天融信：可信网络架构下的万兆安全

　　主持人：各位网友大家好，欢迎收看ZDNet视频节目，本期节目我们特别邀请到天融信副总裁刘辉先生和天融信IDP产品总监刘彤先生。借这个机会，跟网友朋友们交流一下，目前国内的企业的安全市场的状况。我们也知道，近期天融信发布了一个全新的IDP产品，希望两位介绍下，这款新的产品给企业带来哪些价值。2011年马上就要过去，首先请两位介绍下今年整体的网络安全状况。

天融信副总裁刘辉

　　刘辉：从网络安全的形势来看，在过去这一阶段的时间，从简单的蠕虫的爆发，大规模的、针对着个人兴趣为主的网络攻击，逐步走向了以经济利益为主的黑客的行为的攻击。随着黑客的行为发生一些变化，整个安全事件也会爆发，现在是目标越来越也准确。那么这几年，我们可以看到，除了经济组织以外，也针对性的出现了一些，类似于政网这种国家和政治组织的行为的攻击，也就是说网络安全的矛与盾的对抗，也逐步上升到更高级的组织之间的对抗。从发展过程中，过去可能是漫无目的的，整个全网的发生一些恶意的攻击，现在又逐步发展向非常精准的、定点的IP地址这样的这种新型的攻击，就瞄准了一个组织、一个系统，那么获得一定的目的。所以这样的话，我们解决问题，会更加复杂，首先面对的对手变了，那么有可能是目的性很强的一些对手，那么他们所使用的手段更加隐蔽，因为他不一定是非要进行大规模的攻击和扩散，他可能就针对一个点，那么这样发现起来就比较难，处置起来也就非常的复杂，这是目前安全的一种攻防的形态。

天融信IDP产品总监刘彤

　　刘彤：现在有一个比较鲜明的特点，安全已经从我们原来关注的三、四层，逐渐转变到应用层的。就是以现在经常使用的网络购物等等，以这种手段来获取自己个人想得到的一些经济价值。

　　主持人：万兆安全产品已经是一个主流的趋势，天融信怎么看万兆的防火墙，万兆的IPS，以及万兆的UTM，对于企业不同的价值?

　　刘辉：这几年我们看到的在安全产品上，在面对的威胁处理方面，越来越趋同，所谓越来越趋同，比如说防火墙也好、IPS也好、UTM也好，其实它都是在从部署位置，基本上都是在网关的位置。处在这一个位置，作为安全产品，它都面临着一个挑战，核心思想是防御住各种各样的恶意的攻击。那么所以它在这方面的位置上面，发挥了使用者对它的期望值会越来越相近，我要放到这里面有一个网关，那么这个网关呢，最好能帮我做掉一系列的工作，这些工作可以说在不管是防火墙、IPS、UTM它都有点趋同性。

　　当然它们也有一些差异性，虽然这么多的安全的问题要处理，但是这要分一个层次，就是说如果把所有的功能，都放在一块，全由一个产品来解决，那有可能会在效率上，和性价比上，和可管理性上，并不一定是最优的方案。那么在合适的时间，那么有可能它适合于放在一起，在多数情况下，可能就需要能够有更专业的处理。我们可以看到，网络的发展，现在都已经是千兆到桌面，那核心的万兆，更高级的40G、百G的应用也都在部署，也就是说客户的这些网络情况的发展，它必须要未雨绸缪，它提前部署上，为未来的发展留好空间。这是网络的一种情况，它不可能现在再布一个千兆桌面，还是千兆的一个交换环境，那么所以呢，在这个网络流量上去了以后，首先在万兆这个应用上，大家都在普遍的往这个方向去升级，并且核心业务，那么对于上了新应用越来越多，中间的交互、业务之间的数据流越来越大，所以基本上万兆形成现在新建的一些核心网络，最基本的一个配置，我们非常清晰的看到，尤其是中大型系统，基本上在建设的时候，都在考虑万兆以上。所以在这一块天融信也发布了，过去我们发布了很高端的万兆防火墙，那么今天我们已经有超万兆，100G的防火墙。那么今年我们为什么要再提出来，有一个万兆的IPS，那么实际上在IPS上面，我们过去有一个认识。首先，IPS作为一个网关设备，如果仅仅是处理网络吞吐的话，那应该有很多IPS都可以号称到万兆，但是真正到IPS应该处理的工作，又偏向更多的应用层的处理，所以它处理的协议层次更高，面临的颗粒度更细，那么真正在实用环境上达到万兆的IPS，这个整个行业是少之又少的，所以在很多环境下，我们也可以看到，在一些客户测试中，我们经历的一些故事，那么这样的一个产品，如果跑在仅仅是转发情况下，大家都能跑到万兆，可是真正跑到，真正在识别攻击，然后又进行处理的时候，发现了这个能够跑到万兆的IPS，整个行业就几家。