安全设备是做什么用的呢?当然是用来保证网络、应用安全的。不过，仅仅做到这些还不够。随着用户需求的发展变化，安全设备还可以帮用户做更多事情。

Hillstone山石网科(以下简称山石网科)公司产品经理张龙勇向记者介绍，山石网科的安全网关中包含了智能选路解决方案。该解决方案广泛应用于智能引流、服务器负载均衡、多ISP出口智能选路、多出口链路负载均衡、VPN负载均衡等业务场景。

智能识别+流量引导

目前，各个厂商在使用PBR(策略路由)的时候，都只能针对固定端口的应用(如HTTP、FTP等)，而现在大量的应用(如FTP\P2P\SIP等)不再使用固定端口，或者隐藏在HTTP/HTTPS流量中。在这种情况下，无法根据协议和端口来识别服务类型，对这种类型的流量也就无法实现基于应用的策略路由。山石网科的StoneOS操作系统中的应用识别功能可以根据应用的特征和行为作为依据来判断应用类型，即使是隐藏在HTTP/HTTPS流量中应用也可以进行识别，配合StoneOS的PBR可以实现对P2P等应用的智能引流。

例如北方一个用户有电信和联通两条接入链路，访问用户也大部分在北方，在这种情况下，为了保障关键业务的质量，将P2P等大量消耗带宽而又不关键的业务，通过PBR+应用识别功能引流到电信链路上，这样既保证关键应用带宽的安全，又使流量的分配更合理，带宽的利用率更高。

智能选路+服务器减负

为了让关键业务服务器提供高质量的服务，企业往往采用服务器群的方式来对外提供服务。为了使访问的流量均匀分配，需要在服务器群前增加专业的负载均衡设备，实现对访问数据流的分配。但这种负载均衡设备通常是非常昂贵的，不是所有用户都能够承受的。另外，负载均衡设备对于高并发连接和每秒最大新建连接的支持不是很好，也不能很好地防护对服务器的攻击。据张龙勇介绍，山石网科的多核硬件架构Plus G2和自主研发的全并行安全操作系统，可以完美结合。网关设备的新建连接可以达到25万/秒，最大并发连接数可以达到1000万。

山石网科的设备通过DNAT(反向地址转换)、反向路由查询、状态监测功能，实现了对服务器群的负载均衡。反向路由查询和DNAT可以实现数据包的原路返回。即从联通来的访问流量，通过联通的链路返回;从电信来的访问流量，通过电信的链路返回。状态监测和基于Hash的算法，保证了访问流量在服务器群间的动态均匀分配。当状态监测功能探测到任何一台服务器出现问题无法访问时，会把访问流量动态智能地分配到服务器群中的其他服务器上，当服务器修复后可以将流量动态恢复。

另外，在山石网科的设备上开启ISP路由后，设备会智能进行ISP路由的选择。即访问联通的服务器走联通链路，访问电信的服务器走电信链路。这样就解决了困惑用户的南北路由互联问题，使网络访问更加顺畅。

张龙勇说：“智能选路解决方案在保证用户业务系统安全性的基础上，以有竞争力的价格提供高质量的业务选路服务,让用户的网络系统更加可靠、稳定、可用。”