主持人:稳捷网络将要推出万兆Web安全网关,您怎么看待国内万兆Web安全网关?要实现万兆Web安全网关,技术上有何挑战?应用的意义在哪里?
彭朝晖:Web安全网关,本身这个概念还是比较新,在这个概念出来以后,也被许多厂家给使用了,因为安全网关,网关这个名词是比较广的,网关就是一个协议转换的一个设备。那么叫安全网关呢,这个涵盖就比较广。也就是说在网关处做安全的这些设备都可以叫安全网关。那么Web安全网关,专门是指我们上这个互联网,也是说所谓跟外网相连的时候带来的安全问题,但因为现在几乎所有的网络的话,他的安全问题90%以上都是来自于来跟外面相连以后才有这个安全问题。如果来不跟外边相连的话,这个安全问题很容易控制住的。所以说Web安全网关实际上代表了90%的以上的一种安全的,应该解决了90%以上的安全问题。所以在国内概念进来以后,在国内很多厂商使用这个概念的时候,也使用的比较广。比方说很多防火墙,防火墙这个概念已经比较老了,所以它也叫安全网关。因为本身防火墙也是在网关处的一个产品。所以你说它叫安全网关有没有错呢?也没有错,它也是防止来自Web的威胁,那么防火墙也属于一类安全网关。所以Web安全网关如果从广义上来讲的话,是应该把防火墙啊、IDS、IPS甚至UTM全包在里面,都叫Web安全网关,这是广义的。但是我们强调的还是大家能够理解的侠义那个Web安全网管,所谓的七层设备。那么指的就是刚才我给大家介绍的。所以在国内的很多产品,它说Web安全网关的时候,大家可以去了解一下,他是从广义上的Web安全网关,还是狭义上的Web安全网关。如果是狭义的Web安全网关,就是稳捷现在做的这一类产品,跟稳捷做的是同一类产品。如果是广义的话其实跟稳捷现在做的Web安全网关在很多情况下不是一个东西,从架构、从实现的功能,从应用的场景来说都是相差挺远的。所以提醒大家就是说有狭义有广义之分。那么万兆Web安全网关的话,这个我觉得是另外一个就是说,值得给大家再分享一下的概念。因为大家说到万兆的话,好像好几年前,甚至06、07年就有产品就说达到万兆了,那么这个万兆是个什么概念呢?就是万兆的话,如果你说是线速,我们说网络这个线速的话,那么万兆产品是早就有了,你像防火墙达到万兆,现在并不稀奇。UTM都有做到万兆的。但是Web安全网关现在做到万兆的,我现在可以负责任的更大家说没有。稳捷现在马上八月份要发布的第一款产品,应该是全球先进款万兆Web安全网关品。这个在雅虎和谷歌的最新的报道上已经都有了,新闻稿已经出来了,就是说全球工业界第一款深度内容检测的万兆Web安全网关产品。为什么说这是第一款呢?如果你是谈线速的话做到万兆甚至几万兆都是容易做到的。但是你要做深度内容检测,就是咱们可以一会淡淡,就是DCI这个概念。如果你要做深度内容检测,有性能问题,而且这个性能问题的话,不是那么容易突破的。有很多很高端的大品牌的产品,他们在做到万兆的时候,比如说到几万兆的时候,它一上深度内容检测的功能,只要上一个可能就掉到千兆以下去了,再如果功能全开的话,可能就掉到一两百兆了。那么你像这样的参数的话,绝对不能说万兆了Web安全网关。那么稳捷做的这个深度检测呢,万兆设备的话,什么意思呢?我在这个深度内容检测的这功能,就四个模块全开的情况下,我还能做到万兆,这才有意义。就是你的模块功能全用上,然后你的性能是在万兆,这个才叫万兆的设备。
主持人:那彭总,八月份稳捷网络想要发布这个万兆的Web安全网关,然后我想问您一下,这个高端产品在技术上有那些难点需要去突破?
彭朝晖:要突破这个性能的瓶颈,是咱们做安全的参加,大家一直都在孜孜不倦的研究的一个各地,在业内的认识,大家都会知道,这不是一个很简单的事情,他牵扯到技术的方案,技术的路线。你用什么方案来实现这个产品。另外就是你里面包含的这些技术。稳捷在选择这个方向的时候,我们选择的是纯透明的,桥接的代理模式。那么存透明桥接的话,首先就给自己带来了很大的一个挑战,因为纯透明桥接代理的话,是开发难度最大的一条路。相当于我们选了这么一条路。那么那么X86的平台和非X86的平台有什么区别呢?稳捷认为这个X86平台有它的缺点,那么就在于它这个产品更新换代会比较快,那么更新换代完以后,旧的这个芯片在支持在这个产品上可能会遇到一些问题,但稳捷认为这个安全产品的换代其实也非常的快。现在谁在去买三年前的产品的话,这个可能性其实也不大。有的产品一般三年基本上就要下架,下线了。那么所以用X86的话,这个问题应该不是说特别主要的问题,X86主要问题还是在性能的问题,实际上现在以英特尔的这个开发这个能力,和它们对芯片的这个研究,我们现在万兆设备用的它们最新的,每一个CPU是有六个核的,那么我这样了两片CPU的话就是12核。12核的这个能力已经非常强大了。如果我们把多核技术的这个线程和进程调度的这个问题把它解决好,那么实际上X86平台带来的速度能力是非常强的。而且已经在我们的万兆产品里面已经得到证实。那么它的好处就不用说了,因为英特尔的芯片它量很大,所以它的成本是比较低的,因为英特尔在芯片研发的能力,所以它的稳定性也是非常好的。它是通用芯片,所以它的支持也非常好。所以从硬件平台我们是这么选的,那么在软件上就是我们的专有的技术,我们用的是稳捷的专有的一个平台叫NDP,NDP就是网络数据处理。网络数据处理这个平台是一个通用的安全产品的操作系统,是在Linux这个合集组上在做的一个操作系统平台。那么这个平台主要解决的,它里面的关键技术翻成中文是亚音速。取这个名字其实也没有其他的意义,就是说形容这个速度很快,就是接近音速亚音速嘛。那么在这个技术里面,专利技术里面有很多算法的研究,这些算法的研究的话,每一项都会比传统的算法强出十倍到六十倍不等。那么我们有两三项这样的技术,就是加速技术在里面,如果说把它合在一起的话,对速度的提升的话就是非常的厉害。比如说我第一个环节我提升到十倍,第二个环节提升到六十倍,那这个乘积起来的这种性能的提升就非常的厉害,这是一类技术。就是我们基于高速引擎检测技术。我们是用的线程的优化像类似这样的技术达到我们的通用引擎的速度的要求。虑流技术,稳捷的虑流技术实际上是这么样一个概念,当我们要对深度类型进行检测的时候,我们不能用传统方法,传统的方法就是把他给缓存下来,把一个目标物缓存下来,缓存下来以后再做检测,但这样肯定会带来延迟。我们这个技术的话从概念上也蛮简单的。就是说一边进一边出。一边进一边出的话我能检测到你里面的东西,那这里面就有很多讲究了。因为一边进一边出,你还要知道它的。比如说我一个2G的一个文件,那么大。你一边进一边出的时候,那么你这中间,你要把整个2G的内容都看到,都看透,看清楚。里面有采用我们虑流产业的这个处理算法就是一个突破。所以我们现在稳捷Web安全网关里面是没有一个文件大小的概念。大家可能会看到很多产品会要限制我这个文件最大2兆或者最大多少兆。那么超过这个大小的话,它可能实际上就不扫描了,或者要不就等待,要不就不扫描了。那么稳捷其实没有这个问题。我们的这个文件的大小的话,由于虑流技术的采用它是没有限制的。你可以定一定,我们缺省的可能是256兆。那么就是这样的话,对大的文件,甚至超过1G、2G的文件扫描的话在速度上没有区别。这是一类技术。另外一类技术是可以使这个平台不断的扩充,去适应不断变化的应用的需求,因为我们应用的话,因为应用是使用者开发的东西,那么它是最丰富多彩,千变万化的。那么现在的威胁呢,Web2.0以后,来自的威胁大部分的威胁都是从应用里边来。如果你只能解决几个应用的,比如说协议啊、或者这个应用类型的安全问题的话,就会有局限。那么我们这个开放的服务,或者叫协议总线呢,可以使不同的应用的协议很快的集成到我们这个产品平台里面来。使安全覆盖的面越来越广,越来越成熟。大概是我们主要的几个技术模块。
主持人:稳捷网络将要推出万兆Web安全网关,您怎么看待国内万兆Web安全网关?要实现万兆Web安全网关,技术上有何挑战?应用的意义在哪里?
彭朝晖:对中国市场,我们作为一个安全厂商,在中国市场的话,我们很希望大家能够百家争鸣。也就是说这个市场是要靠大家一起来做,如果市场在做的时候大家有竞争,大家有讨论,也使使用者能够有一个选择的机会,也使使用者能够了解产品。同时也能够使这个产品技术得到更加充分的发展。所以稳捷的这个技术进到这个领域,Web安全这个领域,我们也是在不遗余力的宣传,给大家介绍Web安全网关和以及它所带来的技术对Web安全,或者网络安全领域所带来的新的一种气象,就是说以前没有这一类产品的话,那么我们很高兴稳捷能把这一类产品介绍我们的使用者。的确是以前国内市场,大家可能耳熟能详的是像这个防火墙呀,是吧!……那个防入侵呀,还有就是防毒呀,还是应防火墙强,还有漏洞扫描呀,等等,这一类的安全产品,那么大家刚听到这个Web安全网关的时候可能会比较迷惑,实际上这既是一个,怎么说一个困惑的事情其实也是一个好事,有迷惑的话其实也一个好事,弄清楚以后呢,就促进了这个行业的发展,其实我觉得新技术新产品的引入对咱们国内的安全硬件市场是一个好事,也是一个促进,就是唯一的希望就是大家在选用的时候呢,真的要去了解一下每一类的产品究竟能干什么事情,有些什么样的新技术在这个产品里面,那么新产品能干什么事,这个是希望大家能够逐步了解清楚的。
