收藏 分享 转发

　　主持人：各位网友大家好，欢迎收看ZDNet视频节目，本期节目我们特别邀请到天融信副总裁刘辉先生和天融信IDP产品总监刘彤先生。借这个机会，跟网友朋友们交流一下，目前国内的企业的安全市场的状况。我们也知道，近期天融信发布了一个全新的IDP产品，希望两位介绍下，这款新的产品给企业带来哪些价值。2011年马上就要过去，首先请两位介绍下今年整体的网络安全状况。

天融信副总裁刘辉

　　刘辉：从网络安全的形势来看，在过去这一阶段的时间，从简单的蠕虫的爆发，大规模的、针对着个人兴趣为主的网络攻击，逐步走向了以经济利益为主的黑客的行为的攻击。随着黑客的行为发生一些变化，整个安全事件也会爆发，现在是目标越来越也准确。那么这几年，我们可以看到，除了经济组织以外，也针对性的出现了一些，类似于政网这种国家和政治组织的行为的攻击，也就是说网络安全的矛与盾的对抗，也逐步上升到更高级的组织之间的对抗。从发展过程中，过去可能是漫无目的的，整个全网的发生一些恶意的攻击，现在又逐步发展向非常精准的、定点的IP地址这样的这种新型的攻击，就瞄准了一个组织、一个系统，那么获得一定的目的。所以这样的话，我们解决问题，会更加复杂，首先面对的对手变了，那么有可能是目的性很强的一些对手，那么他们所使用的手段更加隐蔽，因为他不一定是非要进行大规模的攻击和扩散，他可能就针对一个点，那么这样发现起来就比较难，处置起来也就非常的复杂，这是目前安全的一种攻防的形态。

天融信IDP产品总监刘彤

　　刘彤：现在有一个比较鲜明的特点，安全已经从我们原来关注的三、四层，逐渐转变到应用层的。就是以现在经常使用的网络购物等等，以这种手段来获取自己个人想得到的一些经济价值。

　　主持人：万兆安全产品已经是一个主流的趋势，天融信怎么看万兆的防火墙，万兆的IPS，以及万兆的UTM，对于企业不同的价值?

　　刘辉：这几年我们看到的在安全产品上，在面对的威胁处理方面，越来越趋同，所谓越来越趋同，比如说防火墙也好、IPS也好、UTM也好，其实它都是在从部署位置，基本上都是在网关的位置。处在这一个位置，作为安全产品，它都面临着一个挑战，核心思想是防御住各种各样的恶意的攻击。那么所以它在这方面的位置上面，发挥了使用者对它的期望值会越来越相近，我要放到这里面有一个网关，那么这个网关呢，最好能帮我做掉一系列的工作，这些工作可以说在不管是防火墙、IPS、UTM它都有点趋同性。

　　当然它们也有一些差异性，虽然这么多的安全的问题要处理，但是这要分一个层次，就是说如果把所有的功能，都放在一块，全由一个产品来解决，那有可能会在效率上，和性价比上，和可管理性上，并不一定是最优的方案。那么在合适的时间，那么有可能它适合于放在一起，在多数情况下，可能就需要能够有更专业的处理。我们可以看到，网络的发展，现在都已经是千兆到桌面，那核心的万兆，更高级的40G、百G的应用也都在部署，也就是说客户的这些网络情况的发展，它必须要未雨绸缪，它提前部署上，为未来的发展留好空间。这是网络的一种情况，它不可能现在再布一个千兆桌面，还是千兆的一个交换环境，那么所以呢，在这个网络流量上去了以后，首先在万兆这个应用上，大家都在普遍的往这个方向去升级，并且核心业务，那么对于上了新应用越来越多，中间的交互、业务之间的数据流越来越大，所以基本上万兆形成现在新建的一些核心网络，最基本的一个配置，我们非常清晰的看到，尤其是中大型系统，基本上在建设的时候，都在考虑万兆以上。所以在这一块天融信也发布了，过去我们发布了很高端的万兆防火墙，那么今天我们已经有超万兆，100G的防火墙。那么今年我们为什么要再提出来，有一个万兆的IPS，那么实际上在IPS上面，我们过去有一个认识。首先，IPS作为一个网关设备，如果仅仅是处理网络吞吐的话，那应该有很多IPS都可以号称到万兆，但是真正到IPS应该处理的工作，又偏向更多的应用层的处理，所以它处理的协议层次更高，面临的颗粒度更细，那么真正在实用环境上达到万兆的IPS，这个整个行业是少之又少的，所以在很多环境下，我们也可以看到，在一些客户测试中，我们经历的一些故事，那么这样的一个产品，如果跑在仅仅是转发情况下，大家都能跑到万兆，可是真正跑到，真正在识别攻击，然后又进行处理的时候，发现了这个能够跑到万兆的IPS，整个行业就几家。

　　主持人：据我们了解，现在市场上这种万兆的IPS确实也不多，请您介绍下天融信推出的万兆的IDP的核心优势?

天融信万兆TOPIDP

　　刘辉：天融信做网关的历史是非常长的，这么多年来一直做网关，所以我们在网关这一块的发展技术非常成熟，尤其在数据，大链路的数据处理上，这是有独特的技术在支撑着我们。随着整个技术的发展，那么整个尤其是计算技术的发展，实际上能够支撑更高的技术，能够来支撑，当然天融信在这样同样的一个硬件的技术支持上，有我们自己软件发展的优势，包括我们自己做了我们自己的安全操作系统。

　　实际上我们在IPS引擎优化上花了大量的工夫，如何能充分利用当代的硬件技术的发展，软件和硬件能够做到一个非常好的一个结合，发明一个非常好的结合的机制，能够适合大容量的发展，并且能够还继续工作在，防御第一线，就是说为什么刚才刘彤已经讲了一块，行业里面我们可以看到很多，它能转发达到万兆，真正应用处理很难做，所以我们在软硬件这一块也是多年的积累，这是一块。第二，我们如果能把性能处理上来，这仅仅是一步，我为了突破性能，但是你仅仅把性能做上去，不能做到很好的攻击的防御，也是存在问题的，所以我们在整个我们协议的识别，就是应用协议的识别，供给行为的识别，行为模型上我们做了很大量的工作，把我们能够提高检测率，做了非常深入的研发和投入。所以我们现在协议识别率在国内，现在是我们最高的。

　　刘彤：实际上像IPS这种做内容检测的，这样的产品，如果要真正的做到实际网络当中，能够在万兆的环境下运行的话，还是难度比较大的。因为我们知道做防火墙的时候，它是基于连接的，所以防火墙我们内部做过开发的都知道，有快速的路径，它只是对包头进行检查，这样对提高性能有很大帮助。但是像IPS这种，做内容安全的就不能这样，每一个都需要检测，都没有捷径，都需要走所有的，包括收发数据、包括协议分析、包括检测、包括匹配，像我们现在有3600条规则，每一条规则都不能放过，所以这个难度是比较大的。

　　现在因为硬件多核发展，也已经比较成熟了，所以硬件的这种性能的瓶颈已经打开了，像现在这个单核的处理器，可能市场上已经都没有了，像我们家用的PC也是2核的、4核的。像现在在嵌入式系统里面用到的像8核、64核，甚至128核的处理器都有，所以现在的瓶颈主要是在软件这方面，就是软件怎么样设计一个合理的架构，能够充分发挥硬件的计算资源，硬件的计算能力很好计算，像一个核，我再增加一个核，硬件的计算能力就提高了一倍，就是乘2的关系，但是加上软件的架构，形成整体系统以后，就不是这样，有可能你只能提高1点几倍，还有可能随着核数量的增多，这个系统整个的性能在逐步的下降，很有可能出现这样的瓶颈，所以我们就是说一直在架构方面，下了很大的力气。还有一方面就是在核心算法，这两个方面来着手。

　　主持人：以前的IPS在实际的应用情况中，通常感觉到有不足，然后现在，比如在安全性能等方面，是否有提升?

　　刘辉：我们现在当然是首先万兆部署的环境，现在在目前这个阶段，它应该是比较核心的数据处理，尤其是大的业务的关口处。我相信未来得发展，可能会部署到每一个普遍的网站，可能都是万兆，所以从目前来看，客户放的万兆的IPS，包括我们使用的客户，都是非常关键的业务点，所以在这个地方，有几个非常要求，就是除了刚才说的性能要支撑以外，那在这些关键业务上，第一个就是要求健壮和稳定，这是非常要求比较高的，这是一块，我回头再来讲，为什么我们在健壮稳定上做了哪些工作。第二块，它现在的核心的业务有很多的都是，比如说新型的业务系统，业务系统基于外部化的很多的趋势，基本都是通过浏览器的方式，提供自己的业务的一种交付行为。所以在这个位置上，它仅仅的防御的不是传统的，仅仅就是那些恶意的攻击，所以它对于防御的内容的要求也很高，那么所以在这一块内容上，比如说它除了传统的，像过去的IDP所识别的那些攻击以外，那么现在它要识别的很多种新型的攻击，比如说新型的病毒，过去可能也不是IDP，但是病毒，那么也是现在，它要求在这些核心业务系统上，要有病毒的防御能力，没有这样的防御能力，那么很难，能够对这些核心业务做毫无疑问的保护，病毒的防御。那么还有他现在希望各个业务系统之间的交互，都是基于WEB方式，有没有恶意的木马的挂马，木马的防御，恶意的这种资源库，恶的URL库，这样的防御也能做到非常好。

　　基于传统的模式匹配的这种攻击的行为识别，不能解决所有的问题，还有很多类新的，针对应用攻击发起的行为，那么需要能够提供解决方法。所以我们也建立了一个行为的模式的识别库，来识别一些即使现在规则库里面没有的一些恶意的行为，来保护这些核心的数据。那么这是实际上在新的一些应用方面，客户对你提供的要求，所以我们万兆IPS都做的，在这方面做了很多大量的努力。那么从健壮性过程，我尤其刚才讲了，第一点我提到在核心业务要很健壮，为什么说这健壮性业务天融信做得很好，这个行业有很多类，有一的专业的厂商，你看国外的一些厂商，它可能起来比较顶尖的厂商，它起来做的时候就是直接从IPS做起，那么国内我们可以看到有两类，一类就是从网关做起来的厂商，还有一类是从IDS做起来的厂商，那么这两类有什么差异，过去做IDS的这些厂商，它放的旁路，所以它旁路对于要求不是非常高，这个协议流来了以后你可以不处理，或者处理不行，不影响协议，它是一个旁路识别行为，但是现在呢，那么我们可以看到，在过去做网关，你非常高的你要做到稳健性的处理，你不能把这个业务处理断了，你做防御的处理，所以我们可以发现这两类厂商起来的，我们比较明显的感觉到，从直接做网关级设备的厂商来做IPS，那么做得非常的稳健，包括当然我们国外的一些厂商也可以提一提，比如像TP这样的公司，国内像天融信这样，做网关的，这一类厂商做出来稳健性得很强，因为它知道怎么样在应用协议里面能够高速处理，而做旁路的一些设备厂商，其实在做稳健性的这种设计和考虑上经验不足。

　　主持人：目前有没有一些案例?

　　刘彤：现在这个万兆的IDP设备商都在运营商，运营商里面来识别，运营商主要是对这个设备的性能，还有设备的稳定性要求比较高。它对设备的功能的扩展方面，倒并不是特别关注，因为运营商要求设备比较专，专门解决一个问题，然后在这一个问题里面，能够把所有的其他设备，能做的东西配合起来一块来实现，所以运营商讲的就是各个产品的配合，像通常现在运营商里面说，就是防火墙在前面，IDP产品在后面，一个防火墙把住门，然后IDP来做详细的筛选，数据流的筛选，来做这个，我们现在万兆的IDP，在运营商里面都有应用。

　　主持人：企业在部署，或者是管理，天融信如可考虑这款产品带来的安全架构的变化?

　　刘辉：因为天融信过去这么多年，一直在强调，可信网络世界的构建，这是天融信坚持的理念。什么叫可信网络世界，就是从整个技术上反映网络传送、应用的环境，这些一系列的环境里面，我们都要打造一个可信的环境，所以这一款产品也是整个我们可信网络架构中间的一部分。那么这一块，虽然它发挥在放在网关防御的位置，它实际上是跟其他的防御的系统，应该构建非常好的一个应用模式。

　　举个例子，那么我们这一套系统，我们可以桌面的可信的终端进行准入的识别，可以形成一种密切的联系，识别这些来自于可信终端的异常行为，我们进行阻断掉，那么也可以遇到一些情况的时候，我们向这个可信的终端发生相应的安全的指令，告诉这些恶意的终端，你应该停止什么行为，允许掉什么样的行为。所以这一块，从网关到终端，我们有整套的密切的联系，当然了，我们现在从过去，从终端这一层到网络这一层，到整个全网管理这一层，天融信都有比较好的解决方案，尤其在管理这一层，我们现在有自己的天融信比较成熟的，像安管的这种平台，安管的平台我们可以作为整个网络中间的一个大佬来看到，我们在整个世博局，我们怎么在世博网络里我们第一次帮助它部署了神经网络系统，其中核心就是安管的平台，安管平台要和各个的这种安全组件、网络组件、技术环境组件进行沟通，得到他们的安全属性、得到安全状态，随着这些属性、安全状态发生一些异常变化的时候，整个安全大佬能够获得响应机制，所以这套系统实际上包括，我们对于万兆的这个IPS，它们之间都构建了很密切的联系。

　　这个系统前两天我们出了世博局以后，我们也看到了，我们在整个天宫一号跟神八的对接上的这种，我们应用到整个航天直控的这种系统里面来，我们部署了一整套全国的这套，这种安全大佬中心，为整个行业的对接系统，我们的工程师为了安装实施这个产品，脚步遍布了我们国家的很多我们没有去到的地方，连我都很羡慕，像我们的工程师去了九泉、西昌卫生发射中心，我们登上了远望3号船、5号船、6号船。当然他们在这些点部署完了以后，在总部的航天中心，又有一个中心点，能够把各个已的安全设备，还有其他行业里面，遵循天融信相关标准的这些，这个协议标准的，包括网络的设备，路由器、交换机的状态，那么这个安全的应用系统的状态，数据库、操作系统，整个数据状态，全部形成一个会聚和智能处理的一个大佬，非常好的支撑了整个天宫一号的对接。

　　天融信现在提供的产品，已经不再是单个分离的产品，而是有机联系的，我们虽然看起来是单个销售，但是它一定会能形成一个密切联系的整体。当然这些产品体系能够达成，独自又能形成一套体系，我们还围着这个整个产品体系，配上了一个专业的服务队伍，我们有完整的从咨询到规划到实施，到后期运维的整套的队伍。在运维方面，我们也结合不光是我们自己的运维，和中国电信、中国联通建立这种基于云模式的，服务运维的中心，在这些中心里面，同样跟我们这些传统的网关设备，都有很好的这种体系的结合。所以我们可以看到，我们这个万兆IPS，在整个应用过程中，我们今天虽然单拿出来讲，它也是在整个可信体系架构里面发挥非常重要的一块作用，能够跟我们天融信的整个体系形成一个无缝的对接。