山石网络公司发布其SA-5180高端防火墙

作者 | 2008-12-25 20:40 | 类型 初创公司, 弯曲推荐, 行业动感 | 81条用户评论 »

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




 笔者曾经报道过位于北京的山石网络公司,相关文章如下:

山石网科(Hillstone Networks)获北极光风投6百万美金
北极光创投 . 邓锋 . 山石网络公司 . 世界级中国高科技企业

笔者与中国计算机世界实验室的韩勖是朋友。通过其发布的文章,得知Hillstone已经在10月28日发布了其最高端系统SA-5180。从山石网络的主页(www.hillstonenet.com.cn ),查阅不到其相关5180的资料。现转载韩勖的文章如下,以飨读者。笔者也会在最近就山石网络的系统结构和其OS作出专题评估。

—————————————————————

Hillstone SA-5050安全网关应用层性能评测报告
来源:计算机世界实验室 作者:韩勖 发布时间:2008-11-13

10月28日,Hillstone正式发布了电信级万兆安全网关SA-5180,完成了从桌面到万兆核心骨干网级别的产品布局。该公司同时宣布,将与业界知名的防病毒解决方案提供商卡巴斯基合作,利用其高效、完善的病毒库,为SA系列安全网关增加防病毒特性。与传统的纯软件解决方式不同,Hillstone自主研发的防病毒引擎在高性能多核平台的基础上,借助专用安全芯片StoneASIC,可实现更高的处理能力。计算机世界实验室第一时间从Hillstone征集到新版本的 SA系列产品,对加入防病毒特性后的应用层安全性能进行了深入测试。

本次我们测试的产品是SA-5050,这也是SA系列千兆安全网关中最高端的型号。该产品采用了Hillstone所倡导的多核Plus硬件架构,将多核网络处理器、StoneASIC与高性能交换芯片进行合理搭配,减少了应用环境对性能带来的影响。虽然只是个标准的1U设备,SA-5050却提供了6个千兆电口与6组千兆光电互斥接口,网络接入能力较强。该产品还配备了互为冗余的两组电源,并支持主/备的双机冗余部署方式,为电信级应用做好准备。

SA-5050的防病毒引擎支持FTP、HTTP、IMAP4、POP3、SMTP五种协议,可以对CRYPTFF、GZIP、HTML、 JPEG、MAIL、PE、RAR、RIFF、ZIP等类型的文件进行过滤。对于现实中大量存在的压缩文件,防病毒引擎也可以做到最多5层还原检测,避免病毒从这种途径混入内部网络。为保证测试结果的时效性,我们在测试开始前将SA-5050的防病毒引擎与病毒库升级至11月6日的最新版本。

本次测试采用的测试仪表为思博伦通信的Avalanche2900,采用双向共8个千兆电口的配置。SA-5050采用8个端口进行对接,分为 Trust(4口)与Untrust(4口)两个安全域,分别连接测试仪模拟的客户端与服务端。为避免性能受到影响,在测试时关闭了所涉及模块外的一切功能选项,并采用带外管理的方式监控被测设备。

需求主导的测试方案

在制订测试方案时,我们进行了一系列用户需求调查。从反馈信息中了解到,电信运营商对性能有着特殊的要求,通常会采用独立的设备构建完整的安全防护体系。而企业与高校则是最关注安全网关应用层防护能力的两类用户,它们的需求十分复杂,甚至拓展到防病毒以外的其他领域。我们根据这些信息制订了两个测试用例,着重模拟企业与高校用户的使用环境,对SA-5050的应用层安全性能进行测试。

第一个测试用例是关于防病毒性能的基准测试,考察设备在1000条防火墙策略、源端口地址转换模式下,模拟每秒40000个用户访问Web页面时SA-5050实际能够达到的性能。测试的事务流程取自大多数用户通过浏览器访问网站的完整过程:使用客户端发起HTTP 1.1访问请求,从服务端获取一个64KB大小的页面文件,完成后即拆除连接。为防止防火墙模块对安全策略进行合并等预处理,我们制定了与模拟客户端、服务端处于同一广播域内的跳跃式策略,以保证访问请求在最后命中。在这项测试中,SA-5050的吞吐量接近1.9Gbps,表现非常强劲。

第二个测试用例则在刚才的基础上,开启P2P/IM控制与URL过滤模块,加载屏蔽BT、eMule、QQ、MSN四种常见应用和10个URL 关键字的策略,模拟每秒31000个用户访问Web页面。从技术角度看,这两类应用都涉及应用层报文处理,理论上会对性能造成比较大的影响,但从调查结果来看,这样的配置非常具有代表性,更加贴近企业与高校用户的实际需求。测试结果显示,SA-5050在这种环境下的最大可用带宽超过1.1Gbps,比预想值高出不少。我们还发现,产品在达到性能极限时,无论是WebUI还是CLI都保持了正常的响应速度,不会出现常见的“假死”情况。

及时的用户建议

在测试的收尾阶段,一位负责校园网安全保障工作的读者为我们提供了一条很有价值的信息。他所在的学校目前使用一台两年前采购的UTM产品做网关,对于设备的使用现状,这位老师并不是很满意。“现在通过互联网下载的文件越来越大,我们发现UTM扫描大文件时,性能下降太明显。”这个信息让我们很受启发,既然实际需求的变化暴露出安全网关的一些弱点,不妨再做一下有针对性的测试。

我们沿用第二个测试用例的环境,将模拟服务端使用的64KB页面换成一个1.16MB大小的可执行文件,进行了多次测试。SA-5050此时最大吞吐量达到1.8Gbps左右,被扫描文件体积的增加并未对设备的防病毒性能造成明显影响。通过与Hillstone工程师的交流,我们得知SA系列产品发挥了高性能硬件平台的优势,将文件接收、文件扫描、文件发送等环节同步地并行处理,减少了传统处理机制造成的低效率、高延迟等情况。

虽然从测试数据看,SA-5050表现出来的应用层性能尚不及2-4层性能指标那样夺目,却已经可以满足多数企业、高校类用户的实际需要。这是对传统瓶颈的一次突破,在高性能硬件平台与新版系统软件的支持下,Hillstone SA-5050包括防病毒在内的应用层处理能力已大大超越了传统意义上的防毒墙或UTM产品,达到一个新的高度。

(5个打分, 平均:4.60 / 5)

工具箱
本文链接 | | 打印此页 | 81条用户评论 »

雁过留声

“山石网络公司发布其SA-5180高端防火墙”有81个回复

  1. slopover 于 2008-12-27 5:17 上午

    多核,挺好
    Hillstone的性能是实打实的,这点值得国内公司学习

  2. 山石网科 于 2008-12-27 9:01 上午

    山石的设计思路还没突破国内安全厂商的传统界限,应该和核心创始人的netscreen情节有关。不过楼上说的是,他们的datasheet很实在。

  3. 陈怀临 于 2008-12-27 9:27 上午

    我没有读懂2楼的评论。“没有突破国内安全厂商的。。。”,而且这个局限与他们是netscreen的背景有关。我的问题是:
    1.国内安全厂商?谁呀?天融信?启明星辰?华赛?
    2.netscreen的背景与其局限性的相关性在哪里?

    原问其详,谢谢,

  4. 陈怀临 于 2008-12-27 10:21 上午

    从hillstonenet.com上找不到相关资料。这个48Gbps的switch fabric的主板估计是通过PCI-E将多核CPU和其StoneASIC互连起来的。当然这里的多核显然是Cavium。从图中可以看到,1-16个MIPS64核,天下人都知道这是Cavium. 总的来说,很漂亮和干净的一个结构。就像我在网络服务处理器的DJ中而言,混合结构是最后的最好方案。当然,hillstone的体系结构上也有许多其他问题。这是后话。。。从现在为止的hillstone产品来看,都不属于高端产品。如果哪天,我能看见一个有多个线卡(IO Card)的多U,Chasis系统,山石就可怕了。。。当然,线卡上估计是EZChip NP4:-)。放StoneASIC也可以。但QoS方面估计hillstone目前没有这个实力。StoneASIC估计主要还是FW和VPN方面。

  5. 1help1 于 2008-12-28 12:53 上午

    确实很厉害。

    我们的switch产品才跑在4 个giga port + 24 10/100M

    差距。

  6. 1help1 于 2008-12-28 12:54 上午

    而且 基本上是asic 做了绝大多数事情,软件 做的很少。

  7. sse2 于 2008-12-28 5:21 上午

    首席说的对,这个不属于高端产品.switch fabric芯片很多的,比如broadcom的5675等,vitesse的没用过

  8. 山石网科 于 2008-12-28 7:19 上午

    山石的产品性能和功能都不错,但在思路上还是老套,眼光还是放在传统的那些解决模式,比如FW/VPN/av/Content Filter(URL/Keyword)/QoS等等。他们还没有意识到或还没有足够重视应用需求的发展,那就是内容层面的安全,按国外厂商的说法就是Web 2.0安全。你看看他们的产品线,现在卖的还都是傻快傻快的设备,也不知道什么时候能做出BlueCoat,Websence,SecureComputing那样的产品来。

  9. 山石网科 于 2008-12-28 7:27 上午

    另外上面那个也是netscreen的思路吧,看看山石的产品和Juniper的SSG的相似程度就知道了,整个设计思路几乎都是一致的,除了硬件。不过,山石的产品比起juniper来更简单,基于Cavium做开发确实能把人弄傻,呵呵。

  10. 山石网科 于 2008-12-28 7:33 上午

    另外我不同意4楼的分析,Cavium的38和58应该是没有PCI-E的,连接最多用SPI4.2,吞吐最大也不会超过20Gb,这个数估计都到不了,要不评测怎么不提吞吐量呢。

  11. 陈怀临 于 2008-12-28 8:10 上午

    你说的对。我昨天在家里写评论的时刻是靠猜测。手头没有Cavium的资料。刚才确认了一下,应该是PCI-X。不是PCI-E。

    SPI 4.2不是一个control bus。不会去做CPU连接ASIC的。否则,除非山石网络另外再拉一个local bus来做stoneASIC的control。

    感觉,其体系结构的PCI-X会是一个大问题,特别是在将来的性能方面。。。。。。。

  12. 陈怀临 于 2008-12-28 8:21 上午

    我现在有个问题:如果山石网络这样发展下去,一定会至少成为国内网络安全设备的一个亮点和强竞争者。。。。

    如果我的假设成立,任正非亲自出任CEO的华赛如何应付?像消灭港湾一样,通过手段改掉山石?通过华为集团的运作,恶意竞价,在市场上消灭山石?

    拭目以待。。。。。。

  13. 山石网科 于 2008-12-28 8:49 上午

    我说用SPI4.2连是Cavium和Switch,StoneASIC应该是连的PCI-X吧,当然如果是FPGA还有可能通过GE连,可能性小,不过这种事国内厂商干得出来。

  14. 一只猪 于 2008-12-28 8:52 上午

    我想会的,现在山石还小,等到和华为有正面冲突,而且影响到华为的深层利益的时候,不用任正非发话,下面的人也会成里一个”打山办”,这种恶性竞争实在是太可怕了,它会扼杀中国的网络界合理有序的发展

  15. 山石网科 于 2008-12-28 8:54 上午

    您提了一个非常有意思的问题,我也很想知道结果如何。不过如果您能先指点一下H3C和华赛现在的关系,我将不胜感激。我想了想,国内能做并且把chassis安全设备做得不错的,也就是这哥俩了,而他们的产品本来就是同宗同源。山石要想做出华为chassis的水平,就算挖来他们的人也得要3年吧?

  16. 山石网科 于 2008-12-28 8:56 上午

    PCI-X不是问题。不管是Cavium还是RMI的下一代产品都不会再有PCI-X。

  17. 一只猪 于 2008-12-28 9:00 上午

    我觉得StoneASIC和SwtichFabric之间有可能是PCI-E

  18. Fake-Einstein 于 2008-12-28 9:24 上午

    华赛做Chassis也不是全靠自己吧,还是拿来主义多一些,自己也就做了几块板子而已,听说性能也很一般,没觉得有多好,不知说华赛做的不错的那位指的哪方面

  19. 山石网科 于 2008-12-28 9:34 上午

    华赛不错的原因:拿来的不假,但是有本事拿来就是牛,何况拿来的东西性能再次也比国内安全厂商好不少了。国内安全厂商有几个自己有Chassis的?别告诉我瑞捷,他们根本和安全部沾边;也别说迈普,和安全更不靠普;联想网御…………………

  20. Fake-Einstein 于 2008-12-28 9:48 上午

    呵呵,还不是靠了华为这棵大树好乘凉,否则找谁去拿啊,这种拿法算不得牛的,几乎是白送了。
    照你的说法H3C的Chassic做的应该也不错吧

  21. 陈怀临 于 2008-12-28 9:55 上午

    我不看好华赛的研发。山石的研发的源动力是远远强于华赛。山石的后面是netscreen在美国市场直接拼杀的人马。我个人认为,以netscreen为代表的一群人,是80年代以来,在美国工业界最优秀的一批中国工程师。当然我说的是集体。单独个人没有意义。

    但是,华为的市场手段和“更懂中国”有可能在将来对山石网络做不利之事。

    如果这个事情发生,是非常不好的事情。

    我个人曾经呼吁,国家一定要参与市场调控。从这次金融危机来看,国家在市场的参与是对的。自由资本主义是不对的。

    华为一家独大,是害国殃民。切记。毛润之都摆脱不了局限性,何况一个商业资本家任正非呢?!

  22. Fake-Einstein 于 2008-12-28 10:07 上午

    没错,华赛的研发实力和山石是没法比的,差的不是一个档次。华赛继承了华为研发体系中的一切缺点,却没有继承华为的核心技术,说白了就是一个二次开发版本而已。而且继承来的产品框架并非专门为安全应用所设计,别扭是在所难免的。这种程度离“不错”还是有一定距离的,在我看连H3C都比不了。相比山石做的东西应该都是实打实的,这群人里吃白饭的不多

  23. 所谓做安全的 于 2008-12-28 5:14 下午

    首席能不能对国内市场上的主要安全厂商做一个横向的比较?从技术、市场、管理各个方面?

    另,网络安全市场的未来如何?

    如果国内3G普及,网络安全厂商是否能有所作为?

  24. bfla 于 2008-12-28 6:58 下午

    对21楼陈老大的回复:
    华赛从每个研发单兵力量和上讲,和hillstone完全是没法比,但个人认为,华赛继承了华为技术管理和培训体系中最可怕的一点,那就是迅速将研发人员培养成一群机器人,其会在短短的时间里使用高压的方法让每个进入产品研发的员工迅速掌握相关理论知识、开发流程工具、产品基础架构以及和产品相关的一系列设计编程知识,这样的几百人一同作战,针对技术上并不算高深的防火墙产品来说,其能量不可小觑!

  25. 天行者 于 2008-12-28 7:05 下午

    呵呵,不知道山石有哪些方面是别人不具备的,技术市场把握能力?技术研发实力?市场推广能力?国际化能力?

  26. bfla 于 2008-12-28 7:39 下午

    相对来讲,山石的研发整体实力较高

  27. 一只猪 于 2008-12-28 8:07 下午

    山石所拥有的就是对技术市场的把握能力和技术研发实力,国内厂商对安全产品的理解和山石相比还有待提高

  28. 陈怀临 于 2008-12-28 8:09 下午

    回25楼,你的若干个问号是冲着哪个论点?我们是在讨论山石与华赛。你可以把天融信,启明星辰,或其他什么加入来讨论。这样大家就有个更完整的了解。。。。。。

  29. 陈怀临 于 2008-12-28 8:30 下午

    回24楼华为兄弟:

    华赛,或者整个华为目前最大的负担,(当然也是其最大的财富),就是那个VRP。冰冻三尺,非一日之寒。巨大的legacy 代码,将成为压倒华赛,或其他华blahblah(随便任正非如何分拆)的最后一棵稻草。原因我在4年前的文章里已经指出。华为也在致力于VRP重整,但我个人认为:力度,魄力和能力都不够。现在事情就复杂了:华赛分拆了。VRP算谁的?华赛是一个用户了。这里面扯皮的事情将海了去了。BGP上了一个新version你要不要?你做了一个IKE RFC你要不要。版本如何管理。客户如何维护。。。。

    我基本上认为无解。时机已过。无能为力。

    我4年前就把丑话说了。不怪我了。

  30. 山石网科 于 2008-12-28 8:51 下午

    回20楼,一个安全厂商技术实力强不强要看他们的高端产品,在国内目前好像还没看到纯安全厂商有Chassic的成功案例。有了Chassic,才有可能向更广阔市场渗透,赚更多的钱,走向一个良性循环。天融信本来是最有可能的一个,可惜他们矛盾太多了。

    现在来看,国内安全产品Chassic化的就是那些传统的数通强势厂商,例如华为、三、赛,甚至历史上的清华比威都有过有Chassic的高端产品,还真部属过。

    我觉得国内安全厂商都明白这一点,但是谁都不会去动手做这件事。就算挖来了人,想做个可用的Chassic也得投巨资花几年时间。在这样的经济形势下,谁有这个魄力?山石这种以董事会意志为转移的厂商就更不可能了。

  31. 山石网科 于 2008-12-28 9:05 下午

    回29楼,您要是对华为那么熟悉,应该知道IPOS和更后续版本的发展吧?至于您担心的资源共享的问题,我十分相信任正非先生的掌控能力。

  32. 陈怀临 于 2008-12-28 9:16 下午

    事实说明,我对华为也不熟悉。我的技术评论基本上是靠我从公开资料中获取的信息来做的评论。否则我一违法,二不够朋友。您说呢?大家都是在江湖上混的,迟早要还的。

  33. michael 于 2008-12-28 9:29 下午

    回复21楼,陈sir

    我从社会学的角度看公司内功是否深厚的问题,任何公司的水平和高度很大层度上由所处国家的宏观现状决定了,没有例外

    首先中国的人才培养现状和社会现状,达不到您所说的程度地,牛的公司都处于社会发展和教育体系很好的地域,就目前中国肯定出不来一个比较理想的体系,只能用用些土的特别的方法,很多公司的模仿,抄袭,偷,hw用的方法也是比较极端的,搞压力下激发人的潜能去提高团队作战力,毕竟就目前中国的技术水平,无论哪方面,只是停留在工程实现的阶段,而且能保持比较高水平的工程实现也是很难的,在一种短视文化盛行几千年的国度很多人懒得做这种长期的事情,再说20年的发展,能和老美比么?

    其次,一直为人诟病的hw和zte的市场推广和客户开发模式,包含了很多corruption的东西,这是大部分中国公司起家必经之路,不这样做的早死掉了或者还是在开小卖铺,人后很多选择,但是你不能选择你的出生,对吧,作为中国出来的公司,不然沾满了中国文化的特性,不然就是火星来的了,其实日本韩国的回扣文化更甚,夸张的吓人,这是我亲身经历,但是走向全球的时候也是一步一步折磨,日本人做的算是比较成功了,人家国际化了30多年了,我们才上路,国人应该多些宽容,至少要对正确的事情持有积极态度,而不是狭隘的以偏概全。一个公司当然会带有所属国的特点!
    关键的问题是,走向全球后与国际规则的融合和吸收。如果止步,就完蛋,如果不断适应国际文化和发展规则,当然会越来越好。

  34. 陈怀临 于 2008-12-28 9:50 下午

    回13: SPI4.2 or PCI-X

    我想了一天。感觉不太可能用SPI 10G interface。从他们的系统的图中可以看出,其实是一个没有backplane的pizza box。或者我们说是一个板子上什么都在上面。如果Cavium用了SPI interface,系统的性能指标,和端口数不应该是目前这样。另外,stoneASIC一定是首先处理packet的。如果要通过SPI再把数据打到Cavium上,这个stoneASIC的研发就复杂了。。。另外,PCI-X做control bus一定要上。这样来来去去,板子能做的下来都有问题。

    我感觉有可能系统结构其实很简单:PCI-X将系统整个挂起来。

  35. 老韩 于 2008-12-28 10:41 下午

    陈博士,我个人的理解也倾向于Cavium通过SPI4.2连接交换芯片,这是最简单的实现方式了。StoneASIC好像并不像传统混合架构那样(Juniper like)负责数据转发等工作,这些应该还是Cavium来做的,否则那些针对数据包操作优化的特性就没有意义了。也许是设计AV等模块特殊操作时,有些功能特性在StoneASIC上实现吧。

  36. 卡利亚 于 2008-12-28 11:37 下午

    请问老韩是hanhz么?thanks

  37. 老韩 于 2008-12-29 12:18 上午

    我是原文作者,不知道楼上说的是哪位。

  38. 卡利亚 于 2008-12-29 12:28 上午

    对不起,我以为是好久未联系的一个同事,呵呵!sorry!

  39. bfla 于 2008-12-29 12:59 上午

    回29楼陈老大:
    Eudemon自交给华赛之后,其使用华为的VRP就类似华为使用风河的vxworks一样,单纯的客户。至于BGP上了一个新版本,如果VRP做了,花钱选择升级有什么问题么?如果VRP没做,也可以根据自己产品定位自行研发相关BGP需求,至于IKE RFC等之类的,道理类似。更何况,使用Linux,BSD也会存在这些升级问题啊,个人认为这些都是一些基本的技术问题,不足以让阻拦一个产品的竞争力和发展。个人理解OS平台问题不是影响防火墙的最关键因素。更何况据闻华赛也同时在重点关注Linux的发展和研究,我想应该有可能在合适时机适当评估对VRP做完全替换或两条腿走路。

    另外想补充下的是,华赛相比其他厂商的优势不仅是技术管理和培训体系,还有一点,华赛49%的股权是杀毒厂商赛门铁壳,对于未来是否会在传统防火墙中兴起的应用层行为及病毒安全过滤,这点也是一个不可忽视的优势。

    对于Hillstone,个人认为如果3-5年内,其发展不起来,估计其就比较难形成兴风作浪的能力了。

  40. 过客 于 2008-12-29 6:11 上午

    技术上的成功不代表企业经营必定成功,这是两码事。

  41. rtytry 于 2008-12-29 7:59 上午

    回复33楼michael,十分同意您的观点.就比如对于高端路由器产品,核心的竞争力无非就两点,一个核心芯片,二是对客户业务的理解能力,第二点,国人努力下可以搞定,但第一点,由于依赖于整个国家的技术水平,所以暂时还是有差距的,这是HW目前差距最大的地方.再往大了说,不单纯说技术,一个公司的发展,必然跟这个国家的整体文化是息息相关的,什么样的文化是好的文化,单纯的利于前进和发展的文化就是好的文化么?这个问题就十分的复杂了,似乎要上升到哲学,非我辈能够评论的清楚的了

  42. 陈怀临 于 2008-12-29 9:04 上午

    回39:我完全同意您的观点。Hillstone如果3,5年不能发展(扩展)起来,基本上就不行了。

  43. 陈怀临 于 2008-12-29 8:39 下午

    35老韩,您是唯一一个见过和用过其设备的人:-)。如果您说的是对的话。山石网络系统的体系结构就比较ugly了。换句话说,stoneASIC成为一个AV处理的协处理器了(co-processor, or AV Accelerator)。

    我非常怀疑这一点。虽然我不熟悉山石网络和其netscreen产品,但感觉他们不应该是AV的专长,而是ASIC-based FW/VPN的专长。

    您其实可以与他们确认这一点。这没有什么可躲闪的。他们的市场或销售有责任告诉你们和客户。

  44. 老韩 于 2008-12-30 4:49 上午

    陈博士,我只是粗略地测试了一下他们的产品,并没有深入研究,也没有条件深入研究。我个人认为山石在对外宣传方面太保守了,以至于我从来都没能拆过他们的产品:)

    即便是信息安全厂商,这样的也不多,我印象里也只有juniper如此,看来很多东西还是有传承的。

    StoneASIC到底实现了哪些逻辑,我也讲不清楚,不过从测试结果上看应该不是转发层面的。不过他们倡导的MultiCore Plus还有点意思的,实用性挺强,过了年打算写写。

  45. 黄 岩 于 2008-12-30 5:10 上午

    一般来说,防火墙中对性能要求比较高的功能部件有两个:(1)流匹配;(2)字符串匹配。

    流匹配,就是用每个报文的五元组(IP_SRC_ADDR、IP_DST_ADDR、PROTO、IP_SRC_PORT、IP_DST_PORT)去查找流表,然后根据流表项的指示来决定下一步对该报文作何处理。要么丢弃、要么trap给上层的复杂处理部件、要么直接转发到另外的端口。对于哪些视频、音频、以及不需要作深度分析和处理的“流”的报文,流匹配之后就直接转发了。新流的报文,以及需要作深度处理的报文,则交给其他部件。这个其他部件,在HillStone中可能是Cavium多核。而流匹配部件,可能是StoneASIC。

    字符串匹配,在防火墙中,很多规则都可以用正则表达式来描述,如:防病毒、垃圾邮件、HTTP监测等。字符串匹配部件就是用来作这个事情的,首先把正则表达式转换成状态机,然后把需要匹配的报文中每个字符送到状态机中去执行匹配。

    一般来说,流匹配可以用ASIC和NP实现,流匹配可以用HASH算法+DRAM实现,也可以用TCAM实现。估计那个StoneASIC是个FPGA,做这个不是很困难。应该不是交换芯片,因为一般以太网交换芯片都没有这个功能。

    一般来说,Cavium多核做几个事情:(1)报文格式分析;(2)字符串匹配。可能还用来做加密计算,因为一般来说,现在的防火墙里面都集成了VPN功能,IPSec和(或)SSL。

  46. 陈怀临 于 2008-12-30 7:40 上午

    黄岩的分析很好。略补充一点。对安全系统而言,对报文,除了您说的5元组,要再加一个:端口(interface)。这样就可以决定一个packet或一个session的安全属性了。例如,从VLAN TAg等来知道,即使有同样上述5元组,但来自不同的端口和不同的VLAN,security policy是可以不一样的。

  47. 陈怀临 于 2009-01-03 9:26 下午

    我现在基本上同意这个Fabric是SPI 4.2 Channel的一个interconnect。至少其结构逻辑和将来发展方向是这样。

    但报文是直接进入ASIC的,然后再通过SPI打到Cavium的。

    对其目前这个5050,到底有几个SPI Channel就不清楚了。

    估计最后山石网络的体系结构会以SPI为主体做交换,PCI-X或PCI-E做控制local bus,的一个混合结构的中,低端安全设备。。。。。。

  48. zeroflag 于 2009-02-22 7:06 上午

    这里想说点不同的观点。对于芯片和操作系统,陈sir可能是内行,而对于安全,最起码对于安全市场,您可能就不是内行了。
    首先,国内安全市场的主流产品还是以开源代码为基础的。防火墙基本上就是对iptables的改造,甚至干脆直接拿过来用。比如天融信的TOS系统,就是对iptables的改造(基本上等于重写了一遍),是将iptables原有的5个点,变为了7个,以适应对L4~7层的过滤。这样做也并没有设备的性能,天融信使用RMI芯片的银河,一样做出了准10G的性能。(具体性能指标不祥,估计64字节小包应该在3G左右,1512字节包到10G应该没问题)这样做是否无耻姑且不论,但是应该说这样的技术思路是没有错误的。可以最有效最快速的满足客户需求。
    其次,对于安全产品来说,功能比性能更重要。前面有兄弟说应该做Chassic的东西,但是做出这种高性能东西干什么用呢?H3C的F5000就是Chassic的东西,号称单板10G,整机40G的能力,但是这样的设备的应用场景是哪里呢?最起码在现阶段,安全产品还是串接在链路上用的,而不是作为网络的核心来使用的。过高的性能真的没有什么必要。能够做到10G就足够用了。相反,单产品集成多功能才是安全产品的发展方向。等到有一天安全产品真的能够成为网络的核心的时候再考虑高性能吧。不过更大的可能性是在路由器和交换机上集成安全模块作为网络核心使用。
    对于StoneASIC,我的猜测与黄岩基本类似。不过我更倾向于它是一个正则表达式加速用的FPGA,因为如果是做数据流快速转发用的话,那么在启用防病毒功能的时候,这块芯片必须等CPU处理完病毒数据以后再进行转发,那么这块芯片的性能就完全发挥不出来了,那这样设计是非常不合理的。当然,防病毒部分也可以采取扣尾包的方法来部分解决这一问题,但是相比直接将其用作处理L7层的加速,终归不是一种的合理的解决方案。

    小子一点愚见,切莫见怪!

  49. zeroflag 于 2009-02-22 7:24 上午

    顺便说一下,我对山石的看法。仅仅从宣传片上来看,山石并不了解中国的安全市场,对安全市场的游戏规则根本就不熟悉。如果山石不能快速改变这一点的话,那么无论它的技术有多么强大,在这个市场上也是生存不下去的。

  50. 泽荣 于 2009-05-05 11:29 下午

    能否撰写一篇关于Fortinet的文章?

  51. 帅云霓 于 2009-05-06 4:46 上午

    呵呵,”中国的安全市场”这个词组,如果把重点放在前面半截,不由得令人生出几分遐想。我想,这种事情并不仅限于中国,包括东南亚地区(香港,新加坡除外),都有类似的特色吧。
    扯远一点儿,虽然20年前我还只是个和尿泥的小P孩儿,但是,那一年首都大街上的迷彩拖拉机造成的深远影响,走入社会之后,还是慢慢在感觉到。

    注:My left brain has nothing right and my right brain has nothing left, 请敬爱的条子叔叔不要跨省追捕我。

  52. 泽荣 于 2009-05-06 9:25 下午

    B大,能否撰写一篇关于Fortinet的文章?

  53. 老韩 于 2009-05-06 11:00 下午

    现在看49楼的评论,觉得山石已经矫枉过正了

  54. 图书管理员 于 2009-05-07 12:53 上午

    websense的产品似乎也很牛的,不知道下一步的产品规划会怎么样

  55. ffpigsai 于 2009-05-07 7:55 上午

    Fortinet的谢青和邓锋好像是同学 后来又分道扬镳了

    我也很想知道首席对它的评价

  56. 陈怀临 于 2009-05-07 9:47 上午

    嘿嘿嘿。首先这个“它”应该是个笔误?想听什么?对谢与邓的江湖恩怨?还是对Fortinet的技术评估?

  57. 某某 于 2009-05-07 5:11 下午

    crossbeam如何?上海有大型外企在用的

  58. ffpigsai 于 2009-05-07 6:23 下午

    呵呵 Fortinet说了很久要上市 到现在还上不了 想听听首席对公司的评价

    当然了,有八卦更好了嘿嘿

  59. 泽荣 于 2009-05-07 6:45 下午

    我想听“Fortinet的技术评估”,其他的首席有雅兴就给我们讲讲。

  60. 陈怀临 于 2009-05-07 7:40 下午

    曲径通幽处,禅房花木深。。。

  61. aka 于 2009-05-07 8:55 下午

    磨叽…….

  62. aka 于 2009-05-07 10:59 下午

    首席,别墨迹了啊,有空一定要给小生们讲讲,最近考虑到可能换工作,您的文章对我们具有巨大的参考价值啊……

  63. 帅云霓 于 2009-05-08 12:43 上午

    江湖恩怨这个不大好说吧,跟叙述人立场关系太大了,带有很强主观性。
    还是希望看看相关技术分析。
    关键是,跑出去面试的时候,后者的知识是可以加分的,而前者基本没有啥用:)

  64. aka 于 2009-05-08 2:16 上午

    恩,恩怨确实不好说。
    主要是技术分析看看这个公司怎么样,值不值得去,不是去加分。

  65. roccen 于 2009-05-19 2:33 上午

    安全产品不是整个IT架构的核心,那么试图把尽可能多的IT功能整合进安全产品的现实意义在哪里? 从整个IT架构的生态链上来说,网络互联、防毒、Web行为管理、P2P控制,在每一个细分领域都有技术上和市场上做到最好的公司。这些公司成熟的技术和市场关系也决定了他们一定会去捍卫各自应用在整个生态链上的价值分布。现在有了多核,技术上的完美主义者试图将一切都整合到多核支撑起来的安全设备里,技术上很好,多核提供了Crypto, Compress, DFA,提供了不同的核并行处理不同问题,要在同一个盒子里集成这些功能已经没有什么太大的技术风险了,但问题在于:用户如果选择了这样的安全应用盒子所谓的UTM,用户就不得不放弃比UTM更成熟、更能有效解决问题的 blah blah blah 应用安全供应商,这个取舍值得吗?

    国内的老牌的安全产品厂家们试图通过UTM来整合这一切,可惜到现在仍然是顶着UTM的名头卖(以)iptables(为核心进行再开发)的防火墙,如果有必要,为了提升Linux的网络互连性能而增加成本,厂商和用户们认为是值得的,但是为了提升集成的应用的性能而增加成本,这则是不可想像的─关闭了这些应用,我们的网络不是照样可以用吗?为什么要花额外的投资去增加这些锦上添花的功能呢?反正没有厂商能帮助用户算清楚在网关上增加杀毒功能的投资回报是值当的。

    然后轮到H3C和HS的安全产品和网络产品试图将这些功能整合进自己的产品了,但是很可惜,手握网络互联基础设施这个核心平台的HW系,都无法把反病毒、反垃圾邮件、Web行为管理、流量优化的价值吸引进网络这个核心平台,安全这个更处于附属地位的环节又怎么可能成为整合的核心?

    Hillstone的产品,技术上很好,很强大,但是用80%的成本去做20%的事情,而且这20%的事情还被别的角色分工已经做得很优秀,但是UTM还希望用户为这样的20%去卖80%的单,难啊! 觉得前面有位仁兄说得好,速度傻快傻快,我还要加一句,功能傻多傻多,这样的产品,太技术至上了。

    Crossbeam很好,为把众多应用集成到一个框里提供了一个很好的架构,可惜的是,这个框里没有集成网络边界的基础互联能力,更没有为这些被集成的应用提供对网络互联的控制能力,所以,它曾经叫好,但一直没有叫座…

    网关类型的网络安全设备的定位究竟是什么? 保证网络互通能力应该就足够了,当然这样又和路由交换设备重叠了,的确,融合是在发生,而且两者之间的界限已经非常不明显了─做网络安全产品的同志们都不得不承认,UTM、防火墙很大很大一部分的市场份额,似乎是取代路由器做上网,取代路由器做更快的上网网关吧.

    作为锦上添花的UTM里面的诸多功能,作为差异化竞争的“eye candy” 挺好,但用户愿不愿意为此买单,就需要经过市场的检验了。

    通过搜索偶然看到这个网站,发现里面谈到的很多内容和自己做的一些工作很相似,想到自己经历过的“傻快傻快”和“傻多傻多”产品的技术上的成功和市场上的失败,忍不住有感而发,lz包涵包涵

  66. Panabit 于 2009-05-19 3:24 上午

    回65楼,说得很好!

  67. 陈怀临 于 2009-05-19 5:33 上午

    roccen,非常深刻的评论。谢谢你。并希望你多多指教和写文章。

  68. 老韩 于 2009-05-19 6:37 上午

    65楼的同志,我想转你这篇文章,不知能否授权?

  69. roccen 于 2009-05-19 8:06 上午

    回68楼老韩,谢谢你的兴趣,可以自由转载,只要注明作者 roccen (ricardo@xkernel.net)即可。

  70. 5np4g.powerpc 于 2009-05-19 9:16 下午

    crossbeam那段相当精辟!佩服佩服!这段话我也早就想说了,呵呵

  71. droplet 于 2009-05-20 5:56 上午

    快并没有错,在网络升级到1G或者10G时,如果没有与之匹配的网络安全设备,这样的组网是没法接受的。至于功能集成,则是为了减少管理的成本。所以更快,更强是个必然的趋势。如果要引导潮流,比如要能跟得上网络发展的速度,否则,想要买高价,是不可能的。

  72. 陈怀临 于 2009-05-21 7:25 上午

    Droplet言之有理。TCO是个Turnpoint。其实在手机市场,为什么MTK联发科牛,其实就是TCO的问题。在他们的行业里,叫做Turnkey解决方案。

  73. radioaction 于 2009-05-22 11:47 上午

    有时候我在想,我们真的需要这些“傻强”的产品吗?试问一下,厂商最赢利的单子,都是些什么?如果是银行,是政府,加密机可能是大头;如果是运营商,QoS得做好了,产品得很稳定了,人家相中的可能性更大;如果是企业,要的还是防火墙,VPN的基本功能,至于那些个花里胡哨的功能嘛,人家养个信息部门吃干饭的?整个啥都有的产品向人家推荐,价格贵不说,一不小心还会被指责“不专业”。

    都说要以“市场为导向”,英明的领导们哪会不知道?但眼看着别家扯破喉咙在那幺喝,搞得满城风雨,自己能不动作么?结果你来我往就搞成现在这个样子。

    山寨啊山寨,自豪的背后是心酸。

  74. 某某 于 2009-05-22 4:12 下午

    很想听 Roccen 先生深入阐述一下有关 CrossBeam“可惜的是,这个框里没有集成网络边界的基础互联能力,更没有为这些被集成的应用提供对网络互联的控制能力”这段话…

  75. 是非曲直 于 2009-09-03 1:54 上午

    向这里的牛人学习了!

  76. 李克 于 2009-09-03 5:00 上午

    做技术的经常不关心管理和市场也是核心竞争力
    华赛的核心竞争力之一就是利用华为和赛门铁克,这本来就是他的牛,到技术专家眼里就成了不牛
    如果HW搞垄断,确实不利产业,但在商言商,只要不违反,资本主义都这么干,并且老外干得更狠.C也有打X办,A也卖跳楼价,一点不比H差,圈里的人都知道
    HW在国内和国际怎么起来的,不也是血泪史吗?嫩芽经不起风雨的打击,咋能长成大树
    不过,现在大家HW可能有点早,美国人打微软吗?好像打也自己的孩子是假打:高高举起,轻轻落下,但别人孩子他爹欧盟就不同了,往死里打
    HW死了,可能会有不少人拍手称快,大家会怪RZF,但没人会怪RZF没听陈博主的话

  77. 陈怀临 于 2010-09-05 7:48 下午

    据不愿透露姓名的大宋线报,山石的100G平台即将在9月份粉墨上场。《弯曲评论》对此高度警觉,并会跟踪报道。

    估计是一个基于Cavium的多线卡系统。例如能支持4个10G。10个GigE等等。

    这里面比较有意思的是switch fabric是什么。

    芯片技术发展到今天,系统aggregate 流量能到100G基本上比较简单了。最后估计还是在软件的feature上。。。。。。

  78. 伟大的兔八哥 于 2010-09-07 8:39 下午

    我帮某万兆网单位写网络安全规划时,发现很多厂家所谓的万兆及设备在性能上都会遇到瓶颈的,特别是既要做防火墙,又要IPS,还要审计,还要上网行为管理,最后还要负载均衡。这么多设备要串联,即使是万兆及的,性能问题会很大,而且单点故障风险也很大,所以,现在流行的是在华为或者CISCO的万兆级交换机上插入安全模块,这样会解决性能瓶颈问题,也能解决单点故障了。
    所以,我觉得各个厂家的万兆及东东还是不够成熟。

  79. asr1k 于 2010-09-09 4:30 上午

    万兆一台ASR什么都干了

  80. droplet 于 2010-09-09 8:12 下午

    在路由器,交换机上加卡,和专门的安全网关还是有差距的,就看哪个更重要了。

  81. os9600 于 2010-09-11 6:50 上午

    在路由器,交换机上加卡,和专门的安全网关还是有差距的,就看哪个更重要了。
    ———————————–
    我觉得路由器上加插卡的设备是多台安全设备的物理叠加,严格讲不算是一个系统,而是多个系统。
    天融信的100G防火墙已经发布了,Crossbar+
    多核架构。
    多核就是银河万兆吧,Crossbar从哪来呢?