随着多核技术逐渐完善并走向成熟，越来越多的产品技术向这一领域跨进，多核并行优化技术的运算优势，有效提升了产品的处理能力，使得产品具备高性能﹑高处理能力，成为安全厂商竞相追寻的优势技术!Hillstone山石网科副总裁赵彦利表示，多核CPU的运算能力是传统的CPU的实际数倍处理能力，极大的加速应用安全的检测能力，从而解决了安全产品占用大量有效资源的问题!

当今，网络成为人们生活中不可或缺的“必需品”，日益增多的问题也在不断袭扰着我们的工作与生活。近几年，网络威胁不断升级，攻击手段呈多元化﹑简易化发展，使得以往繁琐的攻击模式被单一的操作及集成工具的方式所替代。在“你只要会用计算机，就可以成为黑客”的今天，企业的信息化资产已处于“砧板上的鱼肉任人宰割”的地步，面对如此窘境企业的信息化领导者却往往不知所措，找不到适用于自己的办法!

伴随越来越多的混合式网络攻击和威胁层出不穷，安全厂商也在不断寻求最佳的解决途径，然而更多安全问题已从网络层向应用层转变，从而导致信息安全设备的处理能力出现瓶颈，也使得更多企业不得不牺牲网络的安全性能从而满足业务的连续性，出现了性能与安全不可兼得的局面!

然而，在多核结构出现后，安全厂商似乎看到了希望，以往安全设备占用大量性能的问题凭借多核的强大处理能力得到了解决!从此网络安全进入“多核”时代!

多核诞生的前因后果

多内核是指在一枚处理器中集成两个或多个完整的计算引擎(内核)。多核技术的开发源于工程师们认识到，仅仅提高单核芯片的速度会产生过多热量且无法带来相应的性能改善，先前的处理器产品就是如此。他们认识到，在先前产品中以那种速率，处理器产生的热量很快会超过太阳表面。即便是没有热量问题，其性价比也令人难以接受，速度稍快的处理器价格要高很多。

然而在软件算法已经优化到极限的情况下，对传统单CPU硬件架构产品的性能提升主要是靠CPU的性能升级完成的，闻名于硅芯片产业的“摩尔定律”这样描述为微处理器的发展速度：微处理器的处理速度会每18个月翻一番。但是，网络产业著名的“吉尔德定律”却预言，在未来25年内，网络带宽将平均6个月增长一倍。按照吉尔德定律的描述，带宽的增长速度将超过摩尔定律所预测的CPU处理速度增长的3倍，由此可见，单纯依靠提升CPU处理速度的方法来应对网络带宽的增长是远远不够的。

为此，处理器工程师们想尽办法需求新的技术来摆脱单核CPU的缺陷，人们设计了很多方案，其中最典型的就是FPGA协处理设计与ASIC协处理设计方案。

FPGA技术

FPGA(Field Programmable Gate Array)即现场可编程门阵列，实际上是将一些比较消耗资源的安全检查处理过程及报文转发过程用可编程硬件逻辑的方式固化下来，由硬件来处理，这样的就提升了网络流量吞吐性能，这种方案非常有效，也最早在一些高端安全设备得到应用，但FPGA芯片方案存在的最大问题就是成本过于昂贵，平均每百万逻辑门FPGA器件的成本在100美金以上，而且FPGA开发的人力资源与时间消耗较大，在具备一定基础的情况下，实现一个较复杂的FPGA应用通常需要12个月以上的时间，所有这些严重制约了它的发展，普遍认为FPGA方案适宜于做特殊应用领域的探索设计，它并不是一个具有普及意义的技术方案。

ASIC技术

ASIC(Application Specific Intergrated Circuits)即专用集成电路，AISC方案可以看作FPGA方案的延伸，当一个成熟FPGA设计的使用量达到一定的数量级后，可以以ASIC的方式固化下来，从而可以有效降低成本，但遗憾的是，ASIC方案的先期投入较大、开发周期比FPGA还要长，这就意味设备增加新功能要等待较长时间，ASIC的可编程能力也非常弱，如果设备需要修改内核就必须经历一个完整的开发周期，这就意味着ASIC方案一旦形成，就很难升级、也很难满足安全市场的特殊需求。在安全需求日新月异的今天，ASIC方案的缺点是显而易见的，因此，ASIC加速模式只是在少数高端厂商得到应用。

NP技术

NP(Network Processor)即网络处理器技术，由于网络设备处理部件既需要高性能、又需要高灵活性，这些都是单CPU、FPGA或ASIC技术所难以满足的，为克服以上方案的缺点，本世纪初出现了网络处理器技术，网络处理器是一种用来执行数据处理和转发的高速可编程处理器，它提供了高速的内部处理引擎和较为丰富的外部接口。利用良好的体系结构设计和专门针对网络处理的优化，网络处理器既有ASIC的高速处理能力，又有很好的可编程特性。NP的出现，使大多数不具备FPGA或ASIC开发能力的中小厂商有了一种新的解决网络带宽问题的方案，一时间大家趋之若鹜，但遗憾的是，NP技术并没有按照人们的意愿继续发展，虽然NP具有很好的理念，但当大家群起使用NP开发的时候，才发现NP的支持软件非常贫乏且并不稳定，其开发语言显得过于非常专业(汇编语言编程)，NP内部资源(如寄存器、缓存、内存等)存在诸多限制，这使得利用NP进行开发的公司推出产品速度很慢，产业链不能形成，NP芯片原厂商无法收到回报，也就失去了发展的原动力，最后不得不宣布放弃，NP从2001年开始兴起到2007年基本销声匿迹，只经历了短短五六年时间。

多核诞生

直到2007年，Intel首先推出多核CPU之后，处理器性能提升的问题才最终得到解决。实际上，在单核CPU时代，处理器已经实现了多线程运算，通过在逻辑上模拟出多个CPU内核，以实现多任务调度和并发处理。然而，这些处理过程始终由单个CPU以线程切换的方式完成，运算负载由单个CPU承担。而多核CPU则是在一颗CPU内真正意义上提供了多个独立的逻辑运算组件，即CPU内核，并使各内核通过协作方式实现运算负载的均衡分配。与传统的单核CPU相比，多核CPU带来了更强的并行处理能力、更高的计算密度和更低的时钟频率，并大大减少了散热和功耗。

多核架构引领安全新时代

为了紧跟多核CPU的技术优势，网络安全设备厂商需要在改变自身硬件产品的同时有选择的优化软件系统架构，其核心是并行运算，即通过同时调度多个CPU内核共同执行运算处理，发挥集群优势，实现运算负载在多个内核之间的平均分配及任务调度。Hillstone作为首家采用多核Plus架构的安全网络厂商，已将多核技术全面运用在自己的所有产品线中。

Hillstone山石网科公司CTO刘向明曾表示，随着网络及其应用的不断发展，用户对安全网关整体性能、可靠性、可用性方面的要求在不断提高，用户需要一种高安全性、高可用性的网络安全防御产品，即便在极端恶劣的网络环境下也能保障业务的连贯性和安全性。

Hillstone全线产品采用了创新的新一代网络安全架构，硬件平台采用64位高性能的多核网络专用处理器Multi-Core CPU(多达16核)，内部传输采用高达48-480Gbps高速交换总线，同时高端产品采用多核处理器和新一代高性能专用ASIC处理器，其网络安全的处理能力达到了一个新的起点：比如，安全产品中重要参数之一的每秒新建会话数是目前业界最高性能的基于ASIC和NP架构安全产品的5到10倍，达到每秒20万的TCP会话创建速率。64位专用高性能多核处理器的多核并行处理能力为应用层内容安全功能提供了强大的保障，同时又避免了纯ASIC和NP安全系统对会话可管理能力和流量控制能力弱的弊病。由于新一代64位多核处理器Multi-Core CPU集成了IPSec VPN、SSL VPN、TCP、QoS、压缩/解压缩以及其他安全功能的芯片级硬件加速功能，使得Hillstone产品具有强大高效的VPN和应用层安全处理能力。

Hillstone全线产品采用专用多线程实时64位并行操作系统，多线程的并行处理能力和模块化的结构易于集成和扩展安全功能，专用的安全加固的64位操作系统针对新一代多核处理器安全架构进行了全面的优化和安全加固，极大地提高了系统的处理效率、系统稳定性和安全性。模块化和多线程的处理机制，为Hillstone新一代的网络安全系统提供了极大的可扩展能力，包括支持更多核处理器和集成更多安全功能。

众所周知，操作系统是整个安全设备的核心和基础，安全产品的操作系统必须具有很强的抗攻击能力，而基于软件的安全系统采用的是通用的操作系统，通用操作系统会暴露大量的操作系统漏洞，安全系统再强大，操作系统的漏洞会直接导致这个系统的崩溃。

目前，专用定制的操作系统被广泛采用。Hillstone系列产品均采用定制的专用操作系统StoneOS。StoneOS具有64位实时并行处理能力，其核心针对Hillstone硬件产品进行了全面优化，使得系统具有更高的处理效率和稳定性。模块化的系统结构易于集成更多的安全功能，系统具有极强的伸缩性和可扩展性。任何独立的安全模块出现问题都不会影响整个系统的运行。