随着企业数据中心形成以及虚拟化技术应用,数据快速增长与应用多样化成为现在企业面临的两大问题,正在扩张的网络与企业架构呼吁新网络安全设备。防火墙作为网络安全“老三样”中的一员大将在企业安全防护方面起着非常重要的作用。
防火墙(英文:Firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。从防火墙的发展历程来看,虽然概念以及专有属性没有改变,但防火墙所处的IT环境已经发生根本变化,为此IT168记者采访了山石网科的新技术副总裁王钟,与网友一同探讨了数据大集中趋势下防火墙现状与趋势。
下面是文字实录:
随着企业数据中心形成以及虚拟化技术应用,数据快速增长与应用多样化成为现在企业面临的两大问题,正在扩张的网络与企业架构呼吁新网络安全设备。今天很荣幸邀请到山石网科市场副总裁赵彦利一同分享数据大集中趋势下的网络安全防火墙面临的趋势与挑战。
记者:首先请您介绍山石网科以及您在山石网科所负责的具体工作?
王钟:山石网科是2006年10月成立的一个网络安全平台的公司,我们的创始人是从以前的NetScreen以及Juniper回到中国,立志服务于中国网络安全市场,给中国用户交付最高质量的好产品。山石网科成立到现在已经4年时间,每一年都会有新产品和新惊喜带给大家。
我在山石网科现在主要负责一些新技术的跟踪和对新产品的一些定义和新技术讨论。
记者:看到您的资料,您从事网络安全方面的工作已经有10年经验,能简单的和网友分享一下这10年中,企业级防火墙发生的变化以及高性能防火墙推出的背景是什么?
王钟:刚刚主持人的问题,就是企业级防火墙的问题,实际我看到的不是光企业级的防火墙。整个防火墙的应用不只是针对一个企业,它可以针对更大的网络,运营商网络、ISP网络、甚至大型数据中心网络都需要防火墙。
从我个人的经验来说,看到整个技术的发展是对客户需求和网络发展来推进的。如果大家以前接触过,会发现防火墙本身技术发展是分好几代,第一代是有软件防火墙,第二代是基于工业PC架构的防火墙,最后有了基于 ASIC(Application Specific Integrated Circuit,专用集成电路)或者网络处理器的一个防火墙。我们认为第四代是多核防火墙,多核最重要的目的不是一个多核CPU,而是多核操作系统上面网络安全产品。
为什么这个是网络客户应用带动的?大家看到前几年网络的发展是不是到头了或者这个网络的发展是不是实际就够了,结果后来发现不是这样。那么随着新的应用,很简单的例子,我们看到越来越多的移动通信网络,越来越APP应用出来以后,从对网络的基础架构到对网络安全都带来新挑战。我们知道典型的七层网络模型一个CDP里面就是一个网页的的浏览。近几年的发展来说,任何一个端口网络里面都可能有成千上万的CDP,这个比较夸张。但是任何一个端口不是单一应用,都可以发展成各种各样的应用。这个上面对整个网络产品技术和安全都带来新的挑战和机遇,这是我看到的一个背景。
在这种情况下,针对不同的网络,不同的应用场景,实际上它对做网络安全产品的需求,也是在随之发生变化。我们不能再简单地做一个接入控制,也不能简单地根据端口判定应用,也不能简单地根据IP,说这是一个用户。同样性能上面也带来这样的挑战。我们做过一个统计,一个Google Map下来就要几十个链接。我们打开一个新的网页也是几十个链接。这种上面爆发式的增长,反而给高性能的网络设备防火墙带来新挑战和新机遇。所以我们作为厂家来说,第一个愿望从技术上来说,提供给各种场景,包括高性能产品、高端产品、以及技术方案。
记者:王总,山石网科在上周推出一款100G高性能数据中心防火墙Hillstone SG-6000-X6150,能给我们网友介绍一下这款100G高性能数据中心防火墙所针对目标用户吗?
王钟:我们从这个名称能看到,它是一个高性能数据中心防火墙,数据中心防火墙肯定一个用户是大型数据中心,大型企业的数据中心,这只是一个应用而已。同时它也可能说,对于运营商对于核心网络包括城域网接口,同样也是试用。我们在这个地方强调高性能数据中心是对它的一个特定市场的需求。
记者:与其他同类产品相比,山石网科这款100G高性能数据中心防火墙有哪些优势?
王钟:我们刚才提到发展的趋势里面看到至少从一个具体的应用,从数据中心提供地图服务来说它的发展趋势。这个上面来说,我们看到地图应用起来,一个地图的查询可能产生几十个链接,一万个用户就是几十万个链接。作为一个大型的数据中心可能需要上千万的链接。在这种情况下,这种应用场景上面,对于并发链接的要求是呈数量级的增长。同时,由于数据中心集中之后、网络带宽升级之后,对性能要求也提上来了,因此我们要看到大的并发的链接,高性能包的转发,同时应用的这个变换所带来的,我们不是简单的按照一个端口来做一个控制,或者安全防卫,我们必须能看到应用的内容,根据它的内容根据它的特征来鉴别,这是一个什么样的应用。在这种情况下说,这些实际的应用催生了我们必须要有性能足够快,容量足够大,同时系统足够稳定,新的设备来满足这个网络用户的要求。
同样我们都知道,任何一个数据中心来说,空间、耗电都意味着开销,都意味着经济效益。那么从空间上来说,我们以不到业界某厂商一半的尺寸而达到了它的性能,实际上是超过了它的效能。我们可能是小到它的一点几倍,并发是它的十倍。同时我们也以不到它一半的空间的机位的耗电,我们的耗电是只有它的可能三分之一到二分之一。这种情况下,我们提供给用户的解决方案,我们为你创造价值,给你减少你的运营的成本,提高网络的稳定性,同时为你提供更好的客户体验。我一直想强调,我们是抓住了市场的需求而推出的这个产品。
记者:怎么看待数据中心、云计算以及虚拟化技术带给防火墙产品的机会和挑战?
王钟:我先说挑战。我觉得第一个挑战就是管理挑战,第二个挑战就是性能挑战。这种数据中心虚拟化所带来的数据的大量集中,同时网络边界的模糊。因为我们知道虚拟化的时候,你可能某个时刻在这个服务器上运行,另外一个时刻可能到另外一个服务器上运行。这种情况下,网络的边界在跳动。我不再像原来,我知道我保护的是某一个服务器,我现在保护的是服务。这种情况下,是我们厂商需要有相应的研究说,我们要怎么去处理它。另外就是性能的挑战,大量的数据集中,因为一定要有一定的量,集中了才能体现出来,要有一定的规模和虚拟化所带来的优势。这种情况下,同样是带宽的问题,出口带宽就会增加,内部交换速度也会增加。你的区域怎么去划分,怎么样做一个高速度的数据包的转化。不管你多安全,你的第一要务是什么,最小的延迟进行数据的转发。对客户最小的网络使用体验,这些都是给我们的一个挑战。
管理上同样也是,这种跳动带来了网络本身来说,可能是一个在变化的,不是现在设计好了,这个固定的拓扑,可能不会在变了,在这种情况下,怎么去管理了,从我们山石来说,这就是给我们的一个机会。我们欢迎这种挑战,迎接这种挑战,这种情况下,山石作为一个技术上强势的公司,是非常欢迎这种新的挑战。
记者:有些网友从两方面在质疑100G这个数量级。第一、行业用户能否用到处理能力高达100Gbps的防火墙产品?第二、山石网科如何做到100G这个数量级的处理能力?您能给我们的网友做个回复吗?
王钟:从第一个来说,用户是否需要100G,事实上这是用户需求催生了100G诞生。现在新的计算中心,大量金融机构,大的数据中心它的各种各样的(13:23)中心。在运营商来说,我们已经有用户它整个一条链路就是20G带宽,我知道说像中国电信里面,大量的带宽已经从10G的接口转向40G的接口,这个发生的速度非常快。从用户来说,我们来看不同层次的用户,我们看到高端的用户,大型的用户上面,大的IDC不管是私用的IDC还是公用的IDC都有这种100G的需求。第二个问题,山石如何做到100G的处理能力。实际上有硬件架构的设计,我们现在是一个全扩展的硬件架构。足够宽的交换背板,通过处理板的扩展,进行性能的扩展。最重要就是说,我一直在说,刚才我说四代的发展里面,多核在背后来说,不是说一个有多个处理器的芯片,而是说你一定要带来并行计算的操作系统上面的支撑。山石本身来说我们要提StoneOS,我个人觉得它是业界第一个将并行运算放到网络产品上的厂家。在这种情况下,StoneOS能实现性能的扩展。这种性能的扩展给用户甚至给各位网友,如果是关心这个技术,留下了很多的想象空间,我们在这个平台上做到了100G,我们是否能做得更高,我们的回答就是在需要的时候,可以做得更高,我没有看到上面的瓶颈。
记者:关于多核,是否可以理解多核就是一核加一核再加一核,能给我们网友做一个解释吗?
王钟:多核这个东西不是一个新概念,在我们的生活里到处能看到,可能大家的一个Intel的PC,本身就是一个多核,至少是两个多核。多核的本身来说,这个很简单,我拉火车,一个车头不够了,我再加一个火车头,两个火车头来拉,不够了甚至可以再加。而动力火车它可能每一节车厢可能都有动力,通过这个保证我们的动车组能够300公里/小时,400公里/小时,甚至500公里/小时,这是一个很自然的想法,从多核本身来说。最大的问题是任何东西是一个系统,光有硬件上的多核是不能解决问题,你需要软件上的协调,你需要系统的支撑,OS的支撑。StoneOS上面做并行的安全操作系统来说,这是它最大的价值,它实现了这种多核从一个CPU里有多个核到多个板上多个CPU之间性能的,至少到现在来看是呈线性的一个增长,同时能够最大并发的去处理,然后做相同逻辑的事物。这样不会造成在这个处理上面的瓶颈。这是我看到的最重要的一点。
记者:根据王总刚才说的是我们山石关于SG-6000-X6150这款产品,可以说,Hillstone SG-6000-X6150这款产品的发布标明山石网科在超大规模行业用户方面有上升到一个新台阶,那么山石网科关于防火墙产品下一个台阶或者打算又在哪里?
王钟:根据客户的需求根据网络的发展,我们看到我们的发展,提供更高性能的平台,肯定是我们关注的一个范围。另外从这种平台上面,在已有的高性能平台上,我们还会强调给客户更好的客户体验。我看到整个趋势来说,从最早来说,特别是高端用户的需求,这个性能不能支撑的时候,大家可能关注我最主要的就是一个转发,快速地转发。现在大量新的应用面市之后,我需要我了解这些应用的状态,同时你需要了解这些应用怎么样合理分配,合理地占用我的网络带宽,怎么去分配这个资源,这些都是我们在这上面关注的。我们现在面向应用的,作为网络的管理者来说,可以管理的网络,从一个可管理的网络平台到一个可以管理的网络,通过它达到可以管理的网络,实现对客户的最佳价值的服务。就是可靠性、可用性是我们产品里面非常重要的理念。
记者:我们今天的访谈到此结束,感谢王总在百忙之中参加我们IT168网络安全频道的视频访谈。谢谢大家。
王钟:谢谢主持人。
