关注应用需求 专访Hillstone副总裁赵彦利

　　随着日常网络应用的普及，丰富多彩的网络体验与网络应用已经成为了人们生活的重要环节。而提升网络体验，除了在应用层面提供更多样化的选择之外。网络防护与网络安全是另一个重要组成部分。想要高质量的体验网络，需要一个安全的网络应用环境。毕竟不厌其烦的病毒侵扰、木马威胁、网络瘫痪，是严重影响网络利用效率与网络应用体验的罪魁祸首。那么，网络安全相关的技术与产品是保证网络安全的重要武器。而其中安全网关与防火墙产品就成为了关键所在。硬件层面的性能与软件层面的应用是能很好体现这类产品的指标。近期，专攻于网络安全方面的Hillstone发布了一款基于多核Plus架构的万兆电信级安全网关产品SA-5180，究竟此款产品多核Plus意味着什么?万兆级别的容量负载又能有何提升?今天，天极网网络频道有幸邀请到了Hillstone副总裁赵彦利先生，让我们一探究竟。

　　Hillstone副总裁赵彦利先生多年来一直从事网络安全方面的工作，曾服务于著名的网络安全厂商NetScreen，从事网络安全技术层面的工作。自2004年，Juniper以40亿美元收购Netscreen后，赵彦利先生离开NetScreen加盟Hillstone，作为管理层的一员，负责品牌的推广活动。从和赵彦利先生的交流中，感受到了赵彦利先生对于网络安全技术层面的全面了解，也得益于赵总做技术出身的功底，每每遇到技术层面的问题是总能夸夸其谈，因此此次沟通一直在轻松与愉快的氛围中进行。

　　Hillstone品牌渊源与诞生

　　Hillstone作为一个网络安全界年轻的品牌，可能对很多网友来讲是比较陌生的。其实Hillstone品牌与网络安全界一直颇有渊源，Hillstone五位创造人都来自美国硅谷，同时也是NetScreen最早的创始团队的人员。从2004年并购到Juniper之后，在国内创办了研发中心。随着时间的发展，因为一些技术条例，发展方向等问题。创始人团队创立一家新公司，最大化去发挥自己理念，把想法能够在公司和产品里面充分体现出来的念头应运而生。五位创始人从美国硅谷离开Juniper之后，Hillstone品牌在这个基础上也就顺理成章的创立起来。目前Hillstone公司投资方最大的股东，也正是NetScreen的创始人邓峰先生。

　　Hillstone定位的目标是做技术创新的专业网络安全厂商。公司的很多员工和管理层人员都是来自于NetScreen、Juniper。自建立以来，Hillstone致力于以创新作为公司发展的一个最基本的要求。Hillstone拥有目前业界最领先的技术——多核的技术。在高端技术的掌握的前提下，充分把多核技术、全系列的多核架构，全部移植到了Hillstone的产品线里面来。Hillstone的创新在于新的安全硬件的平台，网络安全层面业界可能都在讲防火墙，VPN等等的需求，这种需求实际上有很大的变化。最大的问题，包括现在的UTM厂商遇到最大的问题就是性能的问题。因为应用安全的发展趋势，造成了用户对应用内容的过滤要求越来越高，这个时候需要有更多的硬件架构或者是软件支撑，来解决这个问题。Hillstone在这个时候提供了这种最好的硬件平台和软件的架构，提升这些应用安全的需求，然后创立了Hillstone，发布了Hillstone全系列的产品。

　　网络安全的发展趋势与多核Plus架构的优势

　　早期的网络安全应用一般只局限在很简单的层面，以2000年左右为例，那一时期的网络安全，考虑更多的是网络层面上的一些防护，例如DDoS等常用的网络上的工具防护。随着时间与网络技术的发展，现在的应用越来越网络化，造成了越来越多的应用依赖于网络，用户对于网络应用这种安全的防护要求越来越高。比如说在网上购物，网上交易，网上银行等等的网络应用层面。依托于网络的应用更多对于网络安全产品的功能性要求也就更高。用户对于网络安全的一个趋势，实际上在朝着应用安全来靠拢。实际越来越多的网络安全产品，也是从网络层逐渐向应用层来过渡，比如说现在的UTM，会集中更多的应用安全的这种功能，这个也是一种趋势。

　　从目前这种发展趋势来讲，多核是提升应用安全最好的一种方式，你会发现传统的基于ASIC的纯硬件的架构在走到应用安全这一块已经无能为力。实际上来讲，无论病毒检测、URL过滤、内容过滤等等，很多时候是需要依靠CPU资源。传统的架构，CPU资源是非常有限的。网络层加速取代不了应用安全这种资源的消耗，没有办法解决。多核相当于把CPU的资源扩大了很多倍，甚至十几倍，二十几倍这种差距。实际上来讲，通过多核架构，充分利用CPU的资源去做内容安全的一些防护。但并不意味着多核这种架构，任何一家公司都能把它的性能优势充分发挥出来。对于Hillstone来讲，推出的多核PLUS架构，所谓的PLUS也就是专用的多核芯片，同时Hillstone采用交换总线的新硬件架构利用在我们的多核PLUS架构里面。多核PLUS的另外一个理念是软件的，相当于有了一个很好的发动机，如何调校这个发动机，通过软件的方式去调校这个发动机，充分发挥多核这种架构的优势，发挥出它的性能和稳定性。

　　而软件层面，Hillstone还独立研发了StoneOS这一实时的并行操作系统。很多的安全产品厂商都在走多核这条路。真正能够把多核发挥出来，或者是做到稳定性非常强，就需要完全靠软件的优化。Hillstone软件研发的层面已经有了一定的优势，Hillstone能真正把多核的产品商品化，能够让客户得到的是高性能，高稳定性的产品，完全依托于StoneOS这种软件的支撑。

　　万兆级产品的市场需求与SA-5180的优势

　　万兆级别产品的诞生，实际上是市场需求的必然结果。现如今的核心网络或者是骨干网络在不断提升，越来越多的安全需求同样也提升起来。核心网络从千兆过渡到万兆，意味着用户对安全产品性能的需求也提高了很大一块。很多厂商所谓的万兆的产品，实际上基于传统与原有的产品架构，然后提升某些硬件部件的性能，结构上并没有大的改变。而Hillstone最新发布的SA-5180是基于完全创新的多核PLUS架构，成为全新的硬件平台，同事软件上有更多的优化，真正能够提供双向20Gbps的万兆级产品。而市面上很多所谓的万兆产品只是10Gbps，双向并达不到20Gbps，因此并不具备无阻塞的安全过滤能力。

　　不同厂家的宣传策略是有所不同的。用户会发现在Hillstone的产品里面，发布出来的性能指标上都是比较保守的指标。例如SA-5180的AV的检测结果，网络世界检测结果是1.68Gbps。在Hillstone的宣传手册里，标称是1.4Gbps。另外Hillstone在低端的产品里面，比方SA-2001，实际上性能基本上是真正的准千兆产品，但是我们标称是150兆的性能。这种做法实际上有更多的空间留给应用安全。这样来讲，可能用户购买了这个产品之后，打开防火墙可能是更高的性能。但是用户购买了AV之后，用户可能认为这个性能肯定会下降，但是在产品里面已经预留了更多的空间，用户拿到产品后会更加切合于真正实际使用的效果。另外Hillstone的一种作法，实际上更倾向于客户去购买这个产品的时候，实际去试用一下，而不要用宣称的指标去购买这个产品。我们希望越来越多的客户实际去体验。

　　Hillstone此次推出的SA-5180，是完全电信级设计的产品，在硬件设计上采用了冗余部件，可热插拔部件，端口密度达到了12个千兆端口，2个万兆端口等设计，硬件设计上要求很高。另外一点，在产品的功能上有很多扩展，和SA-5180也一起发布了基于这个平台上的病毒检测的解决方案。在整个硬件架构下，通过软件的扩充，能够适应更多的客户需求，拓展产品的使用角度。SA-5180完全可以适应真实的万兆应用需求。SA-5180结合了最新的硬件平台、多核CPU、更宽的交换总线，同时再集成了专有的高性能ASIC，然后通过这个多核Plus架构来发挥万兆产品的优势。同样在软件层面也做了更多的优化，去适应高性能的需求。

　　和卡巴斯基的强强联手 主动增加AV防护能力

　　Hillstone此次的病毒检测解决方案是跟卡巴斯基进行的强强联合，从病毒的厂家来讲，卡巴斯基是非常知名的专业防病毒公司，无论病毒库更新速度，覆盖面都是非常广的，这点成为了是双方合作的基础。此次合作的模式是，Hillstone使用卡巴斯基的病毒库，病毒检测引擎是Hillstone专有技术——基于流的多核架构的流检测引擎。通过整合之后，能够充分发挥病毒检测的高效性，同时发挥它的性能。同时使用户可以得到最新的病毒库更新服务，以保证被动防御的有效性。

　　Hillstone与卡巴斯基采用完善的应用互动模式。卡巴斯基病毒库第一时间发布之后，Hillstone同时也在第一时间拿到病毒库的更新，然后会放到产品更新服务器上。通过这种更新，用户客户端会自动下载更新。针对一些应急事件，卡巴斯基承诺会4个小时就有安全时间的响应，Hillstone也会及时拿到这个响应的结果，提供这种相应及时的更新服务保障。此种的AV防护的销售方式基本上跟传统的病毒销售方式比较类似，Hillstone是按病毒更新服务来销售。用户可以购买一年，两年，或者三年的服务，购买服务之后，在服务期之内，用户随时可以使用这种更新的服务。并且随着SA-5180的AV服务的建立，Hillstone的SA系列全线产品里面都已经加入AV的检测功能。

　　Hillstone的未来规划与技术研发方向

　　Hillstone作为网络安全厂商，一直要继续坚持的就是服务层面。实际上单独产品，各个厂商都会有所优势，但是真正做好是要靠服务来吸引客户。服务这块Hillstone有售前，售后的专门技术团队，售前这一块我们可以及时通过渠道，把最新的技术、产品，介绍给最终用户。作为购买产品的用户来讲，Hillstone400号的f服务电话和网上在线服务体系，都会为用户提供及时的服务。服务体系上做到两级服务。第一级是专业认证过的代理商一线支持，作为厂家来讲可以做二线支持。任何情况下的特殊事件的响应，承诺做到7×24小时第一时间的响应。另外一点，相同的一个产品在使用过程中，在不同的环境下，有可能它发挥不出来它的优势，实际上Hillstone也特别重视售前的工作。Hillstone的售前工程师和渠道，在有新的技术产生后，可以第一时间是客户掌握最新的产品信息。有些项目上，Hillstone直接派售前工程师给客户做特殊讲解，定制一些产品和解决方案。利用此类服务，帮助客户解决问题。

　　从产品发展方向来讲，Hillstone目前的目标是要朝着应用安全方面前进，用户会发现Hillstone的硬件平台、安全网关上会集成更多的应用特性。例如集成了带宽管理，集成了SSL VPN，集成了防护，集成了AV检测等等，以后Hillstone会集成更多的应用功能在产品里。整个产品研发会和市场需求相关，市场需求什么样的产品、更关注哪些方面的问题，Hillstone的产品可能会做更多这方面的研发，然后朝着这个方向努力。做到和市场良好的互动，来适应市场的需求。