基于全分布式架构的高性能优势

爆炸式流量增长趋势，数据中心防火墙需要具备处理大流量、海量访问的强大能力，并可有效应对海量用户突发访问的情形，所以数据中心防火墙不仅要具有超高的吞吐量，而且要具备超高的并发连接和每秒新建连接处理能力。

山石网科 X 系列数据中心防火墙采用创新的全分布式架构，通过智能流量分配算法实现业务流量在业务模块（SSM）、接口模块（IOM）以及业务与接口模块（SIOM）上的分布式高速处理；并通过资源管理算法专利技术（发明专利ZL201410092922.X）充分发挥分布式多核处理器平台的潜力，进一步提升防火墙并发连接、每秒新建连接的性能，实现系统性能的全面线性扩展。其中，X10800 处理能力最高可达 1Tbps，每秒新建连接最高可达 1000 万，并发会话连接数最大可达 4.8 亿，设备可提供多达 44 个 100GE 接口、88 个 10GE 接口或 22 个 40GE 接口、132 个 10GE 接口的扩展能力。同时，数据包转发时延低于 10us，能够充分满足数据中心对实时业务转发的需求。

电信级可靠性保障

X 系列数据中心防火墙的硬件和软件均采用高可靠设计，实现 99.999% 的电信级可靠性。可支持主 / 主或主 / 备模式的冗余部署方案，保证单台故障时业务不中断；整个系统采用模块化设计，支持主控模块、业务模块、接口模块、业务与接口模块、交换模块、电源模块、风扇模块等关键部件的全冗余可靠性保证，同时所有模块均可实现热插拔。

防火墙孪生模式（Twin-mode HA）有效地解决了双活数据中心非对称流量的问题。防火墙孪生模式是建立在设备双机备份之上的一种高可靠组网方式。通过专用的数据链接和控制链接将两个数据中心的两组工作于主 / 备状态的防火墙连接在一起。这两组设备相互之间同步会话信息和配置信息。

领先的虚拟防火墙技术

虚拟化技术在数据中心被越来越广泛的应用，X 系列数据中心防火墙针对数据中心的虚拟化需求，可将一台物理防火墙在逻辑上划分成多达 1000 个虚拟防火墙，为数据中心提供大容量的虚拟防火墙支持能力。同时，用户可根据实际业务情况，动态设置每个虚拟防火墙的资源配额，例如 CPU、会话、策略数、端口等，保障了虚拟化环境中业务流量的弹性变化。 X 系列数据中心防火墙的每个虚拟防火墙系统不但拥有独立的系统资源，还可独立精细化管理，为不同的业务或用户提供可视化的独立安全管理界面。

精细化应用管控与全面安全防护

X 系列数据中心防火墙采用先进的深度应用识别技术，可根据协议特征、行为特征及关联分析等，准确识别数千种网络应用，其中包括百余种移动应用以及加密的 P2P 应用，并可为用户提供精细而灵活的应用安全管控功能。

X 系列数据中心防火墙提供了基于深度应用、协议检测和攻击原理分析的入侵防御技术，可有效过滤木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁，为用户提供 L2-L7 层网络安全防护。其中，专业的 Web 攻击防护功能，能够满足用户 Web 服务器深层次防御 Botnet 的需求，保障内网主机免受感染威胁。

X 系列数据中心防火墙的智能带宽管理基于深度应用识别和用户识别，结合业务应用优先级，可根据策略对流量进行两层八级的细粒度划分控制，并提供弹性 QoS 功能；与会话限制、策略路由、链路负载均衡、服务器负载均衡等功能配合使用，可以为用户提供更为灵活的流量管理解决方案。

X 系列数据中心防火墙支持千万级 URL 特征库的 URL 过滤功能。可帮助管理员轻松实现网页浏览访问控制，避免恶意 URL 带来的威胁渗入。

强大的网络适应性

X 系列数据中心防火墙完全支持下一代互联网部署技术（包括双栈、隧道、DNS64/NAT64 等多种过渡技术），同时具备成熟的 NAT444 功能支持固定端口外网地址向内网地址的静态映射，能够基于 Session 生成日志，并可基于用户生成日志，方便溯源。同时增强的 NAT 功能（Full-cone NAT 和端口复用等）能够充分适应目前运营商网络的特点，降低用户网络建设成本。

X 系列数据中心防火墙提供完全兼容标准的 IPSec VPN 功能，集成第三代 SSL VPN，为用户提供高性能、高容量的全面 VPN 解决方案。同时，其独特的即插即用 VPN，大大简化了配置和维护难度，为用户提供方便快捷的远程安全接入服务。