【IT168 专稿】山石网科一直以来关注技术的提升，据了解Hillstone SA-5050安全网关采用创新的 64位多核处理器和高速交换总线技术，为大 中型企业用户提供高性能、高可靠性的网络安 全解决方案。Hillstone SA-5050采用专用的网 络安全处理平台技术，拥有多达16核的64位 高性能多核处理器，以及独立的硬件DFA引擎，能够提供包括TCP会话保持与报文重组、 VPN、QoS流量管理等功能的芯片级硬件加速 性能。再辅以高达48Gbps的高速交换总线， 以及新一代64位实时并行操作系统—— StoneOS，Hillstone SA-5050为企业用户提供 了多功能、高性能、高可靠性的新一代应用安全产品。

     Hillstone SA-5050技术

      创新的网络安全架构：Hillstone SA-5050采用了先进的多核处理器技术，自主开发的专用安全芯片(ASIC)和 内部高达48Gbps的交换总线，使得Hillstone SA-5050在应用层安全处理的性能上有了质 的飞跃，为企业应用安全提供专业的高性能硬件平台。

    强大的处理能力：Hillstone SA-5050采用多达16核的64位网络专用多核并行处理器，运算能力超过24GOPS，能够避免传统ASIC和NP安全系统会话创建能力和流量控制能力弱的弊病，为VPN和应用层内容安全功能提供强大的处理能力保障。

    强大的抗攻击能力：Hillstone SA-5050采用的多核处理器架构和新一代的StoneOS安全操作系统，能够提供高性能的应用安全处理能力和更强的应用层抗攻击能力。Hillstone SA-5050每秒能够处理超过20万的TCP会话请求，超过同类产品5-10倍，具有超强的DDoS攻击防护能力。

     强健的专用实时操作系统：Hillstone自主开发的64位实时并行操作系统StoneOS，强大的并行处理能力和模块化的结构设计，易于集成和扩展更多的安全功能。通过对新一代多核处理器的全面优化和安全加固，极大地提高了系统处理效率、稳定性和安全性。模块化和并行多任务的处理机制，为Hillstone新一代的网络安全系统提供了极大的可扩展能力，包括支持更多核处理器和集成更多的安全功能。

    精密的流量控制：依靠高性能的多核处理器及ASIC专用芯片，Hillstone SA-5050可实现精密的基于用户和应用的流量控制。在保障系统运行性能的情况下，Hillstone SA-5050可实现精密度为1kbps，多达2万用户的流量控制。基于应用的流量控制可识别各种P2P及IM(即时通讯)协议，配合时间表功能的使用，帮助您灵活掌控带宽分配。

    VPN：Hillstone SA支持IPSec和SSL VPN，在多种拓扑下可以灵活结合，解决您远程互联和远程接入的问题。基于用户身份和角色的访问控制可以做到细粒度的安全监控，以满足各种安全的需求。Hillstone所有平台对VPN都提供硬件加速，结合多核平台的处理能力，为您提供高容量，高性能的VPN解决方案。

    应用安全：StoneOS支持各种应用协议的分析与控制。透过对HTTP协议的详尽分析，Hillstone SA-5050可阻断Java Applet，Active-X及各种敏感文件的传输，保障用户终端的安全。StoneOS的定期发布可以及时解析各种最新的P2P协议及其变种，帮助用户阻断非法P2P及IM(即时通讯)中的文件传输，保护机密文件不外泄，使您的网络更安全。

     高可靠性和稳定性：依靠积累多年被证实的专业硬件安全产品研发和市场经验，Hillstone新一代网络安全产品，在软件和硬件方面的稳定性和可靠性上都有了进一步提高，为网络流量日益增长、网络攻击日益猖獗的企业IT环境提供了强大的保障。Hillstone产品在最大程度上确保了企业关键业务的不间断运行。

    Hillstone SA-5050案例

    某运营商通过几年的网络建设，规模逐步扩大到近15万用户，出口带宽达10G，一共通过10台某品牌防火墙的NAT地址翻译来为用户提供上网服务。

     随着业务量的不断增加，机房原有设备已不具备扩容能力，而ISP机房的机架也几乎被众多防火墙设备占满。日益增长的网络流量和泛滥的P2P应用吞噬着网络带宽，家庭用户普遍的在线视频和多线程下载不仅占用了大量网络带宽，高峰时大量每秒新建会话数及高达上百万的并发会话都让原有防火墙设备难以承受。以上诸多问题都迫切需要解决，对此用户希望通过升级防火墙设备来解决原有设备老化、性能不足导致上网慢的问题，同时还有以下几点需求是需要在升级时满足的：

    1、高可扩展性：新设备的性能不但要强于原有防火墙设备，而且还必须具备高可扩展性，这样才能满足当前和未来几年网络发展的需求。

    2、根据公安部82号令，ISP宽带运营商需要保存至少60天的客户端上网日志。

    3、具备流量监控，会话数限制等功能。

     4、机房容量有限，目前机架已接近饱和，要求新设备比以前设备体积小。

    Hillstone山石网科提供的解决方案：

    在经过对网络的流量进行分析，与网络中原有防火墙设备的承载能力及处理器、内存占用率等数值进行全面评估后，Hillstone山石网科给出解决方案：用一台Hillstone SA-5050多核安全网关替换原有的三台防火墙，端口高度集成的Hillstone SA-5050共连接七条线，分别是三条千兆的互联网出口链路、三条千兆的内网链路及一条带外管理兼日志输出链路。开启的功能包括端口集聚、策略路由、多地址池NAT及流量监控等。Hillstone SA-5050多核安全网关拥有8G吞吐量、每秒20万新建会话和并发500万会话数的高性能，新的网络拓扑图如下：

    对于记录至少60天日志的需求，用户三条链路下数万用户的访问量巨大，平稳时段的每秒新建会话仍然会超过6000条，这个原因也致使前期日志系统测试的效果并不理想，用户上网高峰时段的日志记录量高达每秒1万多条，在如此大的数据流量下经常出现日志存储数据库无法响应的问题，对此Hillstone山石网科利用本土研发的优势，在短短一周的时间内进行多次数据库优化和调校，使得新版本下的日志系统及数据库可以承受最高每秒15000次的日志记录量，这是原有网络环境单条链路都难以实现的，而优化过的Hillstone山石网科解决方案则可以担当起传统多台设备的日志压力，解决了用户的一大难题。

    在完成传统防火墙功能的同时，Hillstone SA系列多核安全网关还为用户提供了基于设备接口流量、网络协议流量、网络协议会话、网络IP流量、网络IP会话等实时监控及历史状态查询功能，为运维工程师监控网络状态提供了很大帮助。

    对于机房机架容量饱和问题，Hillstone山石网科设备虽然性能是传统设备的多倍，但在体积上却没有成倍的增加，而是在1U的机箱内集成了高达12个千兆端口及双电源，这既成为以一换多的基础，而且为机房创造出之后扩容的空间。

    客户评价：

    Hillstone SA-5050多核安全网关上线后一直稳定运行，在晚高峰时三条千兆互联网链路的总流量曾超过2.8G，通过设备上网的并发IP数超过两万，最大并发会话高达400多万，每秒新建会话数超过1万，此时设备自身的CPU占用率在30~45%之间，用户上网正常，日志记录正常。

    Hillstone山石网科此项目解决了环境中传统设备性能低、维护量大、无法记录上网日志和机架容量受限等问题，得到了用户的一致认可，树立了高性能的标杆。