当前随着企业规模膨胀、网络加速扩张，应用多样化与数据快速增长成为现在企业面临的两大问题，而这背后面临的威胁也同样在级数增加。

　　随着企业数据中心形成，虚拟化技术应用，正在扩张的网络与企业架构呼吁新网络安全架构与设备。企业规模不断扩大、网络设备多样化给安全设备带来的挑战主要来自两个方面：一方面是企业的互联网安全，这部分设备通常用来放在企业的网络出口处，可以称之为企业互联网安全;另一方面是如何保障企业对外的提供的服务器安全，这一部分主要是针对企业对外的数据中心，可以称为数据中心安全。山石网科副总裁莫宁对IT168记者表示：

　　第一、企业互联网安全

　　企业互联网安全设备作为网关产品，需要处理各种各样的互联网应用，而现在互联网应用不再是基于端口就能识别出来的，安全网关要想做到策略控制，需要基于新一代基于应用特征识别的架构来支撑，另一点由于企业的规模发展，应用和流量的发展，面临的安全问题也越来越多，应用带宽管理，行为管理，威胁防范的需求，需要一个能适应多业务处理，并拥有高扩展性的高性能平台。

　　Hillstone副总裁 莫宁先生

　　第二、企业数据中心安全

　　企业数据中心由于是企业对外提供互联网服务，所承载的应用不会像企业互联网出口那么复杂，但是也面临着一个问题，是如何保障应用对外提供不中断服务，如何面临突发性的流量风暴和冲击?这都需要安全设备具有高处理能力和高扩展性能力。

　　针对于电信级产品个性化需求方面，随着应用的深入发展，数据集中的趋势也越来越明显。一个企业网内部需要大量的服务器，这些服务器会接受来自各个分支和总部的应用请求。一个数据中心也可能拥有几千台服务器。在这种变化中，网络正在从千兆走向万兆甚至10万兆，网络流量越来越大。另一方面是伴随着流量和应用的增加，网络对安全产品也提出了更高的要求，比如高性能、高并发、高容量的需求。

　　数据中心虚拟化发展带来的是服务器的利用率更高，同一台服务器承载的应用和业务流量都会是虚拟化之前的数倍。同时，随着虚拟化应用整合，势必对网络安全设备的扩展能力和高适应性提出了要求。

　　Hillstone山石网科多核Plus G2架构立足于当前网络的需求，并结合网络发展趋势，兼顾未来网络发展变化的需求，进一步增强了性能可扩展，实现了存储和接口的扩展，另外软件采用了全并行流检测引擎进一步提升了网络可视化，优化了性能和增强了可靠性，实现设备的高吞吐量和低延时。其主要特点如下：高性能的业务处理模式, 多核Plus G2采用了多CPU多核处理器加高速交换总线, 提供高处理能力，满足数据中心的高性能高容量和高并发的需求和企业互联网安全对网络对可视化，集中应用控制的需求。可扩展的模块化设计保护用户投资。全并行的架构设计保证业务的高效处理。

　　面对数据中心集中化与虚拟化的发展，安全产品产品在技术方面面临哪些瓶颈？山石网科做了哪些方面的技术改进？山石网科在产品与技术方面有哪些优势？

　　针对数据中心的集中化情况下，网络安全设备的性能和可靠性遇到了前所未有的挑战，且网络应用越来越多，如何提升安全产品的性能，提高可靠性是当务之急。但是早期的安全产品技术使得在提升空间受到很大限制，不能满足用户的需求。

　　传统的防火墙发展经历了以下几种架构：

　　X86架构又被称为通用CPU架构，具有开发、设计门槛低，技术成熟等优点，曾经以其高灵活性和扩展性在百兆防火墙上获得过巨大成功。但是缺陷也是显而易见的：在X86平台，所有通过防火墙的数据包都要通过CPU去处理，由于X86架构的硬件并非为了网络数据传输而设计，它对数据包的转发性能相对较弱，内部交换总线则成了处理能力的瓶颈，无法适应日益增长的网络性能要求。

　　定制的NP/ASIC架构同 X86架构的方案相比，安全规则匹配速度和数据流查询速度提升了几十倍。NP/ASIC能够做到的是高速执行简单的预定义操作。许多网络层的安全功能可以在NP/ASIC内部得到实现。但是在集成了应用层安全功能后，CPU就没有足够的处理能力了，一旦开启应用安全功能，性能通常都会大大下降。与通用处理器相比，NP/ASIC的缺点在于它的不可改变性和低扩展性，尤其缺乏用户自定义特性。

　　针对之前安全产品架构上的不足， Hillstone山石网科推出了多核Plus G2架构。该架构立足于当前网络的需求，并结合网络发展趋势，兼顾未来网络发展变化的需求，进一步增强了性能可扩展，实现了存储和接口的扩展，另外软件采用了全并行流检测引擎进一步提升了网络可视化，优化了性能和增强了可靠性，在开启多个功能后, 仍然可以实现设备的高吞吐量和低延时。

　　Hillstone山石网科利用可扩展的64位高性能多核CPU的行处理能力来为应用层的安全功能提供保障。这其中每个多核CPU可扩展至多达16个核，多核CPU也可扩展成多个CPU。Hillstone山石网科平台还集成了IPSec、SSL、加解密运算、压缩解压缩以及DFA功能的硬件加速芯片。通过采用硬件加速芯片，实现了数据的快速加解密，进一步提升了VPN和应用层安全的处理能力。

　　Hillstone山石网科通过采用高达960Gbps的交换总线将多核CPU, 网络接口和StoneASIC连接起来。高容量的交换总线保证所有模块之间快速的无阻碍通信。

　　全并行的架构

　　Hillstone山石网科在多核Plus G2硬件架构的基础上，采用全并行架构，实现更高的执行效率，即使在开启了多种功能后，仍然可以实现设备的高吞吐量和低延迟。

　　Hillstone山石网科采用模块化设计，可以实现性能可扩展、存储可扩展和接口可扩展。模块化设计可充分保护投资。通过增加应用处理扩展模块，可以提高本机应用处理能力，让应用处理不再成为性能瓶颈;增加存储扩展模块可以实时记录日志;增加接口扩展模块提高设备的连接性，使设备不会因为网络带宽或应用系统的升级而过时

　　多CPU处理板间冗余

　　在多核Plus G2安全架构中，业务处理板间采用冗余的设计方案，当某块CPU处理业务版出现故障后，其流量会自动平均迁移到其他业务板上，并不会引发整机系统宕机和用户的业务流中断。

　　独立的控制和数据平面设计

　　多核Plus G2安全架构采用的操作系统StoneOS由完全独立的控制平面和数据平面组成。这种分离机制保证了控制平面的可靠性、稳定性和数据平面的卓越性能。独立的控制平面设计，不会因为流量过大或异常攻击而导致设备无法管理和日志无法记录。独立的数据平面则可实现安全和网络处理的高度并行，同时能够保证数据包的保序质量，为用户营造高性能、高可信赖的网络。

　　关于莫宁

　　先生现任Hillstone副总裁，在IT行业拥有十多年的管理经验，主要负责管理和带领公司软件研发部门，为公司创造先进的研发管理理念和引领技术方向立下汗马功劳。加入Hillstone之前，莫宁先生曾在Juniper Networks北京研发中心并负责产品研发，2003年加入NetScreen Technologies 担任软件开发高级经理，此前他曾在CiscoSystems(思科系统公司)担任软件工程师，高级资深软件工程师和软件设计部经理等职，均带领团队取得了杰出的成就。莫宁先生毕业于中国科学技术大学，1997年获得美国加州大学圣巴巴拉分校硕士学位。

　　关于山石网科

　　Hillstone山石网科创建于2006年，是网络安全领域的代表企业之一，公司总部位于中国北京，在上海、广州、成都、南京等地设有办事处。Hillstone山石网科积累了多年网络安全产品研发和市场运作经验，专注于信息安全，是专业的新一代安全网络设备提供商。

　　自成立以来，Hillstone山石网科就以“贴近市场，贴近客户，快速把握并满足客户需求”为己任，用产品和方案来帮助客户获得网络安全，从而实现自身的企业价值。Hillstone山石网科凭借其独特的服务精神和强大的技术实力，以国际一流的技术打造适合中国本土化应用需求的高性能产品，并提供高性价比的新一代网络安全整体解决方案，服务于中国高速发展的网络市场。作为产业链中至关重要的一环，Hillstone山石网科勇于创新，开发的多核安全网关和安全路由器等系列产品，已经在网络安全领域树立了新的安全网络产品质量标准，在政府、运营商、银行、电力、石油、大中型企业及高校中拥有了广大的客户群体，并赢得了用户的高度肯定。