UTM以防病毒为技术源头 瑞星推出高端防毒墙RSW9300

专访：瑞星UTM以防病毒为技术源头

记者：前不久瑞星推出了一个云安全计划，瑞星的硬件级企业级产品是否会融入到这个计划中？瑞星的云安全架构与其他公司提出来的，比如最近趋势科技提出了WEB安全云时代概念，有什么区别？

马杰：首先我们的产品，包括服务，都肯定属于我们整体安全计划的一部分，关于我们的云安全会什么样子，包括与其他公司的对比，现在做这件事情可能为时尚早，云安全是非常新的东西，在这个阶段可能还是在完善和丰富这个概念的阶段，大家都处于丰富安全架构的阶段，包括从GOOGLE推广的云计算，到现在，其实它也在不断把很多新的元素加载进去，在云安全同样也是这样，大家不断把自己的服务各个方面更好的融入这个体系中去。

记者：今天瑞星防毒墙RSW9300的发布，在您的介绍中，我注意到更多的提到了UTM，防毒墙与UTM是完全不同的两种产品，UTM有四大功能，包括防火墙的功能，防毒功能，还有防止入侵功能IPS，还有VPN功能，RSW9300是防毒墙还是UTM？

马杰：首先它是个UTM，所以包含UTM的所有功能，对于UTM必须具备的东西都有，RSW9300为什么叫UTM防毒墙，而不叫UTM网关，为什么突出防毒墙呢？瑞星既有反病毒研发团队，也有防火墙研发团队，瑞星把反病毒功能放到设备中，不是简单把引擎搭上去，通常的UTM是在防火墙上发展UTM产品，怎么做防病毒呢？加个代理，步骤很清晰，一个代理，防火墙负责接收数据，交给代理，然后交给杀毒引擎查杀。但是这样做会对流量的损耗非常大。听很多用户讲，UTM一接上去，当防火墙用速度很好，一开防毒功能速度就不行了，这是技术源头的原因，当然可以做很多优化。
如果这样做的话，延时都是比较大，必须把文件等全交给引擎查，查完再发走，你不可能做的非常快。

瑞星突出防毒墙，因为我们有整个引擎的原代码，我们有防火墙的原代码，我们做的过程不是这样，我们把病毒引擎拆散，首先一个文件进来，文件格式识别，会做解压缩，解码，包括脱壳，这些去完后才会做特征码匹配，这些步骤实际是没有必要等到整个文件完全还原出来做，如果你是OEM返回的引擎是不会提供你这么细致的接口，瑞星自己做的时候优势在这里，文件识别是在你刚刚收到这个数据包时，我们文件格式识别已经做完了，然后做解压缩、脱壳，文件缓存到一定程度就开始做，同时做病毒匹配时，不等文件到达就做了很多事情。因为我们完全掌握了防火墙和反病毒技术，所以可以融合开发。所以叫防毒墙，因为在防毒功能上很有特色。

记者：防火墙具备UTM所有功能，那么对于入侵防护和VPN两个基本功能瑞星是怎么做到的？

马杰：可以看一下瑞星老的产品线，可能一些产品不受大家关注，但是也是长期存在过，瑞星很长一段时间销售产品中有防火墙，也包含VPN防火墙，有入侵监测，我们把这些技术做了更深入的融合。

......[查看详细]

瑞星的UTM可以提供七层保护，不但提供防毒墙功能，还提供了防垃圾邮件，入侵监测防御、流量控制等等功能，但是与其他UTM厂商不同的是，瑞星本生是对病毒了解更为深入的厂商。

现在可以看到，大部分厂商都是通过防火墙用户转来的，他们利用自己成熟的防火墙架构，然后与UTM结合起来，形成UTM网关。瑞星不同，瑞星本生是反病毒企业，多年前也收购一家防火墙企业，我们有两队人马，把这两队人马合在一起，不是简单的把病毒引擎加在防火墙之上，而是把病毒引擎拆分放到各个应该放的位置，这样比其他厂商有一些优势，因为引擎我们自己写的，我们有所有代码和知识产权，我们能够拆开来做。同时与其他反病毒软件相比，我们又有防火墙的团队，这方面了解的也比较多。

在瑞星UTM防毒墙中，在防火墙和反病毒深入结合方面，比如我们加了七层协议识别，在开启了流量控制的时候，我们杀毒功能可以不受影响。在一些传统的基于防火墙做的断口流控方案，要想这两方不受影响是比较困难。作为国内最早从事UTM产品研发的企业，我们这方面积累了丰富的研发经验。2004年底，我们就发布了第一批UTM产品，是当时1000、3000、9000，06年9月发布了B2000，基于芯片架构的防火墙。07年推出针对小型企业的320产品，现在我们发布这款RSW9300，这在X86架构上目前为止最高端的产品，就是放在大家眼前的设备。这台设备采用了在X86中目前我们认为最稳定，性价比最高的四合至强CPU，有八个CPU为用户工作。

在那个测试，他们对性能的要求非常苛刻，他们日常的流量，大概一个总行几千人，假设8千人，每个人在同一瞬间有个HTTP并发，假设八千人同时工作，并且同时激发并发连接，这是比较大的情况，我们测试是4万起步，从4万起步，一直测到32万的并发，理论上来讲，差不多可以维持将近10万人的HTTP应用层的应用，不是网络层的应用了。经过这么严酷的考验，证明我们这款产品可以满足大型企业的应用。

从软件功能来讲，作为本土安全厂商，我们非常了解国内企业的需求，从04年开始与用户打交道，给用户测试，通过他们的反馈做调整，有很多情况并不是设备有问题，也不见得用户问题，而是互相之间的理解和对现场环境的了解。

从功能来讲，我们做了即时通讯的阻断，流量控制，木马识别，这帮助管理员做有效的日常管理工作。从成本来讲，我们也为国内用户进行考虑，基本有的海外产品都是基于按用户计算，比如五千、一万用户，按照这个来定。而国内并不是这样，有一些人员数量很大型的公司，可能一些人简单的上下网，而且上网的时间不长，这样对他们来说不划算，我们按照设备授权，只要在吞吐量之下，你是五千人少量使用，还是五百人大量使用，这我们认为是一样的。只要在吞吐许可的情况下，网络管理员可以灵活的调整。

另外从维护上来说，我们UTM设备支持远程调试，用户许可的条件下，我们工程师可以远程替他进行维护工作，这也是为了解决国内网管对于复杂的网络安全设备，无法进行深入配置的方案。另外在面板上还有个还原键，可以做到一键还原，当他不小心配的不知道该如何恢复的时候，只要按还原键就可以还原到出厂设置。这都是为用户研发的功能。

· 用瑞星2008杀毒引擎，可有效清除70余万种病毒。
· 支持1万用户规模的大型网络，HTTP并发连接数20万，HTTP杀毒吞吐可达600M.
· 支持HTTP/FTP/POP3/SMTP/IMAP和MSN协议杀毒。
· 安全策略支持多种7层协议的数据包过滤(IM工具、P2P、股票、网络游戏、多媒体以及远程控制协议)。
· 支持透明、路由以及混合模式配置，可以适应绝大多数网络环境。
· 支持远程调试，管理员可以在短时间内获得专业服务。
· 提供P2P带宽控制，帮助管理员合理分配企业网络资源。