【IT168 专稿】与信息安全行业内众多老牌厂商相比，Hillstone山石网科（以下简称“山石网科”）是个年轻的企业。短短几年内，该公司成功发布了SA、SR两大系列共十几款产品，可以提供企业级至电信级的全方位信息安全解决方案，取得了令人刮目相看的成绩。作为后来者，必须要有足够强大的核心竞争力，才能在激烈多变的市场竞争中站稳脚跟，而深厚的技术积累和具有前瞻性的产品设计思路，就是山石网科的制胜法宝。近日，该公司即将发布最新的SG-6000系列产品，再次将这一优势演绎的淋漓尽致。

    感谢山石网科在产品发布前为实验室提供了测试样机，让我们有机会在第一时间与读者朋友们分享最新鲜的测试感受。这是一台型号为SG-6000- G5150的产品（以下简称“G5150”），采用2U规格设计，定位于中高端。产品前面板设计得很漂亮，不过右侧4个扩展槽位更吸引人。G5150可以支持类型众多的扩展模块，用以增加整机接口数量或业务处理能力。面板左侧分布着4个千兆电口与8个千兆SFP接口，加上USB、AUX、控制口和状态指示灯，显得很紧凑。此外，该产品还配备了互为冗余的两组热插拔电源，以满足运营商、IDC服务提供商等电信级用户的需求。

    多核Plus G2：全新的系统平台

    毫无疑问，模块化设计是SG-6000系列产品最吸引人的地方，而其基础则是改进后的多核Plus G2系统平台。该平台延续了上一代的设计理念，强化了以交换为中心的设计思路，在硬件体系架构方面继续保持领先。在多核Plus G2系统平台中，接口与处理器都是交换矩阵上的节点。理论上，只要交换矩阵的转发能力不成为瓶颈，就可以继续加入业务处理及接口节点，无缝拓展产品的整体处理能力。由此看来，新平台不但引领了山石网科产品线的升级，也为更高端的分布式产品开发打下坚实的基础。另一方面，该公司坚持采用这种在数据通信领域应用比较广泛的理念设计安全产品，在一定程度上也印证着数通与安全的融合趋势。

    而对于用户来说，这种模块化的设计思路允许其量体裁衣，根据自身业务需求选择合适的产品配置。就以G5150为例，如果用户需要更多的接口，那它可以额外再扩展出32个千兆口或4个万兆口。借助于强大的交换矩阵，用户甚至可以在接口间划分VLAN，实现三层交换机的功能；如果用户需要更强大的处理能力，可以选配AV应用处理模块，将病毒过滤的任务彻底卸载走，从而提升G5150的整体性能。这种解决方案的实际效果，在后面的测试中得到了很好的验证；如果用户需要的是严格的法规遵从，也可以选配存储扩展模块，在本地保存日志、访问记录及审计信息，从而节省架设外置服务器的高昂投资。

    先进的硬件架构必须配备有与之匹配的软件环境，才能稳定、高效地发挥出系统的整体处理能力。SG-6000系列产品内置了山石网科最新发布的StoneOS 4.0软件平台，为业务的分布式处理做好准备。我们注意到，防火墙、病毒过滤等功能模块在StoneOS 4.0上已经很好地做到并行处理，测试中处理器各个核的负载都比较平均。从整体测试结果来看，该系统对锁的处理无疑是很成功的，在保证业务高度并行的同时拥有比较优秀的性能。

    UTM Plus：不仅仅是安全

    与全新的多核Plus G2系统平台相对应，SG-6000系列产品的上层业务模块也有了较大规模的扩展，在原先防火墙、抗攻击、VPN、防病毒、流量管理的基础上增加了IPS与上网行为管理两大组件，形成一套完整的安全管理解决方案。在这套方案中，基于角色与行为的控管模式被发扬光大，很大程度上解决了传统IP+端口方式难于理解、配置的瓶颈。用户在使用网络资源时，可以通过静态关联、Web认证、VPN接入认证等方式与角色进行绑定，动态获得基于用户或用户组的访问控制及审计策略。管理员在进行日志审计时，也可以更直观地看到用户及其行为，大大简化了复杂的定位流程。这种控管模式，在一定程度上可以取代端点准入与事件管理两种功能。

 

    对外发信息进行审计，防止机密外泄及不必要的法律纠纷，是UTM Plus中上网行为管理模块的另一大作用。该模块对HTTP、FTP、SMTP和主流即时通信类应用提供了由信令到内容层面的审计能力，莫说论坛发帖，就连163、Hotmail、Gmail、QQ邮箱等国内应用比较广泛的Webmail发信都被囊括在内。妄想使用Gmail等采用HTTPS登录的Webmail逃避检查也是徒劳的，UTM  Plus内置的SSL代理可以截断所有单向验证的SSL请求，对解密后的内容进行控制、审计。也就是说，利用这个代理，一切基于SSL隧道的应用协议都被纳入控管范围，不会再有漏网之鱼。不过，我们也注意到内容审计功能开启时，客户端并不会得到任何提示，山石网科称会在产品正式发布时以告警提示和法律免责申明的方式加以完善。

    性能：再攀高峰

    虽然G5150的性能看点在于AV应用处理模块和新加入的IPS功能组件，我们还是依照RFC 2544和RFC 3511规范，先对单纯开启防火墙时的系统性能做了考察。按惯例，测试分别在1条全通策略与199条阻断/1条全通策略的配置下进行。由于测试仪端口数的限制，在进行吞吐、延迟测试时只使用了4对千兆口发起双向线速流量。1条全通策略时， G5150的64Byte帧吞吐量超过2Gbps，此时延迟仅为7.2微秒；当帧长大于256Byte时，系统吞吐量就能够达到8Gbps线速，延迟最大时也低于30微秒。而在HTTP性能测试中， G5150每秒HTTP新建连接数高达104272TPS，并可同时维持400万个连接。即便加载200条策略，设备依旧可以保持原有性能，各项指标都没有明显变化。

    为了尽量模拟真实环境，防火墙在随后的测试中都保持加载200条策略的状态，带着业务进行测试。G5150集成的IPS模块基于多种协议，截至测试时最新版的特征库共包含了3187条规则。我们开启了针对双向流量的入侵防御功能，使用思博伦通信提供的Avalanche2900应用层性能测试仪模拟真实用户，生成不同类型的HTTP流量，考察此时系统的性能。G5150在这部分有着相当漂亮的表现，实测得的HTTP可用带宽高达3031Mbps。我们分析，IPS、上网行为管理与防病毒模块应该共享同一个协议分析引擎，这也是做到高性能的唯一途径。

    性能再次提升的奥秘来自于型号为FEC-AV-60的AV应用处理模块，它要占去两个扩展槽的空间。只要在G5150上安装好这个模块，病毒过滤功能就将自动切换到扩展卡上完成。为模拟更真实的负载流量，我们将Avalanche2900模拟的客户端行为改为使用HTTP下载一个1MB大小的EXE文件，此时测得的HTTP最大可用带宽为2125Mbps，这个成绩已经超越了去年同期测试的高端产品SA-5050。另一方面，当带宽稳定在最高值时，处理器占用率一直在40%左右抖动。也就是说，系统平台还有资源处理病毒过滤之外的业务。我们在此基础上打开了IPS模块进行验证，HTTP最大可用带宽维持在2106Mbps，与之前只开启病毒过滤和防火墙时基本一致。由此可见，AV应用处理模块的意义更多地在于提升平台的综合性能，而不仅仅是增加病毒过滤处理能力那么简单。