山石网络的64位并行安全操作系统StoneOS

作者 | 2008-12-27 10:55 | 类型 行业动感 | 33条用户评论 »

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




下面的文字是笔者从山石网络网站上找到的相关资料。希望有兴趣的读者可以发表评论。我大概看了一下其体系结构框图,感觉存在一些问题。我个人的意见和评论如下–陈怀临

1. 整个安全软件系统环境叫做StoneOS更概念正确一些,而非是一个middleware层叫做StoneOS。 目前标注的StoneOS可以(应该)改成StoneKernel才概念完整。另外,其Fabric应该取名为StoneFabric。这样就很完整。整个软件系统叫做StoneOS。优化或裁剪的Kernel叫StoneKernel。ASIC叫StoneASIC。

2.从图示,我们可以看见FW,VPN(对网络安全有兴趣的读者应该知道,这里其实是指IPSEC的Control,如IKE。IPSEC应该是在StoneASIC里面做了大部分了)。P2P比较有意思。是个亮点。ALG在StoneOS里,这是情理之中。QoS这个比较有意思。QoS确实是个大难点。希望HillStone有更大的ASIC话的空间。

3.从计算机世界实验室的测试来看,StoneOS和StoneASIC对AV方面的功夫下的很大。如接近2Gbps的AV性能。 确实不错。从其体系结构来看,应该是全部靠CPU来做的。这方面其实还有空间,如通过Cavium或StoneFabric(希望山石网络启用我创造的词汇)的PCI-E Interface做或买一个AV的FPGA加速器等。

专用实时64位并行安全操作系统StoneOS
Hillstone 全线产品采用专用多线程实时64位并行操作系统,多线程的并行处理能力和模块化的结构易于集成和扩展安全功能,专用的安全加固的64位操作系统针对新一代 多核处理器安全架构进行了全面的优化和安全加固,极大地提高了系统的处理效率、系统稳定性和安全性。模块化和多线程的处理机制,为Hillstone新一 代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。
众 所周知,操作系统是整个安全设备的核心和基础,安全产品的操作系统必须具有很强的抗攻击能力,而基于软件的安全系统采用的是通用的操作系统,通用操作系统 会暴露大量的操作系统漏洞,安全系统再强大,操作系统的漏洞会直接导致这个系统的崩溃。目前,专用定制的操作系统被广泛采用。Hillstone系列产品 均采用定制的专用操作系统StoneOS。StoneOS具有64位实时并行处理能力,其核心针对Hillstone硬件产品进行了全面优化,使得系统具 有更高的处理效率和稳定性。模块化的系统结构易于集成更多的安全功能,系统具有极强的伸缩性和可扩展性。任何独立的安全模块出现问题都不会影响整个系统的运行。

 
(4个打分, 平均:3.00 / 5)

工具箱
本文链接 | | 打印此页 | 33条用户评论 »

雁过留声

“山石网络的64位并行安全操作系统StoneOS”有33个回复

  1. 山石网科 于 2008-12-28 7:36 上午

    AV不太可能全是CPU来做的,Cavium处理器的架构太次了,核越多效率越低,尤其是复杂事物,做过开发的应该都了解。另外,山石对外一直也说AV是“借助StoneASIC的强大性能”。

  2. 陈怀临 于 2008-12-28 8:14 上午

    stoneASIC做AV Engine的可能性非常小。做一个FPGA还差不多。Cavium有PCI-X interface,其他都好办。Cavium上还有许多DFA Lookup Engine.

    总而言之,感觉山石头网络设备的体系结构的局限性会出在,将来做多chasis结构时,线卡,处理卡,管理卡的互联方面。

    短期解决方案是升级到PCI-E。其他再说啦:--)

  3. 山石网科 于 2008-12-28 8:46 上午

    从来就没觉得stoneASIC会是ASIC,从做产品和技术角度出发都应该是个FPGA。不是我小看山石,评他们的资本还玩不起ASIC,而这帮人又不会买别人的东西吧。

  4. Fake-Einstein 于 2008-12-28 9:37 上午

    用ASIC做IPSEC?从图里怎么看出来的啊?
    那个所谓ASIC应该不是什么太神的东西,一块逻辑,干些粗活而已。说是ASIC更多的应该是宣传意义。
    不过山石这款产品各方面来看都是不错了。

  5. 陈怀临 于 2008-12-28 10:18 上午

    如果stoneASIC不在IPSEC,VPN的性能是不可能这么好的。如果你再次阅读其创办者的经历,就会理解这对于他们确实不是难事。stoneASIC和好,stoneFPGA也好,一定会ASIC化的。我没有看见系统,但99%认为是ASIC了。

  6. 山石网科 于 2008-12-28 8:37 下午

    我觉得stoneASIC和IPSEC没太多联系,Cavium处理器已经可以提供除phase1以外的所有加速,为何再整一块ASIC或者FPGA弄?

    首席最近发文力挺hillstone,和他们关系肯定不错吧?如此,还不介绍些内幕消息以正视听,至少大家不必再为ASIC或者FPGA猜来猜去。

  7. 陈怀临 于 2008-12-28 8:50 下午

    我也不知道其系统细节。我这就算力挺了?比华赛强难道是值得高兴的事情嘛?

    总的来说,山石网络目前的产品不属于高端产品。我的评论你要仔细看一下。他们其实问题很多。
    我与华为许多高管很是同学,朋友。要不要要我透露华为的内幕消息???

  8. 山石网科 于 2008-12-28 8:55 下午

    您这说的就让我觉得奇怪了,既然您说不了解其系统细节,那又怎么保证评论的正确性呢?或者应该等您后续的详细评论出来再做讨论吧

  9. 陈怀临 于 2008-12-28 9:11 下午

    我对华为的评论铺天盖地,是否您认为我手头有一份VRP的源代码?通过其一个框图,来猜测其互联Interface,通过华为数据通信的线卡端口参数,猜测其背板和NP芯片,这是否合理?

  10. bfla 于 2008-12-29 8:46 下午

    说实话,我比较厌烦这个os那个os的说法。其实这些网络厂商无非是在传统os上做了个网络应用而已。谁敢说是自己做的进程调度?自己做的kernel内存管理?自己做了VFS/FS?大多数都是这里改改,哪里改改,加些这啊哪啊的,什么ASIC/NP/MultiCore/VPN/FW之类的东西都已经做烂了,实在觉得这个行业没什么好评价的了。

    不知道陈老大是否赞同我的观点?

  11. 陈怀临 于 2008-12-29 9:27 下午

    嘿嘿。不知道,我没有VRP,StoneOS,ScreenOS, JUNOS, IOS,IOX的源码:-)。
    总的来说,操作系统工程师通常看不起网络工程师,网络工程师看不起用户程序工程师。用户程序工程师看不起测试工程师。。。。。

    当然,这都不对。望贤弟要谦虚。

  12. sse2 于 2008-12-30 6:43 上午

    hw vrp 里的路由协议是不是用的nexthop 的GateD?谁了解?

  13. dasha 于 2008-12-30 7:48 上午

    如果有可能,为什么不打个擦边球,透露一些华为的内幕消息呢?比如华为竟价北电等等。多谢了。

  14. simon 于 2008-12-30 6:03 下午

    还是看看 SRX 吧 什么是真正的 NB

  15. 陈怀临 于 2009-01-01 1:38 下午

    这确实,山石网络的设备目前而言不属于高端防火墙设备。SRX这样的系统没有强有力的软硬件积累,不太可能有一个2年的初创公司能做的出来。

  16. simon 于 2009-01-03 8:26 下午

    bfa 同志比较NB 什么东西看起来都简单
    说来其实大部分东西还不是源于 unix V7 这个祖宗 高端无非就是 ASIC 设计 network协议栈还不是源于 bsd4.4
    无论是 os kernal 开发 据我所知 screenOS 也是stanford 的一牛人在freebsd 基础上 对进程调度 做了优化 在bfla 看来也是小菜
    network开发 做牛了都不容易
    网络测试也一样 不然也不会只有一个
    jeff Doyle 先生了 可以去看看他的blog 一把年纪了还很热衷技术 中国大部分工程师就是太浮躁了。

  17. 陈怀临 于 2009-01-03 8:56 下午

    谢谢simon的评论。不知screenos写kernel的stanford牛人是谁?第一次听说screenos与freebsd有关。听说screenos是一个proprietary os。山石网络的人好像是netscreen出来的。应该比较熟悉screenos系统。

  18. simon 于 2009-01-04 5:55 下午

    screenOS的确是个proprietary os 这点我说错了 当时我的朋友告诉我 screenOS是在freebsd下编译的。 那个最早开发screenOS 内核的应该是谢青。 hillstone 和 juniper的关系 原来CNRD的 director 去了 hillstone。 主要是tongjian Moning 等那些原来的头。

  19. bfla 于 2009-01-06 9:55 下午

    simon 你这样评价不觉得自己很肤浅么?我哪里有说过简单了?评价望文生义。我说的是指别动不动就是个什么OS不OS的。这点都看不出来?最后还来了个什么“中国大部分工程师就是太浮躁了。”,实在是肤浅至极……不屑一辩!

  20. simon 于 2009-01-08 9:09 下午

    bfla 同事寥寥数语就把整个通讯业评的一无是处,应该是个高人。在哪高就,等被裁了可以多个去处。 本人无德无能 只能在此混口饭吃。

  21. michael 于 2009-01-09 8:59 上午

    任何一个问题的讨论最终都会引发人身的相互攻击和毁谤,所有的讨论变都成了人身攻击。

    这是一种奇怪的文化。

  22. 陈怀临 于 2009-01-09 9:37 上午

    很有趣的一个现象。我觉得我们的文化似乎缺少一种包容,理解不同意见的成分?慢慢来,大家就都成熟起来了。我觉得不走极端是对的。古人言:一语伤天地之和;一念犯鬼神之禁。这就是道理啊。。。

  23. alex 于 2009-01-11 5:09 上午

    总的来说,操作系统工程师通常看不起网络工程师,网络工程师看不起用户程序工程师。用户程序工程师看不起测试工程师。。。。。

    顶这个。。。精辟。。。

  24. hehe 于 2009-01-11 5:39 上午

    其实作纯开发的很难转行容易犯 只钻技术的牛角尖 除非是自己创业成功的机率又有多少; 做测试的可以熟悉产品拓宽眼界,转售前售后或市场。 从收益上来看 售前和售后的都比纯coding 的工资高很多。 至少在 Cisco Juniper 安捷伦 华为都是这个现象。 coding 只能温饱 可以作为兴趣。

  25. 陶潜 于 2009-01-11 6:33 上午

    开发一个ASIC,从设计到最后能实用,至少需要20个月.
    hillstone 2006年成立,2007年初就有产品了.最初的产品里应该不会是ASIC,可能是FPGA,等到量大了,有时间了,可以tapeout ASIC.
    纯熟猜测:)

    另外,我觉得每一项技术都很专业,从ASIC,OS,到MiddleWare,甚至操作界面,不同专业的人应该尊重其他专业的人。

  26. 陶潜 于 2009-01-11 6:38 上午

    关于hillstone QoS,应该是shaping或者hierarchy shaping,不会是hierarchy scheduling
    也就是带宽会浪费

  27. simon 于 2009-01-13 1:48 上午

    顶楼上 这句话 。。。
    另外,我觉得每一项技术都很专业,从ASIC,OS,到MiddleWare,甚至操作界面,不同专业的人应该尊重其他专业的人。

  28. lurker0 于 2009-01-21 5:46 上午

    VRP 起源于GateD,但是现在应该和GateD没有什么关系了.

  29. zeroflag 于 2009-02-22 7:48 上午

    个人意见,不管这个ASIC是什么,一定是FPGA形式,并且永远不会成为真正意义上的ASIC。

    之所以说的这么绝对,是因为安全产品的出货量实在太小了。目前国内主流安全公司年销售额都在2个亿左右。这其中,大部分还是中低端产品。真正的高端产品,每月能有20~30台的出货,老板就该笑出内伤来了。而山石现在显然还没有年销售2个亿的水平。这样算下来,这块ASIC一年的出货量能不能超过200块都是问题,这么小的量,怎么可能流片呀!

  30. 陈怀临 于 2009-02-22 7:54 上午

    这个从市场观点的分析有点意思和道理。

  31. bobo 于 2009-06-11 12:06 上午

    怎么说呢,我最近有个项目,因为只做交换机,项目的其他东西得用其他厂家的产品,因为之前一些销售层面上的情况,我和另一家做VPN的厂家无法合作,我只能推荐用户采用山石的东西,后来经过测试,结果不太让人满意,最终项目还没有结束.
    我是浙江杭州的,如果山石的人在这个坛子里的话可以跟我交流一下.
    QQ281306572

  32. netscaler 于 2009-06-14 7:46 下午

    bobo 请加我的QQ:781955532

  33. 无名 于 2009-06-19 5:58 下午

    Cavium Octeon 处理器作你个G的IPSec Throughput 没有任何问题,我们已经可以实现7G的IPSec Throughput了