|
|
|
|
|
|
 
首页 > 产品中心 > Plus G2安全架构
     
 
Hillstone山石网科多核Plus G2安全架构

随着网络的快速发展,应用和威胁出现了一些新的改变,网络的使用方式也和以前有所不同,这些变化包括:网络应用在改变,流量在加剧增长,安全设备的功能需要在增加。另外安全产品投资回报也不能忽视。网络的发展对网络安全产品提出了新的需求:
  • 面对当今的日益增长的流量需求和应用需求,以及网络管理的需求,新一代安全架构需要提供良好的性能和容量并发来支撑。
  • 提供细粒度的网络可视化管理。如果没有细粒度的网络可视化,那么网络安全将无安全可言。这种细粒度的识别包括:用户识别,应用识别和行为识别。
  • 用户投资需要兼顾,可扩展的架构设计是新一代安全网关架构的必要组成部分。
安全网关架构的发展趋势

第一代基于X86架构:x86架构的硬件并非为了网络数据传输而设计,它对数据包的转发性能相对较弱,内部交换总线则成了处理能力的瓶颈,无法适应日益增长的网络性能要求。第二代基于NP/ASIC架构:定制的NP/ASIC架构同 X86架构的方案相比,安全规则匹配速度和数据流查询速度提升了几十倍。但是在集成了应用层安全功能后,CPU就没有足够的处理能力了。与通用处理器相比,ASIC的缺点在于它的不可改变性和低扩展性。
针对第一代X86和第二代NP/ASIC安全产品架构上的不足, Hillstone山石网科推出了多核Plus架构。多核Plus架构使用多核CPU加速应用层安全,使用ASIC来实现网络级安全,再使用高速交换总线加速各个模块之间的通信。目前, Hillstone山石网科在多核Plus架构基础上又推出了多核Plus G2架构。该架构进一步增强了性能可扩展,实现了存储和接口的扩展,另外软件采用了全并行流检测引擎进一步提升了网络可视化,优化了性能和增强了可靠性。其主要特点如下:
  • 多核处理器+StoneASIC+高速交换总线提供高处理能力,满足网络对可视化,可管理,可审计的需求。
  • 可扩展的模块化设计保护用户投资
  • 全并行流检测引擎实现高性能,高容量的处理
  • 交叉检测实现网络可视化
Hillstone山石网科多核Plus G2安全架构解决方案

硬件平台
  • 多CPU多核: Hillstone山石网科利用可扩展的64位高性能多核CPU。这其中每个多核CPU可扩展至多达16个核,多核CPU也可扩展成多个CPU,同时集成了硬件加速芯片,实现了数据的快速加解密。
  • 可扩展模块化:Hillstone山石网科采用模块化设计,可以实现性能可扩展、存储可扩展和接口可扩展,模块化设计可充分保护投资。
  • StoneASIC利用StoneASIC解决方案主要用于网络和安全加速。当设备需要快速转发数据包并防护来自僵尸网络(botnet)的各种类型的攻击时,StoneASIC可以提供卓越的性能保证。
  • 高速交换总线:Hillstone山石网科通过采用高达960G的交换总线将多核CPU, 网络接口和StoneASIC连接起来。高容量的交换总线保证所有模块之间快速的无阻碍通信。

软件平台

Hillstone山石网科在多核Plus G2硬件架构的基础上,采用了自主研发的StoneOS 64位实时并行操作系统。该操作系统采用全并行流检测引擎, 通过此技术可保障网络可视化,同时可进一步提升设备性能和可靠性。
  • 交叉检测: Hillstone山石网科的交叉检测(Cross Inspection)技术不仅对协议进行深度的分析,还利用解密、解压技术打开包括SSL、GZIP等加密加壳数据流,对协议和内容进行过滤。交叉检测技术通过综合分析用户(User)状态,应用(Application)状态和行为(Behavior)状态,来确认协议的真正含义,实现更精准和更快速的定位。
  • 流检测:Hillstone山石网科的安全扫描引擎完全是基于流的。安全扫描引擎在数据包流到达时进行检查,如果没有检查到威胁,则发送数据包流,大大减少了数据的延时。同时基于流的扫描引擎不需要对每个数据流做大量缓存,极大地提高了系统安全功能的容量。
  • 全并行的架构:目前许多多核处理器只担任网络安全处理的任务,应用处理和内容安全仍然由主控CPU处理。在Hillstone山石网科并行操作系统里,所有的流处理都是针对多CPU多核系统而开发。通过降低数据结构的相互依赖,使性能和容量可以和CPU和CPU核数接近线性地增长,在多个安全功能开启的情况下,仍然能获得非常高的性能。
  • 优化的处理流程: 在传统的UTM设备中,流量需要流经几个独立的网络引擎,这种重复劳动不仅效率低而且性能低。Hillstone山石网科采用优化的统一处理流程,流水线的处理阶段只会处理一次,大幅降低数据包的处理延时,提高系统容量和性能。
  • 独立的控制和数据平面设计:独立的控制平面设计,不会因为流量过大或异常攻击而导致设备无法管理和日志无法记录。独立的数据平面则可实现安全和网络处理的高度并行,同时能够保证数据包的保序质量,为用户营造高性能、高可信赖的网络。
 
 
 
Hillstone 多核Plus®
G2安全架构白皮书
 
相关链接
   
中电飞华成功案例
华北电力大学成功案例
惠州大学成功案例
CCTV.COM内网安全案例
美国Palpilot公司案例
哈尔滨电力成功案例
   
 
     
 
   
联系我们 | 会员中心 | 法律说明 | 防范网络欺诈声明  
北京市公安局朝阳分局备案编号:1101051794     京ICP备09083327
Copyright © 2010-2012 Hillstone山石网科,保留一切权利。