加入到流解析引擎,即StoneOS的基础架构中。其他应用层功能模块可以调用应用识别的结果,再执行相应的操作。
龙源期刊网 http://www.qikan.com.cn
王钟:应用识别也是山石网科一直倡导的网络可视化的基础,用户可以直接在控制界面里看到网络中应用流量的分布,且和其他功能模块无关。我们经过测试,发现打开应用识别只会对性能造成10%左右的影响,所以现在一般都建议用户开启这个功能。以前大家都认为这不是高端防火墙应该做的事,也没这个需求;其实只要做出来了,需求自然就产生了。应用层流量的QoS是非常有用的功能,高校和运营商用户都非常重视,我们现在就有几个点在测试;而对数据中心管理者而言,他们也希望能够看到应用层的流量,好去对资源做配比,这其实也是用户给我们提的真实需求。
韩勖:刚才提到了在用户处的测试,作为全新的采用机框形态设计的产品,X6150势必要经过大量的测试,方能验证其稳定性,取得用户信任。能否详细介绍下这款产品在用户真实环境下的表现?
王钟:高端产品的测试周期一般比较长,用户不可能直接将业务流量全都切到新产品上。目前X6150有3、4个测试局,在用户环境中都还处于增加流量的阶段,负载最大的单向大约跑着6?7个G的流量,没出现过重大问题。实际上,我们感觉真实环境中对NAT和链接处理能力方面的需求更苛刻一些,同时由于法规要求还会生成海量日志。不过山石网科很早以前就对这部分功能进行了优化,所以没有遇到任何问题。
刘向明先生现任Hillstone山石网科首席技术官,负责制定产品策略和方向、全面的技术创新以及预研。加入Hillstone山石网科之前,刘向明先生曾担任Juniper Networks高级研发经理,负责NetScreen系列安全设备的VPN系统的设计和开发。刘向明先生毕业于中国科学技术大学,1993年获得美国得克萨斯州立大学奥斯丁分校物理博士学位。
王钟先生现任Hillstone山石网科新技术研究副总裁,负责多个产品系列的发展方向和Hillstone山石网科网络安全产品策略的制定。王钟先生曾参与Juniper Networks北京研发中心的创立并组建了ScreenOS开发团队,历任高级软件工程师、软件架构师等职。王钟先生毕业于上海交通大学,2000年获得四川大学电子工程系硕士学位。