访谈背景:
APT、BYOD、大数据、云计算等成为了新时代网络安全的代名词。如涓涓细流的APT攻击让企业防不胜防。面对众多不同以往的网络威胁,优秀的综合性安全网关防护设备成为了帮助企业打造安全网络的上佳选择。然而,在选择时又面临了下一代防火墙还是UTM的困扰,然而对于二者的区别更是让人捉摸不透。用户选择安全设备反而要“过关斩将”才能获得最后的保障。
安全网关就要快速、稳定、多功能
UTM与下一代防火墙激战正酣,双方拥护者各执一词。二者之上笼罩着一团团迷雾,使得用户无法辨识。下一代防火墙与UTM究竟是何关系?作为多功能安全网关的必要特性又是什么?
高辉:可否请您谈一下当选美国工程院院士的感受,并且分享一下多年来从事网络安全研究的心得?
谢青:我在网络安全领域做的第一个公司是20多年前,当时还在斯坦福读博士。第二个公司可能更成功一些,就是后来被Juniper收购的NetScreen。在十二年前创立的Fortinet,现在已经有二千多名员工以及近40亿美元的市值。可能是因为我在这个变化和发展都很快速的领域做了相对较长的时间,所以我能够当选。另外,美国工程院的评选是一个秘密评选,甚至侯选人都不知道。由院士内部提名评选的一个过程。我是收到邮件以后才知道评审的结果。
高辉:下一代防火墙是国内市场上的一个热门话题,而且对于下一代防火墙的理解争议很大。还有各家厂商在产品实践方法上都有很多的不同。您是如何看待市场上的下一代防火墙?它和原来的UTM有哪些不同呢?
谢青:Fortinet当时推出联合网关,为了区别于NetScreen的防火墙,公司内部称为防毒墙,后来IDC把这个概念定义为UTM(统一威胁管理)。IDC和Gartner是美国******的两家研究机构,并且互为竞争对手,所以Gartner后来提出下一代防火墙的概念。其实二者从功能和整个对用户的价值来说完全一样,只是不同的研究机构可能称谓为不同的词。但是也可以看出多功能整合是大趋势,因此如何把整合做得更好,不止要功能更丰富,速度的提升也要有所表现,我觉得这是各个厂商比拼的关键。
高辉:大家觉得“下一代”可能在技术上更先进,您觉得下一代防火墙应该比早先的UTM在哪些方面有提升?是否主要在性能方面,还有应用识别和控制层面?
谢青:下一代防火墙这个词的确比UTM更新一些,毕竟是最近四五年才提出来的,UTM已经提出快十年了,但是功能仍然很类似。用户基本上关注两个方面:一是功能是否更好、更全面、更安全,二是同样的功能下速度是否更快。
不管是UTM还是下一代防火墙,其本身是网络设备,如果设备比较慢或者不稳定,就会对整个网络产生影响。因此在保证速度和稳定性的前提下同时能够阻挡不良攻击才是安全网关的关键所在。我认为通过第三方的测试来验证产品是一个比较好的方式。毕竟绝大部分用户不具备测试所需的环境,因此基本靠第三方测试的结果来评判产品。产品的认证更多、速度更快、稳定性更好,对用户来讲是最关键的指标。厂商的宣传很多时候不一定能达到用户的要求,而网络安全产品放到实际环境测试则会碰到很多问题,所以我认为关键在于需要设立一个标准,速度和指标一定要达到这个标准。
高辉:下一代防火墙应该向哪个方向去发展和突破?
谢青:我觉得还是根据互联网的变化来看。我们几个月前推出Forti OS 5,基本上解决了三个问题。首先是移动互联设备接入企业网络的问题。BYOD是企业遇到的最新问题。很多人把iPad等设备接入公司网络,因此需要根据不同的用户做不同的认证,并且有些数据需要加密保护。其次是APT,现在很多新的攻击没有任何特征码,因此需要根据行为模式来进行检测。第三是云计算,网关要有自我学习的能力,不能靠以前比较固定的策略。我们的网关能够自己检测正常和不正常的应用。主要是通过这三方面,来解决网络安全问题。
另外,在Forti OS 5内置两个沙盒技术,一是在产品硬件内部,有一个实时沙盒模拟环境,另外一个则在云端模拟环境。通过盒子内部的沙盒环境对简单的未知文件进行快速模拟和判断,将复杂的文件传到云端来进一步分析,再将结果返回。
用户网络安全部署的选择
在了解了UTM与下一代防火墙并无二致的情况下,也仍然有其他因素会阻碍用户的选择。比如越来越多的“融合”产品,应用交付厂商推出的防火墙,Web应用防火墙等等,都是针对应用进行防护的网络安全设备。
高辉:就当前网络安全产品市场的状况,您认为用户在选择UTM或下一代防火墙这类产品的关注度在哪里?如何判断该产品能否在应用安全和性能方面达到需求?
李宏凯:虽然UTM是从安全角度考虑的技术,而NGFW是从应用模式考虑的技术,但是随着NGFW被用户越来越多地驱动,逐渐演变成与UTM相似概念。
NGFW和UTM在概念上会给用户造成混淆。如果用户要保护客户端多一些,那么UTM比较合适,因为UTM是一个非常完善和严谨的安全体系,它覆盖了大部分互联网的混合型协议。若要保护服务器,可能使用NGFW的AV和IPS以及防火墙就能保护安全了,因为使用的协议可能较为单一。其实从用户角度来说,每一个应用场景都是不一样的,同时也要考虑未来两到三年的发展方向。用户要根据自己的实际需要选择产品,无须在意产品形态。
高辉:对用户来讲, 如何区分UTM、NGFW、WAF(Web应用防火墙),还有应用交付厂商的产品中提供的防火墙功能之间的关系和差异性?
李宏凯:安全永远在变化,可能大家都有防病毒、IPS、WAF、反垃圾邮件等等,但是更重要的是有一个团队来保证能够每天关注安全事件的发生,同时保证设备得到及时的更新。如果没有积累和长期关注专业安全领域的经验,很难交付给用户良好的产品和体验的。尽管有很多厂商已经进行了所谓的“融合”,但是很多都只在执行层面,只是有技术去检查数据包,但是并没有提供后台的服务。
另外,网络安全是无国界的,但是在不同国家可能根据当地情况又有所变化,所以威胁防范也要在做到国际化的同时做到本地化。对于Fortinet来说,我们希望尽******的可能来适应本地化的需求,所以我们在中国设立两个研发中心,并且投入更多的资源来理解国内的要求,而且现在对中国市场的理解也加深了很多。所以这样就能更理解中国本土的文化,我们也希望多一些沟通和交流,把这一部分事情做得国际化一些。
谢青:有些时候,还是要通过第三方测试来验证更好一些。现在很多产品可能没有宣称的功能,因此也无法阻挡真正的威胁。对用户来说,他们还是需要通过很好的评测认证以后,才能了解一款产品到底适用与否。所以国内的用户也应该非常重视测试的环节。
高辉:Fortinet最近刚刚收购了一家,做应用交付的公司,是否会在产品上进行整个融合的这种计划?
谢青:我们发现用户很需要负载均衡这个功能或者产品,包括对于防火墙之间的流量,所以还会继续保持负载均衡这个产品。关键是基于客户的需求来不断发展。从公司角度来说,要配合联合网关的长期的策略,所以收购这个公司只是配合我们整体策略,并且希望提供给用户更好体验的产品来考虑的。
高辉:未来几年Fortinet的发展策略和产品研发将会如何布局?
谢青: Fortinet的设计平台是很好的优势,我们结合最好的CPU和软件,可以将最新的功能很快提供给客户。另外,专用芯片会不断地分担CPU的处理任务,所以处理速度会有很大的增长,同时CPU又可以做其他更新的功能,所以这个平台是Fortinet区别于其他厂商的关键所在。
随着互联网的发展,应用越来越多,所以网关需要处理的任务也越来越多。同时网速越来越快而且还在不断加速。作为联合网关,一定是在网络中间进行保护的。如果网关的处理速度跟不上网络的速度,或者处理的应用跟不上网络新应用的发展,就不能提供足够的安全。因此我们在功能上要适合新应用软件的增加,同时处理速度要跟上网络的速度,这两个趋势我们是无办法避免的。
深耕中国市场,大力支持本地化建设
网络安全问题每时每刻都在发生,不仅是数量在增多,其针对性也在加强,越来越多地针对特定国家和地区。因此,网络安全的本地化研究就显得愈发重要,不仅是对于产品自身而言,也是对于扩展市场而言。
高辉:国内的安全市场竞争非常激烈,请问Fortinet怎么看待中国市场的机会?在Fortinet进入中国之后,在产品解决方案和服务的这种本地化方面,都采取了哪些举措?
李宏凯: 在中国市场,我们已经形成了传统的安全格局的概念。用户在采购产品的时候,还是会受传统架构的影响,所以就会给新技术在中国推广产生一定的时延。当然也跟厂商对于技术的教育、推广和用户的接受程度有关联。因此在中国市场就存在用户导向和教育问题。我们觉得这方面做的不够,过多依重于产品技术,而忽略了前端对用户的教育、引导和培训。
应该说Fortinet在中国的市场上走过一些弯路。但是我们今天面临的很多客户还是非常喜欢和忠于我们的产品的,所以今天重新制定我们中国未来发展商业计划的时候,就会慎重思考如何对分类客户进行服务和引导。
Fortinet进入中国这10年,我们从总部得到了非常广泛的知识。Fortinet是一个以用户市场为导向的公司,Fortinet长期保持高速发展的重要原因就是功能都是用户的需求,并且我们将用户需求转化为产品的速度也是行业中相对较快的。在中国很多行业客户上,我们也专门为客户按需定制功能。
在本地化方面,Fortinet在北京和天津都有研发团队。另外,对本土化的理解和对本土客户的支持也是在中国做大市场的关键因素。因此总部一直对中国区有很大的支持,包括继续加强资源投入和支持,以保证在中国的快速发展。
高辉:可否介绍一下Fortinet在中国渠道建设情况,包括今年的渠道策略?
谢青:中国是一个非常大的市场,可能用户很喜欢你的产品,也很接受你的理念,但是如果技术支持和宣传不够的话,其实用户就会逐渐失去信心和支持的力量。所以过去我们在渠道建设方面走了一些弯路。今年重建了我们渠道团队和渠道价格体系,包括新分销商以及金牌、银牌代理商体系,我们也会把中国的渠道建设纳入到Fortinet全球体系内。这样就可以保证交付到中国的渠道政策,具有很好的稳定性和执行力。我相信这对于中国的渠道是一个重要的保证。
在中国这样大的市场,如果没有渠道的大力支持以及信任,我们很难将产品卖到整个国家的各个地方,所以我们对渠道的支持,包括技术培训和市场引导都有一套完整的体系,最重要的是未来提升客户对我们产品的满意度,然后提高渠道对产品宣传的力度从而让更多的用户能真正的体验到Fortinet能够为客户提供的产品和支持。
高辉:无论是国际企业进入中国,还是中国安全厂商走向世界都有水土不服的问题,对国际化和本地化如何结合的更好这方面有何见解?
谢青:互联网是一个全球的网络结构,国外和国内的厂商多一些交流,同时少一些政府保护,这样可能对互联网的安全水平的整体提升会有很多帮助。通过不断的合作和交流,进而不断地改进防护水平是关键。现在互相交流还是比较少。
另外一点,厂商虽然众多,但是没有统一并且很权威的评测机构。有时候厂商认为通过用户关系会做到一些市场,但是整个水平并未达到那个程度,就很难在其他市场做大。所以我认为有一个很全面的全球化的,同时比较公正的测试、评测机构,对用户接受产品也是一个好处。否则用户只能通过本地的一些关系或者政策来进入这个市场,实际上对整个产品的水平提高,没有太大的帮助。反而不同环境下,当失去了政策保护的优势以后,很难进入到其他市场。所以良好的测试手段和策略对互联网安全水平的提升会有很大的帮助。