科技时代新浪首页 > 科技时代 > 软件 > 正文

访谈:从防火墙到UTM、从IPSec到SSL VPN (1)


http://www.sina.com.cn 2006年06月23日 10:30 赛迪网

  2006年6月15日到17日,“第七届中国国际计算机网络和信息安全展览会”在北京展览馆召开。15日聆听了凹凸科技产品经理李云峰以“新一代安全远程接入解决方案SSL VPN”为主题的演讲后,编辑颇有兴趣,16日又到展会现场观摩,有幸约到了凹凸科技市场部经理薛毅戈先生进行采访。以下是采访实录。

  Q:首先请您为我们介绍一下SSL VPN。

  A:这是我们的SSL VPN的一个Demo。SSL VPN是用原有的SSL技术形成了一个新的应用方式,信息传递的时候通过加密技术建立安全的通道,保护里面的信息不被外部盗取和篡改。原来都是用IPsec搭建网络环境,是把内网外延到其他的分支机构,但是IPsec的问题是客户端需要安装软件,这样得配置部署,相对来说比较麻烦一点。SSL VPN的客户端是没有软件的,下载一个小插件而已,这样在Server端、中心点很简单的部署一台设备,大概半个时到一个小时这台设备就可以布置好可以用了。

  另外IPsec打开的时候全网段都打开了,进来的人享有相同的资源,而SSL VPN通过策略的设置,不同的人访问不同的资源,能做到细分。比如说做OA的,或者收发邮件可以用一部分资源,财务可以走另一部分资源,可以作为不同的角色分组进行控制。

  Q:IPsec客户端比较麻烦,SSL VPN需要下载一个小插件,那个插件也是客户端下载的吗?这样客户端不是还是一样的麻烦?

  A:IPsec是做一些安装和配置、SSL VPN的插件是记录绑定的策略,SSL VPN的界面在打开的时候自动下载插件,不需要安装配置,因为所有的配制配置工作都在服务器上。部署后可以随便在一个地方通过公网输入用户名、密码登录进去就可以做内网的访问。

  Q:那么意思就是,它相当于客户端也是有软件的,但对于用户来讲就变的很简单?

  A:是的,这些插件起到了客户端的功能。但由于这些插件并不需要额外的配置,对于客户来说使用的时候是近乎透明的,也不需要额外的知识,对它们进行维护。

  Q:如果要配制权限,比如财务只能访问财务的,这个是由网管统一配制吗?

  A:是的网管统一配制。

  Q:您能给我演示一下吗?

  A:就是一个直接的操作界面。这是它的管理界面,通过这个管理界面可以看到相关的管理员的设定、包括对用户、分组划分角色列表。

  Q:浏览器的地址栏里面显示的网址,是哪里的IP?

  A:SSL VPN设备需要在公网上有一个地址,可以是地址转换后的IP,访问的时候访问这个IP地址就好了。

  Q:现在是通过无线联网的吧?

  A:对,可以通过无线,真正使用的时候客户的分支机构就可以,只要有公网能够上网,就可以访问公司的内网络。我们做了几个学校像首师大这种学校就是把学校的内部资源通过SSL VPN保护起来,它的分校通过外网可以很方便的访问。

  Q:使用IPsec的时候,比如说一个公司在亚洲,但是去美国开会了,通过IPsec不能访问公司网络,这是为什么呢?

  A:因为Ipsec的出发点也是为了安全,亚洲到美洲有不同的网段的互相的切换,更重要的是受网络拓扑的限制多,有一些策略不同的差异,这样IPsec在使用的时候很麻烦,要调。很多人保证安装以后会用,但是需要很专业的人士,需要懂的人做配置。

  Q:每一次都需要各个部分调的非常好?

  A:对。

  Q:SSL VPN就不需要调试了吗?

  A:因为在客户那边能上网就可以,登录进去以后就可以使用了,等于进到客户的内网了。

  Q:意思是说从客户端直接到服务器建了一条通道,不能利用现有的网络一点一点切换?

  A:它访问到IP地址已经建了一个信息通道了,然后进行加密,也是一个VPN的概念,只不过是基于SSL,它是基于应用的,这样保护这些应用数据。只要能访问公网,有Internet就可以利用公网访问到内网资源。

  Q:现在凹凸科技的SSL VPN产品的销量怎么样?

  A:我们这边刚刚开始做,目前属于市场推广期,但是客户这边已经越来越多的人开始接受和认可这个产品,因为确实能解决他们很多实际应用的困难。

  Q:和IPsec相比价钱上会昂贵许多吗?

  A:它比IPsec反而便宜,因为部署的时候只用一台设备就可以了。而IPsec除Server那边要有设备,还要客户端License费用,反而成本会高。

  Q:我从其他资料了解到凹凸科技看家之本的就是ASIC技术,因为原来一直做芯片,有了积累,用到网络资源的时候就比较有底子了,SSL VPN产品里面有用到吗?

  A:还没有用到,因为这是基于软件功能的应用。但是这个产品国内、国际上来讲是正当及时的产品,客户的需求和整个市场容量都在不断的扩大。

  Q:我几周之前刚刚给Juniper做了一个企业专区,SSL VPN他们也很重视,现在同类产品都是属于推广阶段吗?

  A:北美那边大概有三年左右了,大陆地区从前年开始慢慢的灌输这个概念,去年开始产生比较大的销售量,越来越多的用户认可接受这些产品。这里面有些数字我可能记不太准了,但是在中国地区SSL VPN的产品是上升的趋势,越来越多的客户知道它,并且开始接受它,认为它是非常安全方便的接入控制设备。不光是在中国,在全球来说SSL VPN我也看到一些报告,它每年的总体增长率是非常高的,数字非常大。现在看到很多市场报告关于SSL VPN还没有列到某一个专项,像防火墙、防病毒这些可以列为一个大项,因为这个整个市场份额不大占到8%左右,但是增长率是非常的高,防火墙每年有增长,但是它每年的增长速度是下降的。SSL VPN是非常高速的增长的。

  Q:北美有可以比较成熟的直接搬过来用到中国,还是需要本地化方面的开发?

  A:不太需要,所谓的本地化就是操作界面和汉化,以及针对特定需求的补充,因为技术是比较成熟的技术。

  Q:我和防病毒的厂商也聊过,他们觉得在防毒方面技术等各方面都非常成熟了,而且市场上也太多,其他已经无计可施了,只有打价格战。

  A:国内尤其是这样的,很容易陷到价格战的泥潭里面去,价格战对客户、对厂家、渠道各方都不好。因为低利润没有更多的钱支持研发和服务,这样会影响到对客户的服务及新需求的支持。有有时候完全为了一个概念造一个宣传,但是应考虑更多的是说实际应用需求的多少,包括产品的易用性这些,以及之前之后公司对这个产品的支持,对客户的服务这是更重要的。

  Q:现在同类产品里,作为凹凸科技自己的人来说,肯定说自己的产品好,首先对这个产品肯定有一定的感情,但是稍微客观一点的话,您觉得跟其他的厂家相比有什么优势?

  A:我们产品比起其他几家在全球领先的产品来讲还是有差距的,因为这个产品时间做的不是特别长,不是说技术上的差距,因为我们刚刚进入中国,针对中国市场来讲我们对中国客户的需求摸的还不是特别透。我们支持的应用、支持的服务,有些国内用户的要求我们还不能完全满足,但是我们一直在做,我们在国内有一只很强的研发队伍,一直在努力完善产品,所以我相信很快的我们就能够把我们的产品,在新的版本里能够支持更多的应用,更贴近中国的市场。跟其他厂商的差距也会缩小。

  Q:推广这款产品它的卖点在哪里?

  A:卖点就是产品自身的几个特点,包括管理的简单化、易用性、使用的操作灵活性,网络适应性强,及对多种应用的支持。

  Q:它比IPsec肯定是有很多好处,我已经决定了要选用SSLL VPN但是我在思考选用哪一家的,相对于其他厂商来比有什么卖点?

  A:比如我们的“零痕迹”概念,我们考虑有些客户访问是拿别人的机器甚至是公用的机器上,这种信息都是要保护的,处理完以后登录的时候产生的所有临时信息我们都可以去掉。另外对角色管理方面,我们可以很容易的通过不同的组,不同的角色进行管理和匹配他们的网络权限。这样很容易能够跟一个公司的管理结构融合在一起,不同的人访问不同的权限资源,这样能跟管理结合在一起很方便。还有细粒度的访问控制,对多种应用代理和协议的支持等。另外,

  不是说SSL VPN要取代IPsec,它其实是互补的。不是说有的厂家说替代IPsec,这是不对的。

  Q:系统的扩展性怎么样呢?比如出现新的服务了可以很容易的添加进来吗?

  A:对,添加就可以了。

  Q:那管理呢?意思是说客户可以自己添加?

  A:对。因为你那边又有OA又有WWW,有HR的系统,有财务、ERP等等,你要通过SSL VPN发布出来,让你的分支机构或者移动用户去实时的访问你的系统就可以了,走什么样的协议、端口定义好就可以了。

  Q:凹凸科技原来是做电源的,后来为什么会选择安全呢?

  A:凹凸科技是做芯片起来的,4年前凹凸科技开始涉足安全市场,并不是说之前没有做过别的。凹凸科技还有一家合资公司做基于访问控制、包括信息加密硬盘加密的产品。另外凹凸对芯片技术积累很多,同时把握住安全这块包括防火墙这些设备发展趋势,对设备性能要求越来越高,支持服务越来越多的趋势,这点里ASIC就是最好的解决方案,基于ASIC的芯片,然后做整机设备。而且我们的SSLVPN和IPsecVPN都拿到了ICSA Lab的认证,这点很能说明我们的技术实力。

  Q:ASIC和NP什么关系呢?

  A:现在业界都讨论ASIC还是NP?NP可以说是较专业的通用性芯片,性能上要弱一些,NP比ASIC的灵活性要高,但是真正作为产品NP所谓的灵活性是根本发挥不出来的。因为NP开发工作量很大,牵扯的程序模块很多。ASIC是专用的芯片,是针对防火墙或者什么特殊的功能,把这些算法设计成硬件来做。NP是通用性的,它在某一方面不具备更专业性的处理方式,比如所有功能都要通过其CPU运算,。所以说它整个性能会比ASIC低一些。

  Q:ASIC所表现出来有很多优点都是优于NP的,NP还有空间能存活下去吗?

  A:当然会有,国内大多数厂商都是基于NP的。因为一方面,做ASIC需要有很强的实力和技术储备,现在也就3~5家左右做基于ASIC很强的网安设备。国内因为集成电路设计生产上是一个弱项,这样它们只能用NP。因为最早X86功能、性能各方面都很差,为了提高性能,把产品提高档次,在英特尔上、IBM的NP上来做,也是为了把产品做的更高,满足市场的需求。而且就目前的需求来讲,还是能够满足客户的需求的。

  Q:意思就是说对于普通用户来讲NP还是可以满足的,但是如果要求高的话ASIC比较合适?

  A:关键看性能,如果需要很高处理速度、很高的性能,ASIC可能比NP好,这是业界达成共识的。强调NP是因为相对的灵活性,而像我这样的处理器有一部分可编程微码阵列,这样就具备了NP的灵活性,有些东西我们是可以做进去的。不是说像一般的ASIC,没有任何灵活性可言,我们这个还是有一定灵活性,可扩展性的。

  Q:如果说ASIC已经做好了,那么您是指它本身有一定的扩展性,还是可以对下一代产品进行扩展?

  A:就是说芯片自己内部有一块是可编程的RISC,通过这个可编程我们可以添加一些新的规则。

  Q:芯片是在台湾做的吗,因为我看到有Made in Taiwan的字样?

  A:对,芯片是在台湾做的,设计是在美国。

  Q:现在设计都是在美国吗?

  A:我们芯片设计结构是在美国做,但是很多的实现是在大陆和台湾地区、新加坡做。凹凸科技最大的实力就是研发,包括芯片做成防火墙。因为我们所有的防火墙都是基于自己的ASIC来做的,保证性能方面我们可以做到64-1518byte,没有任何丢包,而且延时非常少。

  Q:为什么选64?

  A:这是一个IP通信的最小包长,因为涉及到转发处理问题,小包压力比较大,大包通过率比较高,甚至在X86架构下也很容易做到,但是能达到小包全线速的不容易,越到小包丢包率越高,我们的芯片可以达到百分之百。

  Q:用了ASIC技术,主要是性能的提升和速度的加快,意思是说主要适用于高速网络?

  A:对,它适用的是对带宽、处理速度要求相对较高的网络需求,因为现在越来越多的网络应用要求实时性,这就需要很高的处理速度、很宽的带宽。现在不管是公司还是企业,网络资源应用是越来越多了。

  我们个防火墙有两个系列,一个是M系列,一个是E系列,M系列吞吐可达5G,E系列最高能够达到3G的处理能力,每个端口都是千兆的。

  Q:看到CPU占用率0.7%、3.5%,确实非常小。

  A:不怎么耗费资源的,因为绝大多数的处理都由ASIC来完成。

  Q:现在凹凸有没有开发UTM的产品?

  A:有。这次还没有真正发布,但是我们会有两款,一个是插卡式的UTM,一个是防毒墙,计划提供抗攻击,内容过滤,IPS,以及高速病毒防护,和反垃圾邮件。另外,不管对于媒体还是厂家还是社会上的需求来讲,UTM变成了一个热点,而且UTM需求不断的增长,但是大家真正使用起来会发现UTM的瓶颈。它可以有很多功能,但是这些功能都跑起来,它的性能降的非常低。比如一个设备有五个功能,开两个勉强能跑起来,有这种情况。我们正在为保证用户体验方面做出努力。

  Q:UTM也是基于防火墙发展起来的吗?

  A:UTM一个是基于防火墙发展,一个是从IPS发展。把几个其他功能模块整合起来就是UTM。

  Q:实际上也不是简单的叠加,功能多了跑起来功能、速度都是问题,是不是这样的呢?

  A:我说的是定义比如有IPS、有的叫过滤,都叫UTM,但是什么是真UTM?没有一个实际的标准。有几个功能加在一起就叫UTM了。但是性能是一个大问题,跑不起来。很多客户最后选择还是分开来用这些东西。因为我们核心是做芯片的,优势是硬件和软件的结合开发,我们将推出千兆的UTM,因为我们有芯片可以做很多功能,能够达到千兆的速率。我们没有在这个广度上做产品发布,这款产品将在今年会有发布。现在是介绍一下,导入一个概念,就是G-base的UTM,就是能真正达到千兆处理的UTM。所有的UTM功能上能统一起来才能给客户更好的防范和支持。现在光有功能跑不起来,买回去没有任何意义。

  Q:所有产品都是经过市场调查的,我看到很多资料UTM主要是解决中小企业用户的问题。你们调查中实际情况是怎样的呢?

  A:目前来看是中小企业需求最大因为他们预算很有限,需要买一个设备解决所有问题,实际上大家都知道这是做不到的。但是将来我觉得如果UTM真的变成高性能、成熟的产品的话,不光是中小企业来做了。为什么我们产品所有都是基于中高端,因为现在市场好象低端客户量最大,但是随着各种3G应用、宽带起来以后,我们相信中、高端会有很大的一块,所以我们定位在这里。

  Q:我感觉凹凸的产品定位都非常高,一般感觉大众是最多的,将来像您说的可能是菱形的,但是现在还是金字塔型的,我就想问凹凸科技主要靠什么赚钱?

  A:凹凸科技是技术导向的公司,现在也逐渐的往市场导向上走。但是我们不想打价格战,我们没有必要在低端跟别人拼。另外将来中端、高端的应用越来越多,所以我们定位在中、高端上。我们不希望大家都打价格战,大家都是理性的消费,理性推广,这样对各方都是有好处。如果大家都只是挣一点点钱就出货,那价格越来越低,没有钱不可能再研发。凹凸是成立11年的公司,在芯片方面有非常健全、非常好的市场。有几款产品我们的市场占有率是最大的,达到60%到70%,凹凸有比较雄厚的资金在支持。包括为什么说现在才进来,不是时机?我们觉得并不是不是时机。原来防火墙基本达到了一定稳定的状态,市场份额等都达到了稳定状态,但是基于目前的状况。市场需求也在变化,真正的市场还是在变化的,我们觉得用四年的时间积累,能够赶上这种变化,而不是说跳到现在的所谓红海、蓝海里面去。我们是要抓住变化的趋势。

  Q:必须开辟自己的蓝海。

  A:对。因为在中国,用户端、各大部委行业开始做

信息化建设、网络设备采购等等,但是之后更多的是中大型企业来用,这将是市场真正的一块。我们看重的是这些。所以说我们觉得还很是机会。

  凹凸专业除了芯片还是做安全这一块,不是说在中国简单的试试水,不好玩儿就走了,它在中国安全这边就有100多人,有很强的队伍。我们有五家分公司设在中国主要的地区,这是凹凸的优势。

  Q:凹凸为什么突然开始做安全了呢?

  A:不是突然,我们凹凸在安全方面已经做了四年了,只是之前没有宣传,之前一直做研发,积累,用四年时间积累做出的产品,今年2月份才正式开了一个凹凸Night宣布进军中国。

  Q:就是一鸣惊人。

  A:真的希望能够一飞冲天。

  (图)这个是网管平台软件,因为不同的厂商设备对于IT管理来说都很麻烦,如果有统一的管理平台软件可以通过这个软件对所有设备进行监管,某些设备包括策略的下发、设备的部署可以通过它管理。部署完以后整个网络包括状态监管也可以通过这个软件管理。这样作为IT部门工作量就会小而且很方便,设备都可以远程监管。所谓安全管理,不光是设备故障,还要监控漏洞,日志查询等,同时还要兼容其他厂家的设备。我们这边软件产品、硬件产品都有,我们是软硬结合的,最重要的就是芯片这是我们的核心。

  Q:网管产品方面,其他的厂家现在已经有比较成熟的产品了吗?

  A:现在其他厂家也有做类似的产品,他们这个因为考虑到硬件的设备有的是买一台两台,有的可能是批量采购,对这些设备怎么管理?其实考虑的是这点。所以说真正的产品都一直在不断的扩大,核心点就是芯片的技术、软、硬结合的技术,和我们在国内强大的研发优势,我们总部在硅谷,全球来讲最先进的技术我们是在这个氛围内,能够掌握最先进的技术导向,最先进的技术优势,然后再用我们的优势结合起来。

  Q:谢谢您!

  A:ICSA认证是业界认可的认证,能够拿到这个认证说明它的产品和性能方面是非常优秀的,因为它的认证非常严格和细致,拿到这个认证说明我们的产品和技术是很好的。

  

访谈:从防火墙到UTM、从IPSec到SSLVPN(1)

爱问(iAsk.com)



论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有