Hillstone山石網科:防火墻的重定義

韓勖：X6150在山石網科的產品線中是一款與眾不同的產品，代表了面向數據中心的一種新產品形態。這一系列產品未來的發展方向是什么？有何明確的計劃？

王鐘：首先要明確一點，我們將X6150定位為數據中心防火墻，是因為在應用模式的發展面前，越來越多的數據中心用戶有了更合適的選擇。除此之外，這一系列產品同樣適用于運營商、高校等行業用戶。而針對產品本身來說，產品線的完善是一個長期工作，而當前我們要做的是在現有平臺上增加功能和提升產品的綜合特性。目前X6150有QoS業務模塊，可以進行網絡層到應用層的流量控制，是很多用戶比較急需的功能；產品綜合特性包括穩定性、可靠性等很多方面，單純從產品規格表中看到的雙主控、業務模塊冗余等只是一個基礎，還有更多的與用戶業務緊密相關的細節特性要加入進去。

劉向明：例如我們很快就要發布一個新特性，可以讓用戶在業務不中斷的情況下實現系統的在線升級。控制層面與業務層面分離的安全產品在線升級相對復雜一些，除了主控模塊上的系統，業務模塊同樣也需要做軟件升級，才能提供更多的安全特性。

韓勖：剛才您提到了產品線的完善，其實我注意到與原先2U規格的高端產品相比，X6150在性能上似乎已經有一些重疊，未來這是否會給用戶在選型時造成更多的困擾？

王鐘：這個問題其實不是產品定位的問題，而是用戶定位的問題。經過調研，山石網科認為數據中心用戶的關注點在于性能的可擴展性，業務的可擴展性、設備的可靠性和可管理性。所以在產品研發的過程中，不管是硬件架構還是軟件特性，我們都圍繞著目標用戶關注的這幾個點去做。并且未來完善產品線時，也都會按照這個思路去做。在同樣處理能力的前提下，X6150的整體價格肯定會高于傳統產品，用戶額外得到的是安全基礎架構的可擴展性。這一系列產品的目標用戶必然要為業務承載網做長期的發展規劃，否則也沒有必要使用X6150這種架構的產品。

劉向明：如今互聯網應用高速發展，安全產品的可擴展性也被越來越多的用戶所關注。通過不同的模塊配置，X6150可以覆蓋性能要求在10G~100G區間內的應用環境，同時提供了擴展空間，自由度還是比較大的。每一個產品都有它的市場，對于X6150來說，它服務的都是性能壓力非常大、擴展性要求又極高的一類用戶。

韓勖：目前我們測試過的X6150還是單純的高性能防火墻，而IPS、負載均衡等功能在數據中心中的應用愈發廣泛，不知X6150在功能拓展方面是怎樣計劃的？

王鐘：我們多次研究過用戶的應用模型，IPS對于數據中心來說確實是一個比較重要的安全功能。所以接下來我們的工作重點，除了上面提到的那些，也包括了功能擴展這一塊。至于是在現有業務模塊上增加特性，還是推出單獨的處理模塊，要根據技術評估和用戶需求而定。

韓勖：X6150測得的性能十分出色，64Byte小包吞吐量大于16G，幾種大包更是達到百G的吞吐量。不知后繼性能方面有無提升計劃？CEO童建先生在產品發布會上宣稱正在研發64Byte小包吞吐量達到50G的產品，大概在什么時候推出？

劉向明：這類產品的性能提升大多通過兩種方式，即增加業務模塊數量或者提升單板處理能力。業務模塊數量牽扯到產品線的擴充問題，未來一定會有不同型號的產品；業務模塊目前的處理能力是20G，未來也肯定會有增強，我們已有這方面的計劃。整機50G的小包吞吐量確實是既定計劃，時間也不會太久。這個結果是我們基于對新處理架構的評估得到的結果，目前還沒經過任何測試。

韓勖：與傳統的采用交換機+防火墻業務板架構的高端防火墻相比，X6150采用的分布式處理方式有著哪些優勢？

王鐘：它們的出發點是完全不同的。為交換機增加防火墻處理卡，實際上提供的是一個附加的安全特性，類似于一個功能補充性質的方案，很可能不同于用戶真正的安全訴求。而分布式處理的出發點，是從用戶角度考慮的大型網絡環境下的安全訴求和管理訴求，乃至未來組網、業務的擴展需求。當然，前者在一定程度上對于部署過特定交換機產品的用戶是有意義的，但在整體的擴展性上還存在瓶頸；而X6150給用戶的，是一個完全針對安全業務設計、各方面擁有最佳擴展性的方案。

劉向明：從技術角度看，前者很難提供強大、靈活的安全特性。有一個問題非常關鍵，就是交換機中插入多塊防火墻業務卡時，流量是如何分配的。如果不能做到均分，就很難避免單點瓶頸。還有一個基本要求，即流量與業務卡之間的綁定也不應該由人工完成，因為這樣管理起來會非常的麻煩。我們在選擇分布式處理機制做產品的時候，考慮得比較全面，注意避免了一些可能出現瓶頸的因素，所以業務、性能的擴展性和部署的靈活性是可以得到保證的。

韓勖：除架構之外，與市場同類產品相比，X6150的核心競爭力何在？我注意到QoS模塊支持2#12316;7層流量整形，這比較令人費解。數據中心是否存在應用層流量的整形需求？它能給用戶的業務帶來怎樣的變化？

劉向明：我們認為X6150的核心競爭力就是全面的擴展性。這不單是指性能的擴展，還包括業務的擴展。現在用戶普遍關注的應用識別就是最明顯的例子，其實它是所有應用層功能的基礎。只有弄清數據流的應用歸屬，病毒過濾、IPS等模塊才能進行相應的操作。山石網科在很久以前就意識到應用識別將成為防火墻的標準功能，所以將這一特性加入到流解析引擎，即StoneOS的基礎架構中。其他應用層功能模塊可以調用應用識別的結果，再執行相應的操作。

王鐘：應用識別也是山石網科一直倡導的網絡可視化的基礎，用戶可以直接在控制界面里看到網絡中應用流量的分布，且和其他功能模塊無關。我們經過測試，發現打開應用識別只會對性能造成10%左右的影響，所以現在一般都建議用戶開啟這個功能。以前大家都認為這不是高端防火墻應該做的事，也沒這個需求；其實只要做出來了，需求自然就產生了。應用層流量的QoS是非常有用的功能，高校和運營商用戶都非常重視，我們現在就有幾個點在測試；而對數據中心管理者而言，他們也希望能夠看到應用層的流量，好去對資源做配比，這其實也是用戶給我們提的真實需求。

韓勖：剛才提到了在用戶處的測試，作為全新的采用機框形態設計的產品，X6150勢必要經過大量的測試，方能驗證其穩定性，取得用戶信任。能否詳細介紹下這款產品在用戶真實環境下的表現？

王鐘：高端產品的測試周期一般比較長，用戶不可能直接將業務流量全都切到新產品上。目前X6150有3、4個測試局，在用戶環境中都還處于增加流量的階段，負載最大的單向大約跑著6#12316;7個G的流量，沒出現過重大問題。實際上，我們感覺真實環境中對NAT和鏈接處理能力方面的需求更苛刻一些，同時由于法規要求還會生成海量日志。不過山石網科很早以前就對這部分功能進行了優化，所以沒有遇到任何問題。

劉向明先生現任Hillstone山石網科首席技術官，負責制定產品策略和方向、全面的技術創新以及預研。加入Hillstone山石網科之前，劉向明先生曾擔任Juniper Networks高級研發經理，負責NetScreen系列安全設備的VPN系統的設計和開發。劉向明先生畢業于中國科學技術大學，1993年獲得美國得克薩斯州立大學奧斯丁分校物理博士學位。

王鐘先生現任Hillstone山石網科新技術研究副總裁，負責多個產品系列的發展方向和Hillstone山石網科網絡安全產品策略的制定。王鐘先生曾參與Juniper Networks北京研發中心的創立并組建了ScreenOS開發團隊，歷任高級軟件工程師、軟件架構師等職。王鐘先生畢業于上海交通大學，2000年獲得四川大學電子工程系碩士學位。