韓勖：X6150在山石網(wǎng)科的產(chǎn)品線中是一款與眾不同的產(chǎn)品，代表了面向數(shù)據(jù)中心的一種新產(chǎn)品形態(tài)。這一系列產(chǎn)品未來的發(fā)展方向是什么？有何明確的計劃？

王鐘：首先要明確一點，我們將X6150定位為數(shù)據(jù)中心防火墻，是因為在應用模式的發(fā)展面前，越來越多的數(shù)據(jù)中心用戶有了更合適的選擇。除此之外，這一系列產(chǎn)品同樣適用于運營商、高校等行業(yè)用戶。而針對產(chǎn)品本身來說，產(chǎn)品線的完善是一個長期工作，而當前我們要做的是在現(xiàn)有平臺上增加功能和提升產(chǎn)品的綜合特性。目前X6150有QoS業(yè)務模塊，可以進行網(wǎng)絡層到應用層的流量控制，是很多用戶比較急需的功能；產(chǎn)品綜合特性包括穩(wěn)定性、可靠性等很多方面，單純從產(chǎn)品規(guī)格表中看到的雙主控、業(yè)務模塊冗余等只是一個基礎，還有更多的與用戶業(yè)務緊密相關的細節(jié)特性要加入進去。

劉向明：例如我們很快就要發(fā)布一個新特性，可以讓用戶在業(yè)務不中斷的情況下實現(xiàn)系統(tǒng)的在線升級。控制層面與業(yè)務層面分離的安全產(chǎn)品在線升級相對復雜一些，除了主控模塊上的系統(tǒng)，業(yè)務模塊同樣也需要做軟件升級，才能提供更多的安全特性。

韓勖：剛才您提到了產(chǎn)品線的完善，其實我注意到與原先2U規(guī)格的高端產(chǎn)品相比，X6150在性能上似乎已經(jīng)有一些重疊，未來這是否會給用戶在選型時造成更多的困擾？

王鐘：這個問題其實不是產(chǎn)品定位的問題，而是用戶定位的問題。經(jīng)過調(diào)研，山石網(wǎng)科認為數(shù)據(jù)中心用戶的關注點在于性能的可擴展性，業(yè)務的可擴展性、設備的可靠性和可管理性。所以在產(chǎn)品研發(fā)的過程中，不管是硬件架構(gòu)還是軟件特性，我們都圍繞著目標用戶關注的這幾個點去做。并且未來完善產(chǎn)品線時，也都會按照這個思路去做。在同樣處理能力的前提下，X6150的整體價格肯定會高于傳統(tǒng)產(chǎn)品，用戶額外得到的是安全基礎架構(gòu)的可擴展性。這一系列產(chǎn)品的目標用戶必然要為業(yè)務承載網(wǎng)做長期的發(fā)展規(guī)劃，否則也沒有必要使用X6150這種架構(gòu)的產(chǎn)品。

劉向明：如今互聯(lián)網(wǎng)應用高速發(fā)展，安全產(chǎn)品的可擴展性也被越來越多的用戶所關注。通過不同的模塊配置，X6150可以覆蓋性能要求在10G~100G區(qū)間內(nèi)的應用環(huán)境，同時提供了擴展空間，自由度還是比較大的。每一個產(chǎn)品都有它的市場，對于X6150來說，它服務的都是性能壓力非常大、擴展性要求又極高的一類用戶。

韓勖：目前我們測試過的X6150還是單純的高性能防火墻，而IPS、負載均衡等功能在數(shù)據(jù)中心中的應用愈發(fā)廣泛，不知X6150在功能拓展方面是怎樣計劃的？

王鐘：我們多次研究過用戶的應用模型，IPS對于數(shù)據(jù)中心來說確實是一個比較重要的安全功能。所以接下來我們的工作重點，除了上面提到的那些，也包括了功能擴展這一塊。至于是在現(xiàn)有業(yè)務模塊上增加特性，還是推出單獨的處理模塊，要根據(jù)技術(shù)評估和用戶需求而定。

韓勖：X6150測得的性能十分出色，64Byte小包吞吐量大于16G，幾種大包更是達到百G的吞吐量。不知后繼性能方面有無提升計劃？CEO童建先生在產(chǎn)品發(fā)布會上宣稱正在研發(fā)64Byte小包吞吐量達到50G的產(chǎn)品，大概在什么時候推出？

劉向明：這類產(chǎn)品的性能提升大多通過兩種方式，即增加業(yè)務模塊數(shù)量或者提升單板處理能力。業(yè)務模塊數(shù)量牽扯到產(chǎn)品線的擴充問題，未來一定會有不同型號的產(chǎn)品；業(yè)務模塊目前的處理能力是20G，未來也肯定會有增強，我們已有這方面的計劃。整機50G的小包吞吐量確實是既定計劃，時間也不會太久。這個結(jié)果是我們基于對新處理架構(gòu)的評估得到的結(jié)果，目前還沒經(jīng)過任何測試。

韓勖：與傳統(tǒng)的采用交換機+防火墻業(yè)務板架構(gòu)的高端防火墻相比，X6150采用的分布式處理方式有著哪些優(yōu)勢？

王鐘：它們的出發(fā)點是完全不同的。為交換機增加防火墻處理卡，實際上提供的是一個附加的安全特性，類似于一個功能補充性質(zhì)的方案，很可能不同于用戶真正的安全訴求。而分布式處理的出發(fā)點，是從用戶角度考慮的大型網(wǎng)絡環(huán)境下的安全訴求和管理訴求，乃至未來組網(wǎng)、業(yè)務的擴展需求。當然，前者在一定程度上對于部署過特定交換機產(chǎn)品的用戶是有意義的，但在整體的擴展性上還存在瓶頸；而X6150給用戶的，是一個完全針對安全業(yè)務設計、各方面擁有最佳擴展性的方案。

劉向明：從技術(shù)角度看，前者很難提供強大、靈活的安全特性。有一個問題非常關鍵，就是交換機中插入多塊防火墻業(yè)務卡時，流量是如何分配的。如果不能做到均分，就很難避免單點瓶頸。還有一個基本要求，即流量與業(yè)務卡之間的綁定也不應該由人工完成，因為這樣管理起來會非常的麻煩。我們在選擇分布式處理機制做產(chǎn)品的時候，考慮得比較全面，注意避免了一些可能出現(xiàn)瓶頸的因素，所以業(yè)務、性能的擴展性和部署的靈活性是可以得到保證的。

韓勖：除架構(gòu)之外，與市場同類產(chǎn)品相比，X6150的核心競爭力何在？我注意到QoS模塊支持2#12316;7層流量整形，這比較令人費解。數(shù)據(jù)中心是否存在應用層流量的整形需求？它能給用戶的業(yè)務帶來怎樣的變化？

劉向明：我們認為X6150的核心競爭力就是全面的擴展性。這不單是指性能的擴展，還包括業(yè)務的擴展。現(xiàn)在用戶普遍關注的應用識別就是最明顯的例子，其實它是所有應用層功能的基礎。只有弄清數(shù)據(jù)流的應用歸屬，病毒過濾、IPS等模塊才能進行相應的操作。山石網(wǎng)科在很久以前就意識到應用識別將成為防火墻的標準功能，所以將這一特性加入到流解析引擎，即StoneOS的基礎架構(gòu)中。其他應用層功能模塊可以調(diào)用應用識別的結(jié)果，再執(zhí)行相應的操作。

王鐘：應用識別也是山石網(wǎng)科一直倡導的網(wǎng)絡可視化的基礎，用戶可以直接在控制界面里看到網(wǎng)絡中應用流量的分布，且和其他功能模塊無關。我們經(jīng)過測試，發(fā)現(xiàn)打開應用識別只會對性能造成10%左右的影響，所以現(xiàn)在一般都建議用戶開啟這個功能。以前大家都認為這不是高端防火墻應該做的事，也沒這個需求；其實只要做出來了，需求自然就產(chǎn)生了。應用層流量的QoS是非常有用的功能，高校和運營商用戶都非常重視，我們現(xiàn)在就有幾個點在測試；而對數(shù)據(jù)中心管理者而言，他們也希望能夠看到應用層的流量，好去對資源做配比，這其實也是用戶給我們提的真實需求。

韓勖：剛才提到了在用戶處的測試，作為全新的采用機框形態(tài)設計的產(chǎn)品，X6150勢必要經(jīng)過大量的測試，方能驗證其穩(wěn)定性，取得用戶信任。能否詳細介紹下這款產(chǎn)品在用戶真實環(huán)境下的表現(xiàn)？

王鐘：高端產(chǎn)品的測試周期一般比較長，用戶不可能直接將業(yè)務流量全都切到新產(chǎn)品上。目前X6150有3、4個測試局，在用戶環(huán)境中都還處于增加流量的階段，負載最大的單向大約跑著6#12316;7個G的流量，沒出現(xiàn)過重大問題。實際上，我們感覺真實環(huán)境中對NAT和鏈接處理能力方面的需求更苛刻一些，同時由于法規(guī)要求還會生成海量日志。不過山石網(wǎng)科很早以前就對這部分功能進行了優(yōu)化，所以沒有遇到任何問題。

劉向明先生現(xiàn)任Hillstone山石網(wǎng)科首席技術(shù)官，負責制定產(chǎn)品策略和方向、全面的技術(shù)創(chuàng)新以及預研。加入Hillstone山石網(wǎng)科之前，劉向明先生曾擔任Juniper Networks高級研發(fā)經(jīng)理，負責NetScreen系列安全設備的VPN系統(tǒng)的設計和開發(fā)。劉向明先生畢業(yè)于中國科學技術(shù)大學，1993年獲得美國得克薩斯州立大學奧斯丁分校物理博士學位。

王鐘先生現(xiàn)任Hillstone山石網(wǎng)科新技術(shù)研究副總裁，負責多個產(chǎn)品系列的發(fā)展方向和Hillstone山石網(wǎng)科網(wǎng)絡安全產(chǎn)品策略的制定。王鐘先生曾參與Juniper Networks北京研發(fā)中心的創(chuàng)立并組建了ScreenOS開發(fā)團隊，歷任高級軟件工程師、軟件架構(gòu)師等職。王鐘先生畢業(yè)于上海交通大學，2000年獲得四川大學電子工程系碩士學位。