天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

启明星辰访谈:拉出匹天清汉马 诠释UTM

2008-2-18赛迪网佚名

  UTM流行起来了,但流行的未必都是好东西,比如流行感冒。有说“UTM的肩头有点重”,有说“UTM引领安全潮流”,有说“UTM将取代防火墙”,还有的说“UTM不一定是中小企业未来的希望”……,对于新事物,历来如此,大家先要评说上一通,好像不发表点意见便显得不赶潮流。UTM到底怎样,我们今天拉出一匹“天清汉马”,看看到底是个啥玩意?

  小编采访了“马”的主人,启明星辰高级产品经理 沈颖,以下是采访实录。

  UTM的定义及标准

  Q:启明星辰的UTM代表是天清汉马多功能网关,这个网关有什么功能,为什么可定义为UTM设备?

  A:UTM这个概念源于国际上其他的厂商,虽然在国内有类似的产品,但是定义是从国际上引过来的。UTM中文翻译是统一威胁管理,它的第一个正式官方定义是在04年的IDC年终IT市场报告上提出的。2003年以后国内外的厂商都在朝这个方向努力。但是策略各有不同,虽然IDC是一个商业机构,并不是权威的机构,但是业界对IDC报告形成了一个共识。多功能UTM网关保护网络在访问的时候能够抵御来自外部的多种入侵。

  Q:我看过IDC的定义,它说的基本定义是,由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,它将多种安全特性集成于一个硬设备之中,构成一个标准的统一管理平台。但是实际上到底满足什么样的条件才可以称之为UTM,还没有统一的标准,请问启明星辰的天清汉马,是我们自己说做出来的是UTM,还是经过了什么审核?

  A:现在国内还没有UTM的标准,国际上也没有。只能采用业界通用的叫法,采用业界认可的定义。业界认可定义应该有几个标准的能力,满足这些标准的产品,业界通常称为UTM。标准的能力包括:防病毒、防入侵、防火墙。主要三个标准能力。凡具有这三个安全标准能力的网关产品都可以称为UTM产品。启明星辰做的可能更多一些。

  Q:启明星辰好像还有VPN、流量统计分析?

  A:还有内容过滤、防垃圾邮件等很多。我们的定义不是从产品功能的多少来定义的,我们的定义是指一个安全网关它放在网络接口处,接入层所面临各种各样的威胁,我们把各种威胁都考虑到里面,可能有一些极特殊的情况不谈,一般的网络面临的种种威胁我们把它统一在一个网关上进行抵御。我们的定义是设备上的安全。

  Q:为什么会选择这一点呢?

  A:对用户来讲最大的威胁是来自于外部,虽然内部也有很多威胁,但是这些威胁基于现在的技术手段,或者之基于内部的管理来讲,内部是靠用户自身的管理体系来解决的。从技术角度来讲对用户最重要的就是网关的安全。

  反垃圾邮件功能

  Q:我刚才听到您说启明星辰的统一威胁管理设备也有内容过滤和反垃圾邮件的功能。不久前中国互联网协会反垃圾委员会有六个推荐品牌的反垃圾邮件产品,其中看到了启明星辰,启明星辰的反垃圾设备用的也是过滤的机制吗?

  A:对。

  Q:UTM的反垃圾邮件功能和专用的反垃圾邮件产品从技术来讲是重合的吗?

  A:技术是重合的,产品是独立的。从产品设备或者从技术角度讲是有一定偏差的。因为如果仅仅把很多功能接在一起会有很多现实问题。比如说反垃圾邮件可能也有一些硬件的加速、你的理解可能是把硬件加速逐步的堆叠在一起,这样就损失了UTM本身的设计理念,UTM设计本质是为用户降低成本。可能也有一定成本的降低,但是并不是革命的降低。UTM产品是革命性的设计,是真的把软件统一在一起,一体化设计的。举一个例子,很多UTM产品具有的功能都具有数据匹配的技术需求。如果整合在一起由一个处理芯片统一来做,并且是综合各种功能的需求,这样会降低成本。第二,在统一处理的前提下可以很好的把握产品的性能。你想,如果每一块做一个,每一块做一个,等于串起来了。其实信息过来之后对所有的安全能力都是可见的,非要割裂为各个板块,每个模块再处理一遍,这个时间会大大延长。如果说信息在放那儿一点,有几个安全点再一起处理,处理速度会大大的提高。这点来讲并不是简单的加速而是统一的处理。

  芯片和加速

  Q:是把这些功能做在一个芯片上?

  A:芯片是一方面,软件也需要做工作。芯片只是为了提供一个比较好的硬件加速的要求。

  Q:说到芯片,我和凹凸科技接触过,他们进入安全领域的其中一个原因就是自己在芯片技术上有很深的积累。启明星辰用的是不是ASIC的技术?

  A:凹凸做的芯片只是为了安全方面专用的,可能开发的是通用的芯片。真正的专用是符合软件设计思路的,是符合产品设计思路的。凹凸设计的芯片是想在某一方面有所专长,但是它不能叫真正的专用处理芯片。真正的专用处理芯片应该是符合自己产品设计的。这样的话你的芯片没有更多的能力,只是把自己的使用做的很好,很专。如果说考虑了很多家产品,考虑了很多功能,会做很多事情,必须就不专了。

  Q:芯片是由启明星辰自己开发出来的?

  A:是跟合作伙伴一起做的。启明星辰是一个比较低调的公司,可能你们从来没有听说过启明星辰做芯片等等,是我们设计和合作伙伴共同开发的。

  Q:我看到凹凸科技有一个示意图,一块小的芯片映射到防火墙。把芯片用到防火墙里面,

  防火墙速度会非常快,并且由防火墙衍生到UTM。UTM有三种开发方式:基于防火墙、基于IPS、和统一的规划和设计,启明星辰的设计是走的哪一条路?

  A:是统一的规划和统一的设计。有的可能是自己研发一些新的技术放在产品里,这样的产品设计思想是不完备的,必然受限于原有的产品设计。我们一开始就是把它作为一个品种来看。因为有木桶原理,你的产品或者解决方案所带来的价值,是由解决方案的最短板决定的。如果你的一个产品有重防火墙或者重IPS色彩,必然产品安全的受保护等级是不平级的,不完全对等的。这样对用户来说,我们认为是有些不合理的。我们一体化的设计能保证这块的水能达到的安全级别都是一样的。

  研发团队

  Q:启明星辰UTM的研发团队是如何形成的?

  A:这个要从我们公司开始做UTM的原因说起了。启明星辰做UTM的时间超出了外面所知道的时间,应该是从02年、03年就开始局部的组建这只队伍。UTM这个产品它的发展是源于客户需求。最早我们启明星辰在跟用户进行安全建设的过程中发现用户网络越来越复杂,越来越庞杂。不谈内网安全,在网络边界这块,用户常常会用到VPN防病毒网关、防火墙等等。给用户会带来很多现实的困扰。虽然每个产品都独立的解决了很多问题,确实有它的独立意义。但是放在一起的时候会给用户带来很多痛苦,比如放在一起的时候要面临五、六个厂商。在网络的接口这一点有那么多的产品,必然带来网络的复杂度和产品的兼容性的问题。这样的问题对用户来说是很不公平的,他要的是安全,结果给他带来很多成本。我们发现了这个问题开始考虑如何帮助用户整体解决接入安全的问题。当时帮用户做更规范的解决方案,我们希望这个手法能解决用户的困扰。但是经过实践我们觉得效果一般。为什么一般呢?用户购买的安全产品是五花八门的,我们只能规划解决方案。由此我们想到了这个想法,是否启明星辰可以给用户带来一个更好的产品统一解决这些问题。

  也就是在相同的时间段美国比较发达的地区提出了UTM的概念,我们也开始做这个产品。因此启明星辰积累时间是足够的,只不过是这个产品的研发是很耗时的,并不是说我们开发半年就可以完成了。因此直到去年才看到启明星辰这样的产品。

  UTM产品从无到有的历程

  Q:意思就是说启明星辰首先是听到用户的声音,用户的需求才有这样的想法,而不是说有了这样的概念,像赶流行一样的?

  A:启明星辰一贯以满足用户实际需求为第一目标。安全是方方面面,用户最需要什么样的产品?最需要什么样的技术?最需要解决什么问题?这是我们最关注的。

  Q:这个产品推出来以后受欢迎程度怎么样?

  A:效果非常好,甚至超出了我们的预期。从去年产品销售量可以看出来,我们推出的时间不长,但是有很大的销售量。用户对这个产品的感觉引用客户的话“确实降低了成本,确实减少了日常的维护工作量,确实网络更干净了”。整个IT大的背景下都希望帮助用户建一个更干净的网络我们在这块做了努力。

  UTM是否可以取代防火墙

  Q:比如这家公司现在看到启明星辰UTM设备这么好,只买这一台设备,其他的防火墙等等都不买了,对启明星辰来讲因为同时生产其他的产品,这个如何协调呢?

  A:这个包含了两个问题,第一个启明星辰UTM的产品和启明星辰自己的其他产品的关系。第二个问题是这个产品是否可以完全替代其他的同类产品。第一个问题可以这样解答,启明星辰所做的产品都是有严格的规划的。可以看到启明星辰有天清系列类的产品,有天镜、天玥审计类的产品,有天清汉马安全网关类的产品。所有的产品是为了满足用户整体解决方案的一部分。用户在考虑安全建设过程中虽然说会考虑很多技术,但是大的方面会考虑几个方面。

  第一方面是软件安全,第二方面是内容安全,第三方面是政策安全,第四方面是安全运行等。我们是部署到各个层面,并且不交叉。通过这些产品的融合,有机的帮助用户建设安全,真正给用户做到了整体的安全解决方案。我们提出了天清汉马整体解决方案

  Q:天清汉马已经有了过滤的能,内网很大一部分是通过过滤进行的,过滤的时候已经实行了这个功能了,为什么内网上还要重做一遍?

  A:还是要从威胁上讲,首先威胁不仅仅来自于外部,内部也有,内部员工也有误操作,内部员工也有恶意行为。这是网关可能会侦查不到的,内网应该有自己的检测系统。关键一点威胁来自于外部也存在在内部。

  关于多功能安全网关是否可以替代其他类的产品?同比更多的安全网关产品是不可能替代IPS的产品,不可能替代审计类的产品。对安全网关类的产品,我的解释是它部分替代,但绝对不是全部替代。

  Q:这样对用户来说不太划算了。因为我本来想用UTM它有IPS的功能,目的是想省掉IPS的那块成本,原来的独立IPS不可以完全替代,对用户来讲需要IPS还需要UTM,这样不和浪费吗?

  A:不会是这样,横向来讲是不能完全替代的,纵向来讲或者就某个具体客户来讲到底是能替代还是不能替代?答案是惟一的。比如说就某一个技术可替代还是不可替代,这是惟一的。对于广义的客户来讲是不惟一的。如果一个客户他的安全需求是可以通过采购多功能安全网关或者采用启明星辰产品解决,就没有必要再买防火墙壁,没有必要再买防病毒产品。但是比如说用户这样的安全网络与外部与Internet互联,内部有一个子功能,子功能之间有一些需求这时候可能买一台简单的防火墙就能解决问题了。我们是对应某一个具体客户可替代还是不可替代,这个答案是肯定的,而且是唯一的。并不是说可能买了一个UTM产品,再买一个防火墙产品这种情况不存在。他可能只买一个防火墙也可能只买一个UTM。

  Q:我看到讲UTM是如何出现的这类的文章,是说因为现在的混合式攻击越来越多,单一的防护设备不足以抵抗一些威胁,所以才出现了UTM。现在还会有比如说某一个公司只需要一个防火墙就可以达到安全效果吗?

  A:有这样的。比如说政府的内网和外网是不互联的,和互联网更不是互联的,它只是内部的几个部门,面临不了你刚才提到的混合式攻击问题,这只需要一些简单的成本比较低廉的产品就能解决安全问题。我们一定不要忘记我们所有的安全贡献都是为了帮助用户屏蔽威胁。每个用户所面临的威胁是不一样的,50%以上的用户是于互联网衔接的,它面临的威胁有很多共性。与很多用户不与互联网衔接,它的安全方面有很多特殊性,这时候我们要针对这点特殊考虑。因此总结一下,UTM产品在具体的用户需求里是可以替代所有网关类产品的。但是也许有些客户并不需要完善的安全解决方案。因为它的威胁是来源于一点或者两点,而不是像UTM产品一下处理了7、8种甚至更多的威胁。一些客户不需要,采用一些简单的解决方案就可以了。

  功能和性能之间的平衡

  Q:UTM功能非常强,对性能会不会有影响?

  A:为什么有UTM一体化的设计思路呢,就是源于这样的问题。对性能稳定影响而且降低比较大,把信息的过滤点、安全实现点能够统一的设计,这样的话能很好的减少这个问题。另一点,基于传统的X86结构的设计是无法突破性能障碍的,应用加速是必需的。

  Q:应用加速是启明星辰自己的技术吗?

  A:合作开发的。各个公司都在做自己的事情都是为了满足用户的安全需要

  Q:和竞争对手相比,启明星辰的UTM设备、天清汉马多功能安全网关系有何特点和优势?国外最早推出UTM设备的有Fortinet、SonicWall、WatchGuard,国内的有深信服,联想网御等等。

  A:业界有很多市场同业者,也可以说是竞争对手,都是为了给用户做服务的。这些厂商其实各有各的特点。一类厂商是基于自己过去的强势产品做了一些功能增补达到。我们的有时就是一体化设计,有些厂商可能也是一体化设计,但是目前来讲是国外厂商,满足国内用户需求饱和度还不够。我们的现在产品优势还是比较突出的,因为我们有比较高的性能,同等价格下我们可以达到不降低网关的性能。

  第二点我们所有的需求是源于本地化,或者是中国用户实际的问题,满足用户实际需求能力方面很强。我们曾经在今年年初比较大规模的做了用户的试用。用户现实的反馈很真实的,说这个产品很好,用起来非常顺手。每个功能都显得与我具体碰到的问题非常相关,确实解决了现实问题。这样的产品它的可用性是非常非常高的。

  Q:价格上和您刚才说的同业者相比呢?启明星辰有没有一定的优势?

  A:我们处于持平状态。所谓优势我想更多是产品是否能带来更好的价值。我们可以有更好的价格,因为我们有性价比,也可以认为我们的价格跟他们是一样的,确实是比较接近。

  Q:既然开发出来这么好的东西,但是达到一个好的目标路程一般来说都是艰辛的。在整个研发过程中,您是不是亲历者,能不能讲一些很特别的故事呢?

  A:有两年多的时间是处于信息劳作期,这期间确实有非常非常多的故事真的可以讲很多。比方说你所感知的一个性能到底能不能得到很好的突破?能不能不降低用户的带宽?我们的产品在设计的时候就碰到了这样的障碍。这个障碍其实很大,很多模块连接在一起的时候就会出问题了,只能这么讲,启明星辰有一个非常非常优秀的技术研究队伍。从我们产品开发角度来讲是把产品的技术和产品开发分开的。我们开始做这个产品的时候,已经把预计的问题解决了,但是现实和理想总是有差距。在我们开发过程中遇到很新多的问题,还会跟技术的队伍重新碰头,这个过程有多次是反复的,小故事很多。但是没法一一列举。

  Q:启明星辰这个名字本身就是在天空中的星,生产出来的产品都是以天打头的,比如天阗、天清、天镜、天玥等,请解释一下这种命名方式。

  A:我们这个产品就是要给大家一个干净的网关,为什么叫天清,就是干净的。

  产品外围:用户、价格等

  Q:UTM主要的是面向给中小企业用户吗?

  A:并不是,UTM针对中小企业这个概念在一两年前有这样的说法,因为那个时候很多技术没有突破,不是大型技术不想要,那时候还没有突破技术瓶颈,越大型的客户越需要这样的产品,因为它的网络比小型用户更复杂。

  Q:UTM设备价格的区间能给我们介绍一下吗?最低价是多少?最高的是多少?这个设备到底是能覆盖哪几个规模的用户群?

  A:UTM价格区间是从10万到100万左右。我说的10万左右是中低端防火墙的价格。100万左右就是一个高端防火墙的价格。它跟防火墙传统安全网关的价格是接近的,或者略高一点点,但是差别不明显。

  Q:通过您的介绍我们感觉到UTM应该改变一下概念,原来提到UTM我们感觉价格比较低,功能比较全。

  A:UTM给用户带来了更高的性价比而不是比防火墙更低的价格。因为UTM解决的是介入安全这点的很多威胁。拿防火墙和UTM直接相比是不公平的,我的能力是10,防火墙的能力是1,因为它比较专注。应该比的是一个UTM和一个防火墙加一个防病毒服务,加一个防垃圾邮件,这样UTM就非常便宜了。

  Q:现在开发出来的天清是一个产品还是一个系列的产品?

  A:一个系列的产品。

  Q:未来的发展会在哪些方面有所提升?

  A:应该说未来UTM的发展方向有几个特色,第一个是标准化。因为客户的现实需求会推动从业者共同实现标准。第二个UTM产品会实现更好的模块化。是指一体的模块化。有一些用户需求可能是暂时,可能是部分需求,但是长远来讲会有更多的需求,他可能在初期采购方面是几个模块,但是他要求在未来能够平滑的插入新的模块。我们也会在这方面做继续的努力,第一启明星辰会推动业界在UTM产品标准的产生与制定这是启明星辰要做的事情。为整个用户,为整个UTM市场做自己的贡献,毕竟UTM是在国内首家倡导和提出UTM概念的。

  第二点启明星辰将会在不久,也就一年左右的时间,会推出一个新的UTM产品,这个产品将会更加突出性能的提升和用户的易用性。我们永远都不离开这个产品的设计目标,就是降低用户维护的工作量。

  Q:现在已经有的产品可升级性怎么样?

  A:现在的产品都是可以平滑升级的。UTM设计的时候考虑方面比较多,一方面考虑系统自身软件的升级,一方面还要考虑入侵防护系统的特殊性。还要病毒库升级。像防病毒我们都是提供实时在线升级的能力,设备只要互联在网上,可以定期到我们公司的升级服务中心查询是否有心的升级,如果有就可以下载。

  系统软件升级就是跟传统的网络升级是类似的,用户可以手动就可以进行升级。时时的升级是要求必须高的,病毒和防御系统升级持续性是比较高的。

  Q:现在UTM的功能足够了吗?以后会再加一些功能码?在功能和性能之间有一个度,性能上去了可能功能的数量就会受影响。所以这个度您怎么掌控?

  A:应该说魔高一尺道高一丈,功能是否够要看实际需求。不能说够和不够,从现在的角度来讲UTM这个产品应该是满足了80%以上介入的安全需求。但是未来可能会有更新的比较有突出特色的威胁,UTM产品应该具有这样的升级能力。让用户不必通过改造网络来解决新的问题。只通过升级软件,升级软件系统来提供新的产品。关于性能和功能平衡度的问题,这是所有的同业者必须考虑的。应该这么讲,如果因为为了提升某些功能而降低性能,我们不会把这样的功能加进里。只要在启明星辰UTM产品中出现的功能,它必然是可用的。

  Q:现在都是被动的防御,最后有没有向主动防御发展的可能,或者计划?

  A:从产品定义角度来讲,UTM产品包含了部分主动防御,并不是完全被动防御。IPS技术是主流的技术,它有一定的智能性,不仅仅是根据特点来分析,还要根据网络行为,这些行为比如说原有的协议发生了改变,这都是需要一些智能判断来解决的,我们是有这样的特色的。我们的产品是结合了被动防御和主动防御的多种技术结合在一起的。

  Q:说到分析行为体征,因为我刚刚和硕奇接触过,它的反垃圾历年就是行为识别,他们提出来行为识别是第三代,内容过滤是第二代。您怎么看这两种方式?

  A:两种方式是并存的,并不是说出现第三代就淘汰第二代。因为很多东西很简单,比如明确有些发送者就是制造垃圾邮件的,我们没有必须对统一行为进行规避了,这两个是并存的,并不是谁能替代谁的。

  Q:就是说各有用武之地?

  A:对,因为有些鉴别的识别不需要长期跟踪。他讲的第三代基于行为的,是需要经过一段的时间段跟踪才能有明确的判断。也许我们在一点用一个简单的匹配就能解决问题,为什么还要长时间判断呢。有些新的情况可能需要行为分析方式解决。

  给用户的选购建议

  Q:从用户的角度,现在有很多厂商都认为UTM很好,他的选择UTM的时候会考虑哪些盲从对他来讲就可以买到最适合他的?有什么建议给用户?

  A:第一要考虑产品的性能,UTM类的产品虽然市场上时间不多,但是五花八门我们一定要找到性能确实很好的。第二及在防病毒以及安全这两个能力,一定要找专业厂商。这两个模块事件检测率要高,要没有误报、少漏报。要做到这样才比较好,因为作为一个网关类产品,如果IPS模块起作用,它做了误报把正常的应用阻断了,会影响用户的业务。所以一定要强调性能,第二是要根据厂商的能力确认购买一个在报警方面、检测方面性能很高的产品。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行