主持人:各位天极网的网友大家下午好,今天我们访谈的主题是和大家一起聊聊网络安全方面的问题。我们有幸请到了Hillstone市场部副总裁赵彦利先生,让我们欢迎赵总的来访,同时也请赵总做个简单的自我介绍。
嘉宾:各位网友大家好,非常高兴能有机会在这里跟大家进行一个简单的交流。我实际上也是一直在从事网络安全方面的工作,从2000年的时候,我加入了NetScreen,可能很多网友都知道NetScreen的安全产品,2004年,NetScreen被Juniper以40亿美金并购,于是我离开了NetScreen。从2006年开始接触Hillstone这个品牌,2007年加入Hillstone这个公司,作为这个公司的管理层的一员,去做品牌的推广活动。
主持人:大家也了解到了赵总生平的一些简历,请赵总也简单介绍一下Hillstone这个品牌。
嘉宾:可能对很多网友来讲,Hillstone至少让我感觉是比较陌生的。但是提几个业内的公司的名字,大家都比较熟悉,像NetScreen,Juniper,为什么提这两个公司呢?简单跟大家讲一下我们公司的来历,Hillstone所有的五位创始人都来自美国硅谷,同时也是NetScreen最早的创始团队的人员,从2004年并购到Juniper之后,他们在国内创办了研发中心,随着时间的发展,可能一些技术条例,发展方向和公司的发展方向,他们觉得自己出来去办一家公司可能更能把自己的理念发挥出来,把自己的一些想法能够在公司和产品里面充分体现出来。Hillstone公司实际说在这个基础上,五位创始人从美国硅谷离开Juniper之后,创立了Hillstone公司。目前我们公司投资方是外资的投资,是NetScreen的创始人,也是NetScreen的邓峰来投资的公司,最大的股东。
我们给自己定位的目标是做技术创新的专业的安全厂商。因为我们很多员工,或者是一些管理层人员都是来自于NetScreen、Juniper,实际上来讲,我们创立这个公司的目的并不意味着,我们要做NetScreen第二,复制Juniper等等这种概念。我们实际上是做一个创新,作为公司发展的一个最基本的要求,我们用了目前业界最领先的技术,多核的技术,在我们所有的产品线里面,充分把多核技术、全系列的多核架构,全部移植到了我们产品线里面来。我们的创新在于新的安全硬件的平台,因为安全,大家可能都在讲防火墙,很多VPN等等的需求,这种需求实际上有很大的变化,最大的问题,包括现在的UTM厂商也是一样的,遇到最大的问题就是性能的问题。因为应用安全的发展趋势,造成了我对应用的内容的过滤要求越来越高,这个时候需要有更多的硬件架构,或者是软件支撑,来解决这个问题。Hillstone在这个时候提供了这种最好的硬件平台和软件的架构,提升这些应用安全的需求,然后创立了Hillstone,发布了Hillstone全系列的产品。
主持人:通过简单跟赵总沟通,了解到赵总对技术是很在行的。也曾经在简历里了解到您也是做技术出身,以您的看法,您对于将来安全产品类的技术发展趋势会是怎样理解的?您能简单谈谈吗?
嘉宾:好,实际上来讲,从我自己感觉来讲,比方说我在2000年加入NetScreen的时候,大家可能在讲的网络安全,那个时候可能大家考虑的是我在网络上的一些防护,像DDOS,这种常用的网络上的工具防护,我就解决这些问题。随着时间的发展,可能现在的应用越来越网络化,造成了越来越多的应用依赖于网络,也就是说你对应用这种安全的防护要求越来越高。比如说我们在网上购物,网上交易,网上银行等等。
主持人:简单理解,如果依托于网络的应用更多的话,可能对于网络安全产品的功能性要求也就更多了。
嘉宾:这个是我们安全需求的一个趋势,实际上在朝着应用安全来靠拢。你会发现越来越多的安全产品,也是从网络层逐渐向应用层来过渡,比如说现在的UTM也好,会集中更多的应用安全的这种功能,这个也是一种趋势。
主持人:刚才您提到Hillstone一直在研发和推动的多核PLUS架构。多核技术在安全产品里面到底它有哪部分应用,它的产品技术特点?Hillstone这一块的多核PLUS架构的安全技术产品又有哪些?
嘉宾:从目前这种发展趋势来讲,多核是最好的一种方式去提升应用安全的一种手段,你会发现传统的基于ASIC的纯硬件的架构在走到应用安全这一块它无能为力。实际上来讲,你的病毒检测,你的URL过滤,内容过滤等等,很多时候是靠CPU资源,传统的架构,CPU资源是非常有限的。网络层加速取代不了应用安全这种资源的消耗,没有办法去解决。多核相当于我把CPU的资源扩大了很多倍,甚至十几倍,二十几倍这种差距。实际上来讲,我们通过多核这种架构,充分利用CPU的资源去做内容安全的一些防护,并不意味着多核,大家能够完全发挥出来,对于我们来讲,我们推出了多核PLUS这种架构,所谓的PLUS在什么地方,我们用的是专用的多核芯片,同时我们是采用了交换总线的一种新的硬件架构,然后在我们的多核PLUS架构里面,另外一个核心是我们的专用一个硬件芯片,这是一个硬件的架构。我们另外一个理念,多核PLUS的另外一个理念是软件的,实际上来讲,相当于我们在有了一个很好的发动机,我怎么去调校这个发动机,我们通过软件的方式去教条这个发动机,充分发挥多核这种架构的优势,发挥出它的性能和稳定性。
主持人:应该还有一个StoneOS,这个是您所说的软件层面的一方面。
嘉宾:StoneOS是我们专有的一个实时的并行操作系统,实际上来讲,很多的安全产品可能很多的厂商都在走多核这条路。真正能够把多核发挥出来,或者是做到稳定性非常强的话,完全靠软件的优化,这一块我们应该来讲是走得比别人要前一步两步这种优势,实际上来讲我们做得更多的是真正把这个多核的产品能够商品化,真正能够让客户得到的是高性能的一个产品,稳定性的产品,完全依托于我们的StoneOS这种软件的支撑。
主持人:据我了解,最近网络安全界内其实很多公司都在推出万兆级的防火墙。咱们也在前不久发布了自己的万兆级的防火墙产品,对于如此多的厂商在同一时间段里发布万兆级的产品,您有什么独到的看法呢?
嘉宾:对于万兆的产品的发布,实际上是市场需求的结果,可能大家的网络,核心网络或者是骨干网络在提升,越来越多的这种安全需求就提升出来了,以前是千兆的核心网络,现在过渡到万兆的话,也会意味着我对安全产品的需求,性能也是提高了很大的一块。另外一点,实际上很多的厂商,所谓的万兆的产品,实际上很多的时候是基于传统,或者是原有的产品的架构,然后去提升某些硬件的部件,去提升它的性能,实际上它结构并没有一个大的改变。对于我们来讲,我们是一个完全创新的,全新的一个多核PLUS这种架构,在硬件平台上是一个全新的硬件平台,同时我们在软件上有更多的优化,真正能够提供双向20G的万兆产品。因为有的厂商可能所谓的万兆产品只是10G的产品,双向的话它达不到20G,达不到无阻塞的安全过滤的能力。我们完全可以适应这种万兆的需求。
主持人:因为采用多核PLUS这种架构,才能最优化达到20G?
嘉宾:我们本身结合了最新的一个硬件平台,然后最好的,也是最新的,最高端的CPU,多核CPU,再加上我们更宽的一个总线,交换总线,同时我们再集成了我们专有的高性能的ASIC,然后通过这个硬件来发挥万兆产品的优势。
主持人:等于是利用这种多核的架构,最优化的并行处理,这种数据处理任务。
嘉宾:可以这么讲,实际上来讲硬件是一块,我们在软件上做了更多的优化,去适应高性能的需求。
主持人:和其他公司的万兆产品比起来,Hillstone我们自己最近最新推出来的SA-5180,是咱们的主力产品,又有哪些优势呢?
嘉宾:我们这次推出的SA-5180的产品,是完全电信级设计的产品,你看在硬件设计上,我们采用了冗余的部件,可热插拔的部件,我们的端口密度做得很高,比方说我们12个千兆的端口,我们有2个万兆端口等等这些设计都是完全电信级的设计。然后在硬件设计上要求很高。另外一点,我们在产品的功能上有很多的扩展,和这次SA-5180一起发布的话,我们也发布了基于这个平台上的一些病毒检测的解决方案,也就是我们在整个的硬件架构下,通过软件的扩充,能够适应更多的客户需求,去拓展我们的产品使用的角度。
主持人:您提到SA-5180很独到集成了防病毒的能力,既然SA-5180加入了防病毒这种性能,我不知道这个性能的加入,会不会对于本身我们万兆的产品其他的性能有什么影响,如何保证其他性能不会被这个病毒库性能所受累?
嘉宾:实际我完全理解您的想法,实际上来讲,也就意味着我们在系统平台上集更多的功能,就会消耗更多的系统资源,这是很容易理解的。实际上来讲,你会发现我们在发布5180的这个平台上,我们的AV性能,在媒体公开测试的话,我们可以达到1.68G,这个水平可以说超过了专用芯片能够带来的AV的性能。也就是我们靠产品的优化,提供本身的病毒库检测引擎的优化,带给大家一个性能的结果。实际上来讲也意味着你用它完全可以,指望它加了AV,完全达到万兆的,这个肯定不现实的。那么在客户需求上来讲,我会建议他,我们是1.68G的AV的吞吐能力,我们可以把它放在千兆级的产品上,完全可以。在某些功能情况下,你可以去使用不同的功能的组合,去适应不同的需求。在防火墙上我们可以达到万兆级,但是你在AV的需求上,我想在骨干上去做AV检测的话,这种需求是非常非常少的,基本上在边缘部分会有一个局部的需求。可以在这个条件下,用这个产品去做防护。
主持人:我了解到咱们病毒库的合作厂商,卡巴斯基,作为业界比较有名的防病毒厂商,咱们Hillstone跟它合作的根本目的是什么?咱们这种合作方式,包括病毒库以后的升级,或者病毒库到底怎么实施操作,赵总这边给我们广大网友简单解释一下双方合作的模式。
嘉宾:好的,实际上来讲,我们这次是跟卡巴斯基进行一个强强联合,因为从病毒的厂家来讲,卡巴斯基是一个非常知名的公司,因为它的好处在于它是一个专业的病毒厂商,它的更新速度,它的覆盖面是非常广的,这个是我们合作的基础。这次的合作,我们只是用了卡巴斯基的病毒库,病毒检测引擎是我们专有的一个技术,在多核上发布的,基于流的多核架构的流检测引擎,是我们自己的。这一块我们进行一个整合之后,能够充分发挥病毒检测的高效性,同时发挥它的性能。同时我们合作方来讲,我们可以得到最新的病毒库的更新服务,这样的话,可以保证被动防御的有效性。
主持人:病毒检测这一块的有效性与及时性,通过无缝,实时的网络层面的Updata,能够很好解决这种新发病毒的查杀,或者扫描能力的及时性。
嘉宾:应该来讲我们会跟卡巴有一个非常好的应用互动。卡巴斯基它第一时间发布之后,我们会第一时间拿到这个病毒库的更新,然后会放到我们的更新服务器上,通过这种更新,客户端可以自动去下载这个更新,对一些应急事件,卡巴斯基可能承诺会4个小时有一些安全时间的响应,这个响应我们也会及时拿到这个响应的结果,我们会放到我们的服务器上,也就意味着我们也可以提供这种相应的及时更新的服务保障。
主持人:这种病毒库的服务,或者病毒查杀的服务,咱们是通过收费购买,还是其他形式?
嘉宾:我们的销售方式基本上跟传统的病毒的销售方式比较类似,我们是按病毒更新服务来销售。你可以购买一年的服务,两年,或者三年的服务,购买服务之后,在服务期之内,你可以使用然后去更新这个服务。
主持人:一直在谈5180,集成了跟卡巴斯基病毒库的合作,咱们Hillstone的全新产品是不是都加入了这种防病毒的服务呢?
嘉宾:对,我们在所有子全线产品里面,都已经加入了,在SA的产品线里面,全部加入了AV的检测功能。因为我们实际上有两个产品线,一个SR和SA,SA是我们专业的安全网关的产品线,已经完全集成了这个。
主持人:SA全系列的产品都会有?
嘉宾:对,全部都有。
主持人:其实包括我们一直在关注网络层面的资讯,也一直在和关注网络技术的网友互动,就我们了解,现在其实有很多用户并不相信网络安全厂商,为什么呢?究其原因,很多网络安全厂商标出的数值跟实际相差很大,这个数值不符,会经常让我们的网友,或者我们的用户对某一厂商,或者某一品牌的产品产生很不信任的感觉,赵总怎么看待这个问题?
嘉宾:我觉得这是非常好的一个问题,因为我在安全界也是干了很多年,有很多的经验。实际上来讲,不同厂家在进行宣传的时候,它的策略是不一样的。你会发现在我们的产品里面,发布出来的性能指标上都有比较保守的一个指标。举个例子,我们5180的AV的检测结果,我们网络世界检测结果是1.68G。在我们的宣传手册里面,我们标上是1.4G,实际上有很多保守的数字给到大家。另外我们在低端的产品里面,比方说我们的SA2001这个产品,实际上我们性能非常高。基本上可以是真正的准千兆的产品,但是我们标称是150兆这种性能。这种做法实际上有更多的空间留给应用安全,或者你在实际过程中的一种打折的空间在里面。这样来讲可能你买了这个产品之后,打开防火墙可能是更高的性能,但是你购买了AV之后,你可能期望这个性能肯定会下降,但是我在销售产品里面已经预留了更多的空间,这样的话,客户拿到产品,更加切合于真正实际使用的效果。另外我们的一种作法,实际上更倾向于客户去购买这个产品的时候,实际去试用一下,而不要用宣称的指标去购买这个产品。我们希望越来越多的客户实际去体验。
主持人:您客户越来越多,您希望客户去试用这个东西,包括售前的服务了。咱们针对于某一款产品,或者某一品牌,包括Hillstone的产品,我们肯定会更多的用户会关注它售前,售后服务这一块。Hillstone怎么保证怎么售前和售后服务的及时性,一般咱们能做到多长时间就能及时为客户解决突发问题,或者说客户遇到的一些不能自己解决的问题?
嘉宾:实际上来讲,从我的理解来讲,真正安全产品再往下做的话,大家比拼的是一种服务,实际上产品,大家可能都有优势,但是真正做好的话是靠服务来吸引客户。实际上在服务这块我们有售前,售后的专门的技术团队,售前这一块我们可以最及时通过渠道,和我们现有的一些销售渠道,把最新的技术,产品,介绍给最终用户。作为购买产品的用户来讲,我们有400号的电话,有网上的在线服务体系,我们实际在服务体系上来讲做到两级服务。第一级是我们专业认证过的代理商的一线支持,作为厂家来讲,我们可以做二线支持。任何情况下的特殊事件的响应,我们可以做到第一时间的响应?
主持人:上门?
嘉宾:我们可以做到7×24小时的响应,但是上门的话,因为实际上有不同客户,我们是通过我们的渠道去提供上门的服务。有些特殊客户,可能有的时候可以直接派工程师去。
主持人:针对网络安全来说,服务固然重要,售后服务也重要,其实就我个人理解,其实售前服务更重要,因为确实防病毒,不只是防病毒,网络安全产品,其实很多客户并不知道如何应用,并不知道如何架设,其实如果我Hillstone采取,我们的工程师在售前客户试用阶段,就给予指导与培训这种手段,其实我个人认为是很好的。因为确实是针对网络安全这一话题来说,很多客户也好,用户也好,真的不了解。
嘉宾:我完全同意您的观点,实际上来讲,相同的一个产品在使用过程中,或者在不同的环境下,有可能它发挥不出来它的优势,实际上我们也特别重视售前的工作。比方说我们的售前工程师和渠道可以做到第一时间的响应,我们有新的技术可以第一时间把这个技术交到渠道那边,渠道那边掌握最新的产品信息之后,把这个产品信息告诉给客户。有些项目上,或者是客户,我们可以直接派售前的工程师给你特殊去讲解,去定制一些产品,或者是一些解决方案。这样的话,会帮助解决问题,或者是用好这个产品,非常非常重要。
主持人:我们也很欣喜地看到Hillstone推出SA-5180这款产品,给我们网络安全界的技术提升起到了很重要的作用,不知道赵总对于Hillstone以后在产品开发上,技术层面有什么计划?是不是可以简单来说以客户需求和市场需求为导向,客户需求什么样的产品,我们就研发什么样的产品?
嘉宾:这个也是非常好的一个问题,实际上来讲,从产品发展方向来讲,我们目前自己的目标是要朝着应用安全走,你会发现我们的硬件平台,安全网关上会集成更多的应用的特性。比方说我们现在已经集成了带宽管理,集成了SSI VPN,集成了防护,集成了AV检测等等,以后我们会集成更多的这种功能在里边。另外,整个产品需求,可能跟市场需求有关系,市场需求,更关注哪些方面的问题,我们的产品可能会做更多的这方面的研发,然后朝着这个方向努力,实际上来讲是互动的,因为计划是死的,但是实际上人是活的,必须要适应市场的需求。
主持人:今天跟赵总聊了这么多,既然赵总是技术出身,Hillstone也是专门做网络安全产品的厂商,其实我们很多网友是很关注网络安全问题的。赵总您以技术的角度,有没有能跟大家分享的网络安全方面的经验,和天极网的网友简单分享一下。
嘉宾:好的,谢谢主持人。实际上来讲,从我目前的经验来讲,因为谈到网络安全,安全是一个动态的概念,在不同时期理解都是不一样的,需求也是不一样的。另外一个观点,安全是一个相对的,没有一个绝对的安全。你在选择一个安全产品的时候,你要现在一个适合你的产品,而不是说你选最好的,实际上来讲安全是会付出代价的,大家可以理解,我可能要求越安全,可能牺牲的其他的方面越多。实际上来讲要找一款适合你的产品,同时我的建议是自己要亲身去体会,而不要简单去看一些书面的信息,这样的话可能得到的产品更切合实际,更适合你的需求。
主持人:各位天极网的网友,很高兴今天和赵总非常愉快的交流。今天我们关于网络安全产品的访谈也基本告一段落了。很感谢Hillstone推出的SA-5180在安全防护和网络安全方面,给我们很多用户更多的选择。我们也会继续关注Hillstone的多核PLUS架构和日后Hillstone出的更优秀的网络安全产品,非常感谢赵总光临天极。
嘉宾:谢谢主持人,谢谢天极网,谢谢各位网友。