Hillston山石网科SG-6000-G5150产品评测20090925.docVIP

进化的艺术——Hillstone山石网科SG-6000-G5150产品评测 来源：计算机世界实验室????作者：韩勖????发布时间：2009-09-25 /html/wangluotongxin1327.html ??? ? 　　与信息安全行业内众多老牌厂商相比，Hillstone山石网科（以下简称“山石网科”）是个年轻的企业。短短几年内，该公司成功发布了SA、SR两大系列共十几款产品，可以提供企业级至电信级的全方位信息安全解决方案，取得了令人刮目相看的成绩。作为后来者，必须要有足够强大的核心竞争力，才能在激烈多变的市场竞争中站稳脚跟，而深厚的技术积累和具有前瞻性的产品设计思路，就是山石网科的制胜法宝。近日，该公司即将发布必威体育精装版的SG-6000系列产品，再次将这一优势演绎的淋漓尽致。 感谢山石网科在产品发布前为实验室提供了测试样机，让我们有机会在第一时间与读者朋友们分享必威体育精装版鲜的测试感受。这是一台型号为SG-6000- G5150的产品（以下简称“G5150”），采用2U规格设计，定位于中高端。产品前面板设计得很漂亮，不过右侧4个扩展槽位更吸引人。G5150可以支持类型众多的扩展模块，用以增加整机接口数量或业务处理能力。面板左侧分布着4个千兆电口与8个千兆SFP接口，加上USB、AUX、控制口和状态指示灯，显得很紧凑。此外，该产品还配备了互为冗余的两组热插拔电源，以满足运营商、IDC服务提供商等电信级用户的需求。 ? ?? ? 多核Plus G2：全新的系统平台 毫无疑问，模块化设计是SG-6000系列产品最吸引人的地方，而其基础则是改进后的多核Plus G2系统平台。该平台延续了上一代的设计理念，强化了以交换为中心的设计思路，在硬件体系架构方面继续保持领先。在多核Plus G2系统平台中，接口与处理器都是交换矩阵上的节点。理论上，只要交换矩阵的转发能力不成为瓶颈，就可以继续加入业务处理及接口节点，无缝拓展产品的整体处理能力。由此看来，新平台不但引领了山石网科产品线的升级，也为更高端的分布式产品开发打下坚实的基础。另一方面，该公司坚持采用这种在数据通信领域应用比较广泛的理念设计安全产品，在一定程度上也印证着数通与安全的融合趋势。 ? 而对于用户来说，这种模块化的设计思路允许其量体裁衣，根据自身业务需求选择合适的产品配置。就以G5150为例，如果用户需要更多的接口，那它可以额外再扩展出32个千兆口或4个万兆口。借助于强大的交换矩阵，用户甚至可以在接口间划分VLAN，实现三层交换机的功能；如果用户需要更强大的处理能力，可以选配AV应用处理模块，将病毒过滤的任务彻底卸载走，从而提升G5150的整体性能。这种解决方案的实际效果，在后面的测试中得到了很好的验证；如果用户需要的是严格的法规遵从，也可以选配存储扩展模块，在本地保存日志、访问记录及审计信息，从而节省架设外置服务器的高昂投资。 ? 　　先进的硬件架构必须配备有与之匹配的软件环境，才能稳定、高效地发挥出系统的整体处理能力。SG-6000系列产品内置了山石网科必威体育精装版发布的StoneOS 4.0软件平台，为业务的分布式处理做好准备。我们注意到，防火墙、病毒过滤等功能模块在StoneOS 4.0上已经很好地做到并行处理，测试中处理器各个核的负载都比较平均。从整体测试结果来看，该系统对锁的处理无疑是很成功的，在保证业务高度并行的同时拥有比较优秀的性能。 UTM Plus：不仅仅是安全 ? 　　与全新的多核Plus G2系统平台相对应，SG-6000系列产品的上层业务模块也有了较大规模的扩展，在原先防火墙、抗攻击、VPN、防病毒、流量管理的基础上增加了IPS与上网行为管理两大组件，形成一套完整的安全管理解决方案。在这套方案中，基于角色与行为的控管模式被发扬光大，很大程度上解决了传统IP+端口方式难于理解、配置的瓶颈。用户在使用网络资源时，可以通过静态关联、Web认证、VPN接入认证等方式与角色进行绑定，动态获得基于用户或用户组的访问控制及审计策略。管理员在进行日志审计时，也可以更直观地看到用户及其行为，大大简化了复杂的定位流程。这种控管模式，在一定程度上可以取代端点准入与事件管理两种功能。 ? ?? ? 　　山石网科将整套解决方案中作用于应用层的组件集称为UTM Plus，也许就是想突出带宽管理、上网行为管理等对传统UTM功能补充的重要性。正所谓安全离不开管理，行为管理可能不属于安全范畴，但一定是达到安全目标的途径之一。UTM Plus中的上网行为管理功能完全基于应用层协议实现，目前支持包括网络游戏、即时通信、在线炒股、P2P、流媒体等在内的200多种应用。用户可以很方便地对应用流量进行整形，或是针对下载文件类型、页面关键字与URL制定访问策略，以达到提高生产效率