专访：瑞星UTM以防病毒为技术源头

日前，北京瑞星信息技术有限公司推出其UTM防毒网关系列最新高端产品：瑞星防毒墙RSW9300。主要面向政府、教育及金融、电信、能源、制造、贸易等领域的大型和超大型应用。瑞星研发部副总经理马杰从从技术、产品和服务三个方面诠释企业如何构建更有效的防护体系。从技术上来讲，需要将更前沿的技术融合到反病毒的引擎中去，是硬件产品反病毒永恒的主题。反病毒引擎技术的演化经历了很多年，基本可以分成前后大概三代的技术。最早的特征码查杀的技术、广普特征的查毒技术，到最新的虚拟脱壳技术和引擎免杀技术等不断向前发展，不断促进反病毒技术的演变。从产品上来讲，软硬件的安全产品并不重叠，在用户桌面和企业网关处形成立体的防御机制，把病毒，包括垃圾邮件，攻击，这些都阻挡在网络之外，而不是等它进入网络之后，甚至到机器中才处理。第三个角度就是服务，产品的服务应该更加全面，更加迅速，用户对服务的关注度正在不断提升。

瑞星研发部副总经理马杰

反病毒与防火墙功能 并行研发

记者：前不久瑞星推出了一个云安全计划，瑞星的硬件级企业级产品是否会融入到这个计划中？瑞星的云安全架构与其他公司提出来的，比如最近趋势科技提出了WEB安全云时代概念，有什么区别？
   
马杰：首先我们的产品，包括服务，都肯定属于我们整体安全计划的一部分，关于我们的云安全会什么样子，包括与其他公司的对比，现在做这件事情可能为时尚早，云安全是非常新的东西，在这个阶段可能还是在完善和丰富这个概念的阶段，大家都处于丰富安全架构的阶段，包括从GOOGLE推广的云计算，到现在，其实它也在不断把很多新的元素加载进去，在云安全同样也是这样，大家不断把自己的服务各个方面更好的融入这个体系中去。
   
记者：今天瑞星防毒墙RSW9300的发布，在您的介绍中，我注意到更多的提到了UTM，防毒墙与UTM是完全不同的两种产品，UTM有四大功能，包括防火墙的功能，防毒功能，还有防止入侵功能IPS，还有VPN功能，RSW9300是防毒墙还是UTM？
   
马杰：首先它是个UTM，所以包含UTM的所有功能，对于UTM必须具备的东西都有，RSW9300为什么叫UTM防毒墙，而不叫UTM网关，为什么突出防毒墙呢？瑞星既有反病毒研发团队，也有防火墙研发团队，瑞星把反病毒功能放到设备中，不是简单把引擎搭上去，通常的UTM是在防火墙上发展UTM产品，怎么做防病毒呢？加个代理，步骤很清晰，一个代理，防火墙负责接收数据，交给代理，然后交给杀毒引擎查杀。但是这样做会对流量的损耗非常大。听很多用户讲，UTM一接上去，当防火墙用速度很好，一开防毒功能速度就不行了，这是技术源头的原因，当然可以做很多优化。
如果这样做的话，延时都是比较大，必须把文件等全交给引擎查，查完再发走，你不可能做的非常快。

瑞星突出防毒墙，因为我们有整个引擎的原代码，我们有防火墙的原代码，我们做的过程不是这样，我们把病毒引擎拆散，首先一个文件进来，文件格式识别，会做解压缩，解码，包括脱壳，这些去完后才会做特征码匹配，这些步骤实际是没有必要等到整个文件完全还原出来做，如果你是OEM返回的引擎是不会提供你这么细致的接口，瑞星自己做的时候优势在这里，文件识别是在你刚刚收到这个数据包时，我们文件格式识别已经做完了，然后做解压缩、脱壳，文件缓存到一定程度就开始做，同时做病毒匹配时，不等文件到达就做了很多事情。因为我们完全掌握了防火墙和反病毒技术，所以可以融合开发。所以叫防毒墙，因为在防毒功能上很有特色。
   
记者：防火墙具备UTM所有功能，那么对于入侵防护和VPN两个基本功能瑞星是怎么做到的？
   
马杰：可以看一下瑞星老的产品线，可能一些产品不受大家关注，但是也是长期存在过，瑞星很长一段时间销售产品中有防火墙，也包含VPN防火墙，有入侵监测，我们把这些技术做了更深入的融合。
  
历练成就价值 有效平衡速度和性能
 
记者：防毒墙RSW9300是针对于大型企业？对于大型企业的UTM，尤其是防病毒硬件产品的需求跟低端用户不同的，对于这些用户，RSW9300在市场竞争中体现了哪些技术优势，市场中UTM产品，或者防毒墙这样的产品很多了，竞争非常激烈，瑞星凭借什么来占领市场？
   
马杰：我认为真正对用户来讲有价值的是什么呢？我们是国内最早一家开始做这个产品，我们产品经历了足够长的和用户磨合时间，这是我们做这个产品的很大价值所在。瑞星有这样的技术，别的公司会说也有这样的技术，这个事情永远说不清。在实际环境中磨炼的时间长短才是有价值，这能代表你所能处理的复杂环境，面临的可能在实验室里，在研发部门里永远不能面对的用户场景。经历了比较长的过程，拿出去的产品才能符合用户需求，并且符合企业应用环境，这是对企业环境很有价值的一部分。

另外有价值的一部分，是在速度方面，在整体性能方面的优势。因为瑞星把防毒拆散到防毒墙架构中去，导致防毒墙性能指标比其他厂商要高，高出来的性能指标在这个领域还是很有意义的，你可能说杀毒软件比别人查的慢，大家稍微忍忍就可以，但是在网关对于性能影响是很明显的，哪个网关也不愿意承担这样的责任，这款产品在性能上做出的提升。

对于一些高端企业用户，可能对这类UTM设备的想法和中小企业不同，以往他们有个倾向，倾向单向，功能比较明确，就是性能比较高的产品，而不愿意买UTM产品，其实不是他们不想用UTM产品，他们也不愿意在网络上串一堆，之所以不用UTM产品，最大的困扰是太慢，一堆功能，你真的把功能开启，那么慢的不能用了。但瑞星平衡速度和性能方面做的比较好，能够适合大型企业的需求。随着UTM产品越来越多，大型企业会考虑用这类产品来代替串糖葫芦的方式。

RSW9300部署方式是串接，有两种工作模式，一种是纯透明式的，就是即插即用的，也考虑到有复杂的网络应用，在里面包括各种路由，端口，转换，各种防火墙和这类设备需要具备的配置都提供了，在有复杂环境也可以做这种配置。

记者：对于虚拟脱壳技术，主要应用于软硬件两个层面，您提到响应时间的问题，对于新出现的壳最快一到两天即可响应，而瑞星的云计划的响应速度是零点几秒，这有什么不同？
   
马杰：这是两个概念，对于云计划的响应速度，我们截获样本到引擎处理样本最佳的处理时间，我刚才提出是出现新的加壳手段和我们能处理这种加壳手段的时间，这两者之间的区别在什么地方呢？在网络上有大概上百种加壳工具，首先加壳工具推出的版本数据不是那么频繁，这么多年也就那么几百种。但是加壳工具一旦出来一种新的，对于反病毒软件来说，不用虚拟脱壳技术，用传统的写程序，分析算法，通常有经验的工程师需要一个月时间，而且那些加壳技术有很严密的自我保护技术，很大的工作量，有时候一个月都做不完。瑞星对于新壳的响应速度最快为1-2天，是对于新出来的加壳技术的响应时间。

对于一个样本出来，通常所有的壳已经都在我们所能处理的范围内，不存在这个问题。如果万一不幸，用了新的加壳技术，这也没有关系，我们脱壳是为了什么呢？是一个病毒不停出变种，我可以直接识别它，这样这个病毒用新的加壳工具后我直接认识它，这让病毒作者更难做病毒。即使壳不认识，不是不能杀。对于新出来的病毒我们仍旧可以响应，但是在新的壳没有分析完的时候，在那个时间段还不具备对它脱壳的能力，但是可以直接处理病毒。比如在一到两天壳分析完了，这时候内部特征就不用了，直接脱壳，两个情况都不耽误。

坚守X86 软硬产品并不重叠
   
记者：现在有一些用户对至强有一些抵触，觉得安全防护Intel不是最好的，瑞星有没有研发计划，国内或国外很多安全厂商在这方面的技术已经准备很充分了。

马杰：这方面瑞星早有接触，不论做多核还是加速芯片的厂商都会和我们联系，但是我们一直没有选这些产品的系列，我们一直坚守在X86上，为什么？因为瑞星是反病毒企业，在X86和非X86上，对于防火墙，一个反病毒引擎在X86和非X86差别非常大，所有病毒都是现在原生在X86上，病毒会利用X86很多指令。当你不再一个X86架构上去分析病毒会很困难，因为病毒利用这个架构，所以引擎也利用X86指令集和细微的东西。病毒在利用X86原生的功能时，如果那个CPU本身不能够提供支持，当要查毒时就要虚拟，这样带来的性能损耗非常大，但你不想有这个损耗就不查病毒了。由于病毒对X86架构的原生依赖性，所以我们坚守在X86。
   
记者：有的厂商跟我说，也类似查病毒功能，不是说文件病毒我们不查，是应该由桌面杀毒软件来查，我们只查协议，如果查文件病毒，这样会严重影响UTM效果。
   
马杰：我们就是解决这个问题，我们觉得，光是查网络层，二三四层的东西远远不够，一定要查七层的东西，甚至还要往上的东西。
   
记者：那么这样做，RSW9300与瑞星网络的杀毒软件，以及终端杀毒软件，怎么分配？是否会造成冲突。假如一个产品可以代替其他产品，是否有用户投资的效能比，如果不能代替，如何分配？
   
马杰：在功能上，如果说完全没有重叠，不可能。但是我们认为这个重叠是有价值的。你说警察和边防军队在功能上有重合吗？肯定有一些，但是能代替吗？绝对不能，防毒墙相当于作用是在网络边缘的边防军，桌面杀毒软件相当于警察。防毒墙做的主要工作是面对外部来的入侵，负责把入侵阻挡在整个网络之外。桌面放毒软件处理更具体的每个案件，倾向于更精确性。举一些实际例子，曾经国家办公厅用户跟我们聊到他们的一个实际情况，他们大量是文书工作，基于内部邮件系统，他们就用了我们企业级网络版杀毒软件，包括邮件保护这部分。有一段时间邮件病毒特别多，他们就提出，你们杀毒软件是很尽职，一直工作，并且邮件病毒也没有漏过来，但是有个问题，邮件病毒太多，你要不停处理，你是没有漏病毒，我们正常工作也不能进行了，就是正常的邮件也发不出去了，因为总在处理病毒。如果有这个设备就没有问题，病毒在进入网关前就处理了，减轻了网络本身的负担，减轻网络中核心设备的负担，减轻服务器的负担，也大大减少了最终桌面机器遭受感染的机会。

在我们看来，放在网络边缘的防毒墙和桌面的杀毒软件，是联动的互相补充，随着我们下一版杀毒软件的推出，之间会有联动功能，是有益的联动补充，互相帮的忙往往大于重叠。
   
开展广泛合作 不做形象工程

记者：目前瑞星的硬件整体防御体系已经比较健全，像思科，Juniper等他们产品线健全后，会构建一个强大的基础安全架构，比如他们提出的架构平台NAC，UAC，EAD等，瑞星有没有这样的计划，未来定义自己的基础安全架构，这对安全厂商是很重要的环节。

我们觉得安全架构，现在提出的安全架构，更多是基于网络这一层来考虑问题，不管是自防御网络，NAC等，我们包括与思科、H3C等这些大的设备网络厂商都有合作，在他们计划中也有我们的身影，甚至包括H3C的UTM设备都是用的瑞星防毒墙模块，直接嵌入到OAA开放架构里。

记者：就我们了解，许多厂商只用到瑞星的防毒引擎？
   
马杰：是防毒模块，我们不太有兴趣做OEM引擎业务，我们是把防毒墙这一整套加到比如OAA架构中，他可以做各种应用，但是在网络安全方面，我们是H3C唯一的合作伙伴。
   
记者：RSW9300与哪个行业用的最多？
   
马杰：各个行业都有覆盖，包括金融、电信等，瑞星作为国内企业，政府行业覆盖得比较高。我们向高端设备来做，也很好的看到了这些行业的反馈。比如国内银行的测试，我们已经进入第二轮，并且电信也有很多地方也购买了我们的设备，要让大家继续增加信任，让他们知道国内厂商做的也比较好。
   
记者：瑞星是不是也在做万兆产品的研发？
   
马杰：属于保密的产品计划，这对于我们来说并不着急推出，我们不主张做形象工程，我们会做用户实际要买的东西，万兆产品用户还不会有大量购买。万兆产品基本不属于我们目前的产品线，我们最上面有的RSW—B系列，将来的万兆产品可能是B3000或者B9000，应该是B系列产品，是非X86架构产品，用到10G或者40G带宽都是电信业务网络，实际应用万兆的还比较少，这些网络基本的需求，真的对速度，包括其他指标，包括延时，这些指标都要求的非常严格。在那个环境下，对病毒的准确率并没有那么高的要求，只是希望在大范围内控制病毒传播，并不需要精确的控制到每个病毒。那样的客户我们用B系列产品去覆盖。B系列产品没有用X86架构，是专门的芯片来进行扫描，它的优势在于速度非常快。