史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-06-24, 04:35 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 系統 - 訪談:防火牆到UTM、從IPSec到SSL VPN

訪談:防火牆到UTM、從IPSec到SSL VPN
2006年6月15日到17日,“第七屆中國國際電腦網路和資訊安全展覽會”在北京展覽館召開。15日聆聽了凹凸科技產品經理李雲峰以“新一代安全遠程接入解決方案SSL VPN”為主題的演講後,編輯頗有興趣,16日又到展會現場觀摩,有幸約到了凹凸科技市場部經理薛毅戈先生進行採訪。以下是採訪實錄。

Q:首先請您為我們介紹一下SSL VPN。

A:這是我們的SSL VPN的一個Demo。SSL VPN是用原有的SSL技術形成了一個新的應用方式,資訊傳遞的時候通過加密技術建立安全的通道,保護裏面的資訊不被外部盜取和篡改。原來都是用IPsec搭建網路環境,是把內網外延到其他的分支機構,但是IPsec的問題是客戶端需要安裝軟體,這樣得配置部署,相對來說比較麻煩一點。SSL VPN的客戶端是沒有軟體的,下載一個小插件而已,這樣在Server端、中心點很簡單的部署一台設備,大概半個時到一個小時這臺設備就可以佈置好可以用了。

另外IPsec打開的時候全網段都打開了,進來的人享有相同的資源,而SSL VPN通過策略的設置,不同的人訪問不同的資源,能做到細分。比如說做OA的,或者收發郵件可以用一部分資源,財務可以走另一部分資源,可以作為不同的角色分組進行控制。

Q:IPsec客戶端比較麻煩,SSL VPN需要下載一個小插件,那個插件也是客戶端下載的嗎?這樣客戶端不是還是一樣的麻煩?

A:IPsec是做一些安裝和配置、SSL VPN的插件是記錄綁定的策略,SSL VPN的界面在打開的時候自動下載插件,不需要安裝配置,因為所有的配製配置工作都在伺服器上。部署後可以隨便在一個地方通過公網輸入用戶名、口令登錄進去就可以做內網的訪問。

Q:那麼意思就是,它相當於客戶端也是有軟體的,但對於用戶來講就變的很簡單?

A:是的,這些插件起到了客戶端的功能。但由於這些插件並不需要額外的配置,對於客戶來說使用的時候是近乎透明的,也不需要額外的知識,對它們進行維護。

:如果要配製許可權,比如財務只能訪問財務的,這個是由網管統一配製嗎?

A:是的網管統一配製。

Q:您能給我演示一下嗎?

A:就是一個直接的操作界面。這是它的管理界面,通過這個管理界面可以看到相關的管理員的設定、包括對用戶、分組劃分角色列表。

Q:瀏覽器的地址欄裏面顯示的網址,是哪的IP?

A:SSL VPN設備需要在公網上有一個地址,可以是地址轉換後的IP,訪問的時候訪問這個IP地址就好了。

Q:現在是通過無線聯網的吧?

A:對,可以通過無線,真正使用的時候客戶的分支機構就可以,只要有公網能夠上網,就可以訪問公司的內網路。我們做了幾個學校像首師大這種學校就是把學校的內部資源通過SSL VPN保護起來,它的分校通過外網可以很方便的訪問。

Q:使用IPsec的時候,比如說一個公司在亞洲,但是去美國開會了,通過IPsec不能訪問公司網路,這是為什麼呢?

A:因為Ipsec的出發點也是為了安全,亞洲到美洲有不同的網段的互相的切換,更重要的是受網路拓撲的限制多,有一些策略不同的差異,這樣IPsec在使用的時候很麻煩,要調。很多人保證安裝以後會用,但是需要很專業的人士,需要懂的人做配置。

Q:每一次都需要各個部分調的非常好?

A:對。

Q:SSL VPN就不需要調試了嗎?

A:因為在客戶那邊能上網就可以,登錄進去以後就可以使用了,等於進到客戶的內網了。

Q:意思是說從客戶端直接到伺服器建了一條通道,不能利用現有的網路一點一點切換?

A:它訪問到IP地址已經建了一個資訊通道了,然後進行加密,也是一個VPN的概念,只不過是基於SSL,它是基於應用的,這樣保護這些應用數據。只要能訪問公網,有Internet就可以利用公網訪問到內網資源。

Q:現在凹凸科技的SSL VPN產品的銷量怎麼樣?

A:我們這邊剛剛開始做,目前屬於市場推廣期,但是客戶這邊已經越來越多的人開始接受和認可這個產品,因為確實能解決他們很多實際應用的困難。

Q:和IPsec相比價錢上會昂貴許多嗎?

A:它比IPsec反而便宜,因為部署的時候只用一台設備就可以了。而IPsec除Server那邊要有設備,還要客戶端License費用,反而成本會高。

Q:我從其他資料了解到凹凸科技看家之本的就是ASIC技術,因為原來一直做晶片,有了積累,用到網路資源的時候就比較有底子了,SSL VPN產品裏面有用到嗎?

A:還沒有用到,因為這是基於軟體功能的應用。但是這個產品國內、國際上來講是正當及時的產品,客戶的需求和整個市場容量都在不斷的擴大。

Q:我幾周之前剛剛給Juniper做了一個企業專區,SSL VPN他們也很重視,現在同類產品都是屬於推廣階段嗎?

A:北美那邊大概有三年左右了,大陸地區從前年開始慢慢的灌輸這個概念,去年開始產生比較大的銷售量,越來越多的用戶認可接受這些產品。這裡面有些數字我可能記不太準了,但是在中國地區SSL VPN的產品是上升的趨勢,越來越多的客戶知道它,並且開始接受它,認為它是非常安全方便的接入控制設備。不光是在中國,在全球來說SSL VPN我也看到一些報告,它每年的總體增長率是非常高的,數字非常大。現在看到很多市場報告關於SSL VPN還沒有列到某一個專項,像防火牆、防病毒這些可以列為一個大項,因為這個整個市場份額不大佔到8%左右,但是增長率是非常的高,防火牆每年有增長,但是它每年的增長速度是下降的。SSL VPN是非常高速的增長的。

Q:北美有可以比較成熟的直接搬過來用到中國,還是需要本地化方面的開發?

A:不太需要,所謂的本地化就是操作界面和漢化,以及針對特定需求的補充,因為技術是比較成熟的技術。

Q:我和防病毒的廠商也聊過,他們覺得在防毒方面技術等各方面都非常成熟了,而且市場上也太多,其他已經無計可施了,只有打價格戰。

A:國內尤其是這樣的,很容易陷到價格戰的泥潭裏面去,價格戰對客戶、對廠家、渠道各方都不好。因為低利潤沒有更多的錢支援研發和服務,這樣會影響到對客戶的服務及新需求的支援。有有時候完全為了一個概念造一個宣傳,但是應考慮更多的是說實際應用需求的多少,包括產品的易用性這些,以及之前之後公司對這個產品的支援,對客戶的服務這是更重要的。

Q:現在同類產品裏,作為凹凸科技自己的人來說,肯定說自己的產品好,首先對這個產品肯定有一定的感情,但是稍微客觀一點的話,您覺得跟其他的廠家相比有什麼優勢?

A:我們產品比起其他幾家在全球領先的產品來講還是有差距的,因為這個產品時間做的不是特別長,不是說技術上的差距,因為我們剛剛進入中國,針對中國市場來講我們對中國客戶的需求摸的還不是特別透。我們支援的應用、支援的服務,有些國內用戶的要求我們還不能完全滿足,但是我們一直在做,我們在國內有一隻很強的研發隊伍,一直在努力完善產品,所以我相信很快的我們就能夠把我們的產品,在新的版本裏能夠支援更多的應用,更貼近中國的市場。跟其他廠商的差距也會縮小。

Q:推廣這款產品它的賣點在哪?

A:賣點就是產品自身的幾個特點,包括管理的簡單化、易用性、使用的操作靈活性,網路適應性強,及對多種應用的支援。

Q:它比IPsec肯定是有很多好處,我已經決定了要選用SSLL VPN但是我在思考選用哪一家的,相對於其他廠商來比有什麼賣點?

A:比如我們的“零痕跡”概念,我們考慮有些客戶訪問是拿別人的機器甚至是公用的機器上,這種資訊都是要保護的,處理完以後登錄的時候產生的所有臨時資訊我們都可以去掉。另外對角色管理方面,我們可以很容易的通過不同的組,不同的角色進行管理和匹配他們的網路許可權。這樣很容易能夠跟一個公司的管理結構融合在一起,不同的人訪問不同的許可權資源,這樣能跟管理結合在一起很方便。還有細粒度的訪問控制,對多種應用代理和協議的支援等。另外,

不是說SSL VPN要取代IPsec,它其實是互補的。不是說有的廠家說替代IPsec,這是不對的。

Q:系統的擴展性怎麼樣呢?比如出現新的服務了可以很容易的添加進來嗎?

A:對,添加就可以了。

Q:那管理呢?意思是說客戶可以自己添加?

A:對。因為你那邊又有OA又有WWW,有HR的系統,有財務、ERP等等,你要通過SSL VPN發佈出來,讓你的分支機構或者移動用戶去實時的訪問你的系統就可以了,走什麼樣的協議、端口定義好就可以了。

Q:凹凸科技原來是做電源的,後來為什麼會選擇安全呢?

A:凹凸科技是做晶片起來的,4年前凹凸科技開始涉足安全市場,並不是說之前沒有做過別的。凹凸科技還有一家合資公司做基於訪問控制、包括資訊加密硬盤加密的產品。另外凹凸對晶片技術積累很多,同時把握住安全這塊包括防火牆這些設備發展趨勢,對設備性能要求越來越高,支援服務越來越多的趨勢,這點裏ASIC就是最好的解決方案,基於ASIC的晶片,然後做整機設備。而且我們的SSLVPN和IPsecVPN都拿到了ICSA Lab的認證,這點很能說明我們的技術實力。

Q:ASIC和NP什麼關係呢?

A:現在業界都討論ASIC還是NP?NP可以說是較專業的通用性晶片,性能上要弱一些,NP比ASIC的靈活性要高,但是真正作為產品NP所謂的靈活性是根本發揮不出來的。因為NP開發工作量很大,牽扯的程式模組很多。ASIC是專用的晶片,是針對防火牆或者什麼特殊的功能,把這些演算法設計成硬體來做。NP是通用性的,它在某一方面不具備更專業性的處理方式,比如所有功能都要通過其CPU運算,。所以說它整個性能會比ASIC低一些。

Q:ASIC所表現出來有很多優點都是優於NP的,NP還有空間能存活下去嗎?

A:當然會有,國內大多數廠商都是基於NP的。因為一方面,做ASIC需要有很強的實力和技術儲備,現在也就3~5家左右做基於ASIC很強的網安設備。國內因為積體電路設計生產上是一個弱項,這樣它們只能用NP。因為最早X86功能、性能各方面都很差,為了提高性能,把產品提高檔次,在英特爾上、IBM的NP上來做,也是為了把產品做的更高,滿足市場的需求。而且就目前的需求來講,還是能夠滿足客戶的需求的。

Q:意思就是說對於普通用戶來講NP還是可以滿足的,但是如果要求高的話ASIC比較合適?

A:關鍵看性能,如果需要很高處理速度、很高的性能,ASIC可能比NP好,這是業界達成共識的。強調NP是因為相對的靈活性,而像我這樣的處理器有一部分可編程微碼陣列,這樣就具備了NP的靈活性,有些東西我們是可以做進去的。不是說像一般的ASIC,沒有任何靈活性可言,我們這個還是有一定靈活性,可擴展性的。

Q:如果說ASIC已經做好了,那麼您是指它本身有一定的擴展性,還是可以對下一代產品進行擴展?

A:就是說晶片自己內部有一塊是可編程的RISC,通過這個可編程我們可以添加一些新的規則。

Q:晶片是在台灣做的嗎,因為我看到有Made in Taiwan的字樣?

A:對,晶片是在台灣做的,設計是在美國。

Q:現在設計都是在美國嗎?

A:我們晶片設計結構是在美國做,但是很多的實現是在大陸和台灣地區、新加坡做。凹凸科技最大的實力就是研發,包括晶片做成防火牆。因為我們所有的防火牆都是基於自己的ASIC來做的,保證性能方面我們可以做到64-1518byte,沒有任何丟包,而且延時非常少。

Q:為什麼選64?

A:這是一個IP通信的最小包長,因為涉及到轉發處理問題,小包壓力比較大,大包通過率比較高,甚至在X86架構下也很容易做到,但是能達到小包全線速的不容易,越到小包丟包率越高,我們的晶片可以達到百分之百。

Q:用了ASIC技術,主要是性能的提升和速度的加快,意思是說主要適用於高速網路?

A:對,它適用的是對帶寬、處理速度要求相對較高的網路需求,因為現在越來越多的網路應用要求實時性,這就需要很高的處理速度、很寬的帶寬。現在不管是公司還是企業,網路資源應用是越來越多了。

我們個防火牆有兩個系列,一個是M系列,一個是E系列,M系列吞吐可達5G,E系列最高能夠達到3G的處理能力,每個端口都是千兆的。

Q:看到CPU佔用率0.7%、3.5%,確實非常小。

A:不怎麼耗費資源的,因為絕大多數的處理都由ASIC來完成。

Q:現在凹凸有沒有開發UTM的產品?

A:有。這次還沒有真正發佈,但是我們會有兩款,一個是插卡式的UTM,一個是防毒墻,計劃提供抗攻擊,內容過濾,IPS,以及高速病毒防護,和反垃圾郵件。另外,不管對於媒體還是廠家還是社會上的需求來講,UTM變成了一個熱點,而且UTM需求不斷的增長,但是大家真正使用起來會發現UTM的瓶頸。它可以有很多功能,但是這些功能都跑起來,它的性能降的非常低。比如一個設備有五個功能,開兩個勉強能跑起來,有這種情況。我們正在為保證用戶體驗方面做出努力。

Q:UTM也是基於防火牆發展起來的嗎?

A:UTM一個是基於防火牆發展,一個是從IPS發展。把幾個其他功能模組整合起來就是UTM。

Q:實際上也不是簡單的疊加,功能多了跑起來功能、速度都是問題,是不是這樣的呢?

A:我說的是定義比如有IPS、有的叫過濾,都叫UTM,但是什麼是真UTM?沒有一個實際的標準。有幾個功能加在一起就叫UTM了。但是性能是一個大問題,跑不起來。很多客戶最後選擇還是分開來用這些東西。因為我們核心是做晶片的,優勢是硬體和軟體的結合開發,我們將推出千兆的UTM,因為我們有晶片可以做很多功能,能夠達到千兆的速率。我們沒有在這個廣度上做產品發佈,這款產品將在今年會有發佈。現在是介紹一下,導入一個概念,就是G-base的UTM,就是能真正達到千兆處理的UTM。所有的UTM功能上能統一起來才能給客戶更好的防範和支援。現在光有功能跑不起來,買回去沒有任何意義。

Q:所有產品都是經過市場調查的,我看到很多資料UTM主要是解決中小企業用戶的問題。你們調查中實際情況是怎樣的呢?

A:目前來看是中小企業需求最大因為他們預算很有限,需要買一個設備解決所有問題,實際上大家都知道這是做不到的。但是將來我覺得如果UTM真的變成高性能、成熟的產品的話,不光是中小企業來做了。為什麼我們產品所有都是基於中高端,因為現在市場好象低端客戶量最大,但是隨著各種3G應用、寬帶起來以後,我們相信中、高端會有很大的一塊,所以我們定位在這裡。

Q:我感覺凹凸的產品定位都非常高,一般感覺大眾是最多的,將來像您說的可能是菱形的,但是現在還是金字塔型的,我就想問凹凸科技主要靠什麼賺錢?

A:凹凸科技是技術導向的公司,現在也逐漸的往市場導向上走。但是我們不想打價格戰,我們沒有必要在低端跟別人拼。另外將來中端、高端的應用越來越多,所以我們定位在中、高端上。我們不希望大家都打價格戰,大家都是理性的消費,理性推廣,這樣對各方都是有好處。如果大家都只是掙一點點錢就出貨,那價格越來越低,沒有錢不可能再研發。凹凸是成立11年的公司,在晶片方面有非常健全、非常好的市場。有幾款產品我們的市場佔有率是最大的,達到60%到70%,凹凸有比較雄厚的資金在支援。包括為什麼說現在才進來,不是時機?我們覺得並不是不是時機。原來防火牆基本達到了一定穩定的狀態,市場份額等都達到了穩定狀態,但是基於目前的狀況。市場需求也在變化,真正的市場還是在變化的,我們覺得用四年的時間積累,能夠趕上這種變化,而不是說跳到現在的所謂紅海、藍海裏面去。我們是要抓住變化的趨勢。

Q:必須開闢自己的藍海。

A:對。因為在中國,用戶端、各大部委行業開始做資訊化建設、網路設備採購等等,但是之後更多的是中大型企業來用,這將是市場真正的一塊。我們看重的是這些。所以說我們覺得還很是機會。

凹凸專業除了晶片還是做安全這一塊,不是說在中國簡單的試試水,不好玩兒就走了,它在中國安全這邊就有100多人,有很強的隊伍。我們有五家分公司設在中國主要的地區,這是凹凸的優勢。

Q:凹凸為什麼突然開始做安全了呢?

A:不是突然,我們凹凸在安全方面已經做了四年了,只是之前沒有宣傳,之前一直做研發,積累,用四年時間積累做出的產品,今年2月份才正式開了一個凹凸Night宣佈進軍中國。

Q:就是一鳴驚人。

A:真的希望能夠一飛沖天。

(圖)這個是網管平臺軟體,因為不同的廠商設備對於IT管理來說都很麻煩,如果有統一的管理平臺軟體可以通過這個軟體對所有設備進行監管,某些設備包括策略的下發、設備的部署可以通過它管理。部署完以後整個網路包括狀態監管也可以通過這個軟體管理。這樣作為IT部門工作量就會小而且很方便,設備都可以遠程監管。所謂安全管理,不光是設備故障,還要監控漏洞,日誌查詢等,同時還要相容其他廠家的設備。我們這邊軟體產品、硬體產品都有,我們是軟硬結合的,最重要的就是晶片這是我們的核心。

Q:網管產品方面,其他的廠家現在已經有比較成熟的產品了嗎?

A:現在其他廠家也有做類似的產品,他們這個因為考慮到硬體的設備有的是買一台兩台,有的可能是批量採購,對這些設備怎麼管理?其實考慮的是這點。所以說真正的產品都一直在不斷的擴大,核心點就是晶片的技術、軟、硬結合的技術,和我們在國內強大的研發優勢,我們總部在矽谷,全球來講最先進的技術我們是在這個氛圍內,能夠掌握最先進的技術導向,最先進的技術優勢,然後再用我們的優勢結合起來。

Q:謝謝您!

A:ICSA認證是業界認可的認證,能夠拿到這個認證說明它的產品和性能方面是非常優秀的,因為它的認證非常嚴格和細緻,拿到這個認證說明我們的產品和技術是很好的。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 06:57 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1