科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道专访:瑞星UTM以防病毒为技术源头

专访:瑞星UTM以防病毒为技术源头

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

日前,北京瑞星信息技术有限公司推出其UTM防毒网关系列最新高端产品:瑞星防毒墙RSW9300。主要面向政府、教育及金融、电信、能源、制造、贸易等领域的大型和超大型应用。

作者:陈毅东 来源:zdnet安全频道【原创】 2008年8月6日

关键字: 防毒墙 瑞星 UTM

  • 评论
  • 分享微博
  • 分享邮件

日前,北京瑞星信息技术有限公司推出其UTM防毒网关系列最新高端产品:瑞星防毒墙RSW9300。主要面向政府、教育及金融、电信、能源、制造、贸易等领域的大型和超大型应用。瑞星研发部副总经理马杰从从技术、产品和服务三个方面诠释企业如何构建更有效的防护体系。从技术上来讲,需要将更前沿的技术融合到反病毒的引擎中去,是硬件产品反病毒永恒的主题。反病毒引擎技术的演化经历了很多年,基本可以分成前后大概三代的技术。最早的特征码查杀的技术、广普特征的查毒技术,到最新的虚拟脱壳技术和引擎免杀技术等不断向前发展,不断促进反病毒技术的演变。从产品上来讲,软硬件的安全产品并不重叠,在用户桌面和企业网关处形成立体的防御机制,把病毒,包括垃圾邮件,攻击,这些都阻挡在网络之外,而不是等它进入网络之后,甚至到机器中才处理。第三个角度就是服务,产品的服务应该更加全面,更加迅速,用户对服务的关注度正在不断提升。

专访:瑞星UTM以防病毒为技术源头

瑞星研发部副总经理马杰

反病毒与防火墙功能 并行研发

记者:前不久瑞星推出了一个云安全计划,瑞星的硬件级企业级产品是否会融入到这个计划中?瑞星的云安全架构与其他公司提出来的,比如最近趋势科技提出了WEB安全云时代概念,有什么区别?
   
马杰:首先我们的产品,包括服务,都肯定属于我们整体安全计划的一部分,关于我们的云安全会什么样子,包括与其他公司的对比,现在做这件事情可能为时尚早,云安全是非常新的东西,在这个阶段可能还是在完善和丰富这个概念的阶段,大家都处于丰富安全架构的阶段,包括从GOOGLE推广的云计算,到现在,其实它也在不断把很多新的元素加载进去,在云安全同样也是这样,大家不断把自己的服务各个方面更好的融入这个体系中去。
   
记者:今天瑞星防毒墙RSW9300的发布,在您的介绍中,我注意到更多的提到了UTM,防毒墙与UTM是完全不同的两种产品,UTM有四大功能,包括防火墙的功能,防毒功能,还有防止入侵功能IPS,还有VPN功能,RSW9300是防毒墙还是UTM?
   
马杰:首先它是个UTM,所以包含UTM的所有功能,对于UTM必须具备的东西都有,RSW9300为什么叫UTM防毒墙,而不叫UTM网关,为什么突出防毒墙呢?瑞星既有反病毒研发团队,也有防火墙研发团队,瑞星把反病毒功能放到设备中,不是简单把引擎搭上去,通常的UTM是在防火墙上发展UTM产品,怎么做防病毒呢?加个代理,步骤很清晰,一个代理,防火墙负责接收数据,交给代理,然后交给杀毒引擎查杀。但是这样做会对流量的损耗非常大。听很多用户讲,UTM一接上去,当防火墙用速度很好,一开防毒功能速度就不行了,这是技术源头的原因,当然可以做很多优化。
如果这样做的话,延时都是比较大,必须把文件等全交给引擎查,查完再发走,你不可能做的非常快。

瑞星突出防毒墙,因为我们有整个引擎的原代码,我们有防火墙的原代码,我们做的过程不是这样,我们把病毒引擎拆散,首先一个文件进来,文件格式识别,会做解压缩,解码,包括脱壳,这些去完后才会做特征码匹配,这些步骤实际是没有必要等到整个文件完全还原出来做,如果你是OEM返回的引擎是不会提供你这么细致的接口,瑞星自己做的时候优势在这里,文件识别是在你刚刚收到这个数据包时,我们文件格式识别已经做完了,然后做解压缩、脱壳,文件缓存到一定程度就开始做,同时做病毒匹配时,不等文件到达就做了很多事情。因为我们完全掌握了防火墙和反病毒技术,所以可以融合开发。所以叫防毒墙,因为在防毒功能上很有特色。
   
记者:防火墙具备UTM所有功能,那么对于入侵防护和VPN两个基本功能瑞星是怎么做到的?
   
马杰:可以看一下瑞星老的产品线,可能一些产品不受大家关注,但是也是长期存在过,瑞星很长一段时间销售产品中有防火墙,也包含VPN防火墙,有入侵监测,我们把这些技术做了更深入的融合。
  
历练成就价值 有效平衡速度和性能
 
记者:防毒墙RSW9300是针对于大型企业?对于大型企业的UTM,尤其是防病毒硬件产品的需求跟低端用户不同的,对于这些用户,RSW9300在市场竞争中体现了哪些技术优势,市场中UTM产品,或者防毒墙这样的产品很多了,竞争非常激烈,瑞星凭借什么来占领市场?
   
马杰:我认为真正对用户来讲有价值的是什么呢?我们是国内最早一家开始做这个产品,我们产品经历了足够长的和用户磨合时间,这是我们做这个产品的很大价值所在。瑞星有这样的技术,别的公司会说也有这样的技术,这个事情永远说不清。在实际环境中磨炼的时间长短才是有价值,这能代表你所能处理的复杂环境,面临的可能在实验室里,在研发部门里永远不能面对的用户场景。经历了比较长的过程,拿出去的产品才能符合用户需求,并且符合企业应用环境,这是对企业环境很有价值的一部分。

另外有价值的一部分,是在速度方面,在整体性能方面的优势。因为瑞星把防毒拆散到防毒墙架构中去,导致防毒墙性能指标比其他厂商要高,高出来的性能指标在这个领域还是很有意义的,你可能说杀毒软件比别人查的慢,大家稍微忍忍就可以,但是在网关对于性能影响是很明显的,哪个网关也不愿意承担这样的责任,这款产品在性能上做出的提升。

对于一些高端企业用户,可能对这类UTM设备的想法和中小企业不同,以往他们有个倾向,倾向单向,功能比较明确,就是性能比较高的产品,而不愿意买UTM产品,其实不是他们不想用UTM产品,他们也不愿意在网络上串一堆,之所以不用UTM产品,最大的困扰是太慢,一堆功能,你真的把功能开启,那么慢的不能用了。但瑞星平衡速度和性能方面做的比较好,能够适合大型企业的需求。随着UTM产品越来越多,大型企业会考虑用这类产品来代替串糖葫芦的方式。

RSW9300部署方式是串接,有两种工作模式,一种是纯透明式的,就是即插即用的,也考虑到有复杂的网络应用,在里面包括各种路由,端口,转换,各种防火墙和这类设备需要具备的配置都提供了,在有复杂环境也可以做这种配置。

记者:对于虚拟脱壳技术,主要应用于软硬件两个层面,您提到响应时间的问题,对于新出现的壳最快一到两天即可响应,而瑞星的云计划的响应速度是零点几秒,这有什么不同?
   
马杰:这是两个概念,对于云计划的响应速度,我们截获样本到引擎处理样本最佳的处理时间,我刚才提出是出现新的加壳手段和我们能处理这种加壳手段的时间,这两者之间的区别在什么地方呢?在网络上有大概上百种加壳工具,首先加壳工具推出的版本数据不是那么频繁,这么多年也就那么几百种。但是加壳工具一旦出来一种新的,对于反病毒软件来说,不用虚拟脱壳技术,用传统的写程序,分析算法,通常有经验的工程师需要一个月时间,而且那些加壳技术有很严密的自我保护技术,很大的工作量,有时候一个月都做不完。瑞星对于新壳的响应速度最快为1-2天,是对于新出来的加壳技术的响应时间。

对于一个样本出来,通常所有的壳已经都在我们所能处理的范围内,不存在这个问题。如果万一不幸,用了新的加壳技术,这也没有关系,我们脱壳是为了什么呢?是一个病毒不停出变种,我可以直接识别它,这样这个病毒用新的加壳工具后我直接认识它,这让病毒作者更难做病毒。即使壳不认识,不是不能杀。对于新出来的病毒我们仍旧可以响应,但是在新的壳没有分析完的时候,在那个时间段还不具备对它脱壳的能力,但是可以直接处理病毒。比如在一到两天壳分析完了,这时候内部特征就不用了,直接脱壳,两个情况都不耽误。

坚守X86 软硬产品并不重叠
   
记者:现在有一些用户对至强有一些抵触,觉得安全防护Intel不是最好的,瑞星有没有研发计划,国内或国外很多安全厂商在这方面的技术已经准备很充分了。

马杰:这方面瑞星早有接触,不论做多核还是加速芯片的厂商都会和我们联系,但是我们一直没有选这些产品的系列,我们一直坚守在X86上,为什么?因为瑞星是反病毒企业,在X86和非X86上,对于防火墙,一个反病毒引擎在X86和非X86差别非常大,所有病毒都是现在原生在X86上,病毒会利用X86很多指令。当你不再一个X86架构上去分析病毒会很困难,因为病毒利用这个架构,所以引擎也利用X86指令集和细微的东西。病毒在利用X86原生的功能时,如果那个CPU本身不能够提供支持,当要查毒时就要虚拟,这样带来的性能损耗非常大,但你不想有这个损耗就不查病毒了。由于病毒对X86架构的原生依赖性,所以我们坚守在X86。
   
记者:有的厂商跟我说,也类似查病毒功能,不是说文件病毒我们不查,是应该由桌面杀毒软件来查,我们只查协议,如果查文件病毒,这样会严重影响UTM效果。
   
马杰:我们就是解决这个问题,我们觉得,光是查网络层,二三四层的东西远远不够,一定要查七层的东西,甚至还要往上的东西。
   
记者:那么这样做,RSW9300与瑞星网络的杀毒软件,以及终端杀毒软件,怎么分配?是否会造成冲突。假如一个产品可以代替其他产品,是否有用户投资的效能比,如果不能代替,如何分配?
   
马杰:在功能上,如果说完全没有重叠,不可能。但是我们认为这个重叠是有价值的。你说警察和边防军队在功能上有重合吗?肯定有一些,但是能代替吗?绝对不能,防毒墙相当于作用是在网络边缘的边防军,桌面杀毒软件相当于警察。防毒墙做的主要工作是面对外部来的入侵,负责把入侵阻挡在整个网络之外。桌面放毒软件处理更具体的每个案件,倾向于更精确性。举一些实际例子,曾经国家办公厅用户跟我们聊到他们的一个实际情况,他们大量是文书工作,基于内部邮件系统,他们就用了我们企业级网络版杀毒软件,包括邮件保护这部分。有一段时间邮件病毒特别多,他们就提出,你们杀毒软件是很尽职,一直工作,并且邮件病毒也没有漏过来,但是有个问题,邮件病毒太多,你要不停处理,你是没有漏病毒,我们正常工作也不能进行了,就是正常的邮件也发不出去了,因为总在处理病毒。如果有这个设备就没有问题,病毒在进入网关前就处理了,减轻了网络本身的负担,减轻网络中核心设备的负担,减轻服务器的负担,也大大减少了最终桌面机器遭受感染的机会。

在我们看来,放在网络边缘的防毒墙和桌面的杀毒软件,是联动的互相补充,随着我们下一版杀毒软件的推出,之间会有联动功能,是有益的联动补充,互相帮的忙往往大于重叠。
   
开展广泛合作 不做形象工程

记者:目前瑞星的硬件整体防御体系已经比较健全,像思科,Juniper等他们产品线健全后,会构建一个强大的基础安全架构,比如他们提出的架构平台NAC,UAC,EAD等,瑞星有没有这样的计划,未来定义自己的基础安全架构,这对安全厂商是很重要的环节。

我们觉得安全架构,现在提出的安全架构,更多是基于网络这一层来考虑问题,不管是自防御网络,NAC等,我们包括与思科、H3C等这些大的设备网络厂商都有合作,在他们计划中也有我们的身影,甚至包括H3C的UTM设备都是用的瑞星防毒墙模块,直接嵌入到OAA开放架构里。

记者:就我们了解,许多厂商只用到瑞星的防毒引擎?
   
马杰:是防毒模块,我们不太有兴趣做OEM引擎业务,我们是把防毒墙这一整套加到比如OAA架构中,他可以做各种应用,但是在网络安全方面,我们是H3C唯一的合作伙伴。
   
记者:RSW9300与哪个行业用的最多?
   
马杰:各个行业都有覆盖,包括金融、电信等,瑞星作为国内企业,政府行业覆盖得比较高。我们向高端设备来做,也很好的看到了这些行业的反馈。比如国内银行的测试,我们已经进入第二轮,并且电信也有很多地方也购买了我们的设备,要让大家继续增加信任,让他们知道国内厂商做的也比较好。
   
记者:瑞星是不是也在做万兆产品的研发?
   
马杰:属于保密的产品计划,这对于我们来说并不着急推出,我们不主张做形象工程,我们会做用户实际要买的东西,万兆产品用户还不会有大量购买。万兆产品基本不属于我们目前的产品线,我们最上面有的RSW—B系列,将来的万兆产品可能是B3000或者B9000,应该是B系列产品,是非X86架构产品,用到10G或者40G带宽都是电信业务网络,实际应用万兆的还比较少,这些网络基本的需求,真的对速度,包括其他指标,包括延时,这些指标都要求的非常严格。在那个环境下,对病毒的准确率并没有那么高的要求,只是希望在大范围内控制病毒传播,并不需要精确的控制到每个病毒。那样的客户我们用B系列产品去覆盖。B系列产品没有用X86架构,是专门的芯片来进行扫描,它的优势在于速度非常快。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章