网络世界大会2012暨第十一届以太网世界大会速记

北京下午分会场三
2012-9-7

主题:第十一届以太网世界大会-分会场3

时间:2012年9月7日(下午)

地点:金隅喜来登酒店三层宴会厅

主持人:尊敬的各位来宾,女士们,先生们,大家下午好!感谢大家选择第三会场。以太兵法,网随云动,又是一个秋天,又是一个九月。网络世界第十一届以太网大会,北上广三地今天正式拉开序幕。今天上午的演讲很精彩,有来自以太网的主席,今天下午的演讲依然精彩。今天下午演讲结束以后还给大家留下了提问的时间,每位提问嘉宾都会赠送一个东芝8GU盘一个。

有请第一位演讲嘉宾深信服科技高级产品经理苏自然先生为我们带来深信服下一代安全体系架构。

苏自然:今天这个会场讨论的是安全,每次一提到安全就会想到一个词叫“保护”。在传统安全行业中或者是传统安全涵盖的范围里面,我们会关注“防”。防护这两个字是不同的含义。虽然现在有很多的技术、很多产品和架构出现,安全架构也要随之改变。我们深信服也会紧紧跟随网络发展趋势,关注下一代网络安全。随着大数据、虚拟化云计算的发展,数据成为企业的核心,这是毋庸置疑的情况。护主要就是防护敏感数据。

首先我们来看一下网络面临的问题。我给出了三个方面的内容,第一个是来自应用层的攻击。网上会传递很多攻击的工具,随着攻击手段越来越丰富、攻击成本越来越低,来自于三层、四层的攻击非常多。黑客会把目标放在更高层面,就是七层。攻击的手段会慢慢地向定向攻击转变,类似于APT。这样的攻击该如何抵御。

BYOD给企业带来了很多价值,提高了员工的工作效率。BYOD的安全如何管控?我们只能对BYOD说yes,同时要让它变得更加高效。

最后一个方面是云。越来越多的云应用出现了,出现的那么多的云应用,是不是它就一定安全呢?云给我们带来了很多不安全的地方,会带来很多其他的泄密通道。我们如何把这个通道锁住,让它为我们提供更好的服务。

黑客的攻击方式,早期就是大肆炫耀,大张旗鼓地攻击。现在更多的是隐秘下来,在无声无息中,可能会观察一两个月的时间。我们的说法是从大张旗鼓到偃旗息鼓。同时,从无序的攻击变成定向攻击。

这边给出了一个实例。这是从下一代防火墙的日志中发现的攻击序列。

BYOD的发展是因为各种各样手持终端的丰富。也就是说那么多手持终端的产生促进了BYOD的演进。同时,在这个终端上有不同的应用。那么多的应用,如何在智能平板上、手机上,更好地为我们带来价值,这也是我们要考虑的。所以,自带设备和远程办公的需求会变得越来越旺盛。

不管是苹果的系统,还是安卓的系统,里面有成千上万的APP。这么多APP飞速的发展,如果我又对BYOD说yes,是否可以通过APP将企业内部的资料或者核心的业务系统,或者是核心数据泄露出去。这个时候就要对APP进行有效管控。在WLAN发展的同时,比如在我的公司中,我的员工通过私接WIFI的方式进行互联网传递,是不是把风险带到了外部?所以我们对WLAN的管控也变得越来越复杂。

这里体现了终端的数据,从不同的行业到保护对象,可以清晰地看出这么多被保护的数据,如果这个时候数据被泄密了,我们可以相信出它的后果。

云有什么泄密的途径?比如我们来看两个例子。第一个就是输入法,会自动上传本地的个性化字库,这就为上传打出了通道。只要格式相匹配,就可以把相关数据上传到云端。同时,各种各样的网盘也可以变成上传的途径。可以把所有的数据保存到网盘里,到另外一个地方再进行下载。这些一些敏感的数据都在网盘中存在,其他的关键数据怎么会不被泄露呢?

刚刚提出那么多的问题,传统的方案是怎么做的?传统方案一般就是从两个方面分析。第一个就是黑客入侵。通过防病毒、防火墙等系统对来自外部的黑客攻击进行抵御,仅仅是四层以下。同时,内部那么多员工往外发数据,又通过什么实现?通过行为管理的网关,通过类似于防水墙、DRP的技术对数据进行处理,但级别也是很低的,并且它的权限、策略不是可以很好地灵活掌控。

目前的这些安全产品能够解决很多问题,我们把这些问题扩大化到99%。还有1%搞不定。剩下的1%是什么?就是我们刚刚提到的那些。小于等于1%的安全该怎么办?刚刚提到的是传统安全,现在我们提下一代。随着网络发展的脚步推出下一代网络产品,更多的关注是下一代安全。

我们做下一代安全的目的主要是达到平衡。平衡什么?我列出了几点。比如我要平衡安全的效果。同时,要平衡用户的体验。要用得很好、很流畅、很顺手。建设成本需要平衡,同时后期的部署,包括运维也要进行平衡。要在那么多选项中去平衡,找到一个支撑点,这个支撑点就是下一代安全架构产生的因素。

深信服的下一代安全体系的核心思路。就像我刚刚说到的,一防,一护。防止外部入侵,护是通过本地的虚拟化加上远端虚拟化的虚拟化技术实现敏感数据的保护。一防加一护就像太极一样,可以很融合地构造一个完整的圈。

在整个下一代安全架构中,我们支撑这个架构的四大支柱是什么?第一个就是以应用识别为核心的行为的合规化。第二个是以单次解析为核心的网关的一体化。再来就是以安全桌面为核心的终端虚拟化和以远程发布为核心的移动智能化。四个支柱支撑下一代安全体系,我会对这四项技术进行详细的分述。

首先我们来看应用识别。我们会有有线的用户,也有无线的用户,有PC,也有智能终端。不管用什么样的终端,这些数据或者说应用都需要进行识别。普通的上网行为管理已经可以有效识别PC上的应用。我们更多的关注移动APP和云应用。

我这里举了一个例子。对网盘的识别要求达到17种,对微博的审计达到8种,包括移动应用有9种,都可以进行强烈识别。比如我现在通过微信进行泄密,数据在传输的时候就会被上网行为管理所控制,可以识别到发送的内容。这样就对数据安全起到了保障。我们将应用识别的终端扩展到了智能终端和普通PC。

针对应用识别以外又推出了两个新的亮点。第一个叫非法外联管理。比如我通过私接3G上网卡,仍然何以发送数据。不好意思,你的上网选项会被设备识别,从而进行有限的控制。还有员工私接热点,比如只有一根网线,我又有iPhone,又有iPad,又笔记本电脑,我想所有的设备都可以上网?怎么办?我们就可以买一个无线的路由器。在识别这个方面可以从三个方面进行分析。

第二个叫做单次解析,更多的是关注多次的拆包、解包。对于传统的网络安全设备,是打补丁式的,它关注的是网络层。在网络层进行关注,用UTM设备将所有的模块进行融合,融合到一个box里面去,通过这一个box进行服务,不管怎么融合,还是基于三层的。基于IP,每一个模块数据进入的时候都会被进行封装。这个动作是一定要发生的,拆包、解包要进行多次。我们将模块进行全面融合。在下一代防火墙中,我们将所有的模块定义到七层。将三层的包打开以后,就可以将所有的内容在模块中进行过滤分析。

同时,模块与模块之间还可以实现智能联动的功能,比如通过WAF发现了病毒,这样就可以进行预警。这时候防火墙模块收到了预警消息,并且把来自于这个原IP的所有信息进行隔离。比如可以设置50秒钟不允许发起链接。通过这样的方式,在WAF、IPS和防火墙模块中进行联动,在网络层对外部攻击进行拦截。

同时,要补充的一点是,我们刚刚提到防护,保护敏感数据,敏感数据在往外发的时候是不是有检测机制呢?这是必须做到的。在下一代安全中这是很重要的一点,我们叫做双向的报文检测,不管是来自外部的信息,还是来自内部的篡改,都可以阻止。让它保证在发布的时候,静态的内容一定是不会在管理员没有确定的情况下而发布出去。

同时,在敏感信息这边,比如身份证号、手机号、银行卡号、社保号等等,这些有规律的号码,可以通过相关的匹配规则进行匹配。比如允许在同一时间段内超过5个同样的规则,我就认为是一次泄露动作,就拒绝这样的动作,所有的数据都没有办法发送。这也就是将防和护进行全面的融合。

第三个技术是安全桌面。可以把它简单理解为默认桌面的镜像。通过本地虚拟化技术调取本PC上面的硬件、软件资源。通过沙盒的方式实现两个桌面之间的隔离。从注册表到文件、进程做到全面隔离。并且可以对所有的外设,包括打印、拷贝、截屏等一系列操作进行权限控制。相对于远端虚拟化,它的最大优势在于轻量级。不需要构建很多服务器就可以实现数据的隔离。同时,不会改变很多员工的使用习惯。当大并发的情况下,也可以有效支撑业务的正常运作。即使文档被泄密了,又怎么样?我们不担心,因为所有流经网关的数据都会被加密存储,只有回到安全桌面的情况下才可以继续打开文件。

这里有三个特点。第一个是双向控制,从默认桌面到安全桌面,从安全桌面到默认桌面之间都是安全的;第二,轻量级,PC只需要100M的内存、10%以下的CPU占用率就可以轻松开启安全桌面,并且所有操作不会影响默认桌面。安全桌面是跟上网行为管理配合使用的,叫做上网安全桌面SD。还有一块是跟后端业务系统紧密结合的我们把它叫做VSP虚拟安全平台。这个目的就在于所有的数据在这里面是被安全保存的;最后就是体验好。因为我们虚拟出来的是跟本地桌面一样的。在员工上手的过程中会变得非常简单。

这里给出的是隔离的原理图。左边是带有安全桌面的从应用程序到真实系统的架构。右边是我们真正使用的操作系统和应用。给出了三个操作,一个是文件的读写,第二个是恶意的操作,还有一个是网络或者外设的支持。

我们看一下分别给两个不同的桌面,会有什么区别。首先,在默认桌面中,操作都是可以的,通过操作系统的权限进行全面管理。同时,在安全桌面中,可以进行全面隔离。因为它是一个镜像。这个镜像就可以将所有的数据进行加密的保存、权限的控制、网络的隔离,做到安全的监管。

第四个技术,我们把它叫做远程应用发布。在终端服务器上肯定有很多应用程序,比如我现在想用苹果手机、安卓的系统访问word、notes,怎么访问?基于windows架构的应用,如何在跨平台的时候访问?很简单,就是应用虚礼化。通过在服务器上开启虚拟机,以虚拟机为模板将桌面进行推送,这可以很好地解决问题。同时,我们可以给出一样效果的。可以平衡整个产品的价值或者技术价值。我们怎么做?我们不需要在后面建立大量的服务器,只需要把我想发布的应用程序安装到一台终端服务器上。在终端服务器前放上SSLVPN设备,可以构建一个模块,用于远程的应用发布。只需要在服务器中安装一个代理,这个就可以有效地将应用程序进行发布。

发布效果是什么?从终端上下载的数据全部都是应用程序窗口的截屏信息。也就是说真正的数据还是在服务器端,跟终端没有任何关系,可以仅当做显示器在显示内容而已,这是下行流量。上行流量全部都是屏幕刷新,包括鼠标、键盘的操作。我们将远程应用发布定位为安全、快速的、好用的。用iPhone、iPad除了文档,那么小的图标,该如何找到,并且有效点击到它,并进行定位。这就是在应用层面做到的体验。

就是因为那些技术、产品和解决方案,我们就推出了下一代的安全逻辑架构。其实就是从终端业务安全到边缘业务安全,最后到数据中心。我们连接的是用户和业务系统。也就是说我们的整个下一代安全体系架构目的就是把用户和业务进行紧密联系,联系的是人与人、人与业务。这中间就涵盖了我刚刚提到的产品以及相关特点。

把这些技术、产品带到场景中,又可以分四个场景来看。第一,上网场景。通过安全桌面可以实现网络互联的安全隔离,并能够通过下一代管控机制来识别云应用、手机上面的移动APP以及传统的普通APP、PC应用。所有这些都在上网场景中进行全面的体现;第二,核心。通过VSP能够实现数据的安全传递,并在安全桌面中使用的操作不影响到本地。同时,所有的权限管理可以在安全桌面中进行有效的控制;第三,移动场景。通过跨平台的访问,可以实现远程PC或者是移动设备之间进行全面的融合。同时,安全桌面还可以与远程应用发布进行结合。比如说现在异地办公,从深圳飞到北京来,在北京的分公司里面,比如通过SSLVPN拨入到内部网络以后,可以在SSLVPN中间开启安全桌面,访问深圳的核心业务系统。这就确保所有员工在同样的PC环境下,在任何一个地方访问的安全性,所有数据在内部都是被加密处理的。移动办公的人员就可以通过远程应用发布实现直接的数据获取;最后一个就是发布场景。这个发布场景不是移动的远程应用发布,而是更关注外部应用发布。对企业来说,可能有很多外部业务,包括门户和交易。这样的应用如何发布,对它进行保护,就要提到下一代防火墙。通过双向的检测,包括智能的识别,通过这样的融合,模块之间的联动,就可以有效在发布场景中安全抵御、安全防护,并且做到相关的流量控制,确保整个业务发布系统在发布过程中的安全性和可靠性。

将整个体系架构进行融合,屏弃了终端服务层,将大量虚拟化的服务器进行丢弃。通过设备之间的配合和融合,并且在不同的场景下,在不同的位置部署不同的设备,实现所有的功能。比如说内网办公人员的安全桌面,上网的、访问内部核心系统的。移动运维人员之间的虚拟化的远程应用发布。并且,为员工进行云存储,所有数据都放在这个平台中间。不管是移动办公,还是通过本地办公,都可以有效获取数据。这就是整个架构的应用场景。

我们人一位下一代安全架构的出现是必然。对黑客来说的高利益驱动,加上新技术的产生、网络发展的变迁,再加上富应用的涌入,再加上网络架构的革新,下一代安全是必须,也是必然的。

价值在哪里?我们要提的是五个方面。第一,加固安全的防护效果,实现端到端的隔离。隔离对于企业来说是非常之重要的。我们认为终端的风险是没有办法避免的,如何确保终端的隔离?我们又不想用物理隔离,又不想用高昂的应用虚拟化和桌面虚拟化。我们就要实现这样的隔离。在安全的过程中还要谈的一点是体验,不能光谈安全,不谈体验,打开一个网站的速度太慢或者实现一个操作非常的困难。同时,要简化后期的运维部署。最后就是整体的TCO的降低。

下一代安全体系架构跟深信服有什么关系呢?这就要看我们公司的定位。深信服的定位是类似于基础设施供应商加上业务内容供应商,我们把自己定位在应用层网络的设备提供商,我们更关注应用,可以对应用进行很好的识别,做到双向的管控,可以做到在应用层面,网络层关注不到的事情。

安全不能单一而行,我们会配合优化,加上管理,一起构建一个更加庞大的网络,或者叫做更加庞大的解决方案。我们把这样的解决方案叫BDN。下一代防火墙单次解析架构的体现,第二代上网行为管理抛弃了普通传统行为管理的特色,加入了安全桌面以及对各种终端和应用的识别。通过虚拟安全平台VSP可以实现防泄密的安全桌面。通过SSLVPN,能够实现远端虚拟化或者叫做远程应用发布。将安全跟优化、管理进行统一的整合,那就是BDN,我们把它叫做业务交付网络。也由于让业务更安全,让用户体验更加好。这涵盖了我们所有的产品线,并通过统一架构进行全面管理,让用户和业务能够进行紧密沟通。这就是BDN的价值,也是深信服的优势所在。

在第二会场,有我的同事基于另外一条的优化线进行分析。我今天的演讲就到这里。谢谢大家!

主持人:确实是,无论是使用云计算也好,还是移动互联也好,还是大数据也好,安全问题始终是用户最关注的,苏总请留步。今天全场都是有奖提问。如果哪位观众有问题,可以积极地问我们的嘉宾,我们会送出一个东芝的U盘。

提问:您刚刚提到下一代防火墙整合了很多功能,它向下演进的话,独立的IPS还会不会存在,跟当前的UTM来比的话,以后的UTM市场还会不会存在。

苏自然:这个问题很深奥。我只是说一下我自己的看法。UTM为什么没有那么好的发展,没有演进,就是因为它的架构问题。就像我刚刚提到的,它的所有模块之间都是在三层进行工作,并且模块间不能进行很好的联动。下一代防火墙的出现就是为了改变这样的架构。我们把所有的模块体现在应用层,在七层做全面的分解。也就是说数据进来以后,被第一次拆包了,所有的流量都会在模块里面进行过滤。这个时候就会大大提升设备的性能。再加上传统的网络设备,它们之间的联动是很不好的。特别是异构的平台。在异构平台之间,防火墙也好,IPS也好,WAF也好。如果设备遭受到一次扫描或者是攻击,我会立刻通知其他设备,在这种管理方面,包括思科或者很多大牌厂商也好,他们做得都不会很优秀,而且会停产类似的产品。在下一代防火墙中,我们突出的是模块之间的联动。也就是说模块遭受到一次什么样的攻击或遭受到什么样的扫描以后,我会立刻通知防火墙模块,从最底层,将数据进行隔离,或将你给我发起的链接断掉。

以后传统的防火墙还有没有?我还真不好说。因为下一代防火墙只是提出的概念,我们也是紧跟着这个步伐进行演进。相信以后大融合的box一定是更加的高效。

主持人:因为时间的关系,我们只提供两个提问的机会。

提问:您刚才讲到的安全沙盒是什么意思?第二个问题是下一代安全产品只解决1%的问题。现在所有的安全问题基本解决了,依据在哪里?99%的问题都解决了,剩下的问题只有1%了,理由在哪里?

苏自然:首先我解释一下安全沙盒。可以把它想象成默认操作系统的镜像或者是克隆。是通过重定向的方式放在本地操作系统,比如C盘的某一个文件夹下面的某一个文件夹下的某一个文件夹下。这个文件夹是非常深的,同时被严格加密。普通用户在默认桌面是没有办法打开这个文件夹的,但所有的数据做重定向。第二,从网络层面和数据层面进行隔离,通过各种各样挂钩的方式进行实现。从而不能用各种手段来绕过安全桌面或者是绕过沙盒进行数据的传输。如果通过杀进程的方式或者通过其他的方式绕过,安全桌边会退出。退出以后就相当于什么东西都做不了。这就是安全沙盒的定义。可以把它想象成原来小时候玩的画板,写完了以后一拉没有了,还可以继续写。

刚刚我提到了99%的安全在传统安全上都可以体现,还有1%,其实这是夸大的说法。这1%里面包含的很多。因为传统的安全在三四层已经做得非常好。在三四这两层,传统安全基本可以抵御所有外部的攻击,包括流量。内部的防泄密系统对数据的防泄密做了很多功能,只不过要进行平衡。1%更多的是关注所有的产品、技术点和需求之间的平衡。也就是通过这1%实现整个体系架构的完善。

主持人:再次感谢苏总。今天除了有奖提问环节,在所有三场演讲结束以后还有乐Pad的抽奖活动。

现在我们有请第二位演讲嘉宾,思科高级安全顾问徐洪涛先生为我们带来的新一代数据中心安全设计。

徐洪涛:大家好!我今天想跟大家分享对于数据中心安全方面的考虑。思科做了很多下一代的数据中心,在数据中心的设计当中,安全也是用户考虑的关键点。

对于什么是数据中心?各位已经很清楚了。我可以把数据中心看成高带宽、大容量的资源池,用户需要服务的时候就可以直接到这里取。比如租用1G的网络、10G的硬盘空间、应用空间,我们收取一定的费用。不要这些资源的时候,再退给我,我还可以把这些资源租给别人。

在云数据中心还有可衡量服务的概念。我卖给你服务,你需要网络服务,需要应用服务,还是需要安全服务等等,实际上都是可衡量的服务。

从云数据中心的部署架构来讲,有三部分,IaaS、PaaS、SaaS。目前主要部署的云数据中心有几种,第一种是Private center,还有混合式的云数据中心。

现在来看,云数据中心是用户关注的热点。就这个热点来看,我们简单回顾一下数据中心的发展历程。最到的就是几个服务器,一个服务器上装一个应用。随着服务器性能的提升、虚拟化技术的出现,出现了所谓的虚拟化数据中心,一台服务器可以装多种应用,通过自动化的方式来配置应用。同时,也支持移动。当某一时刻一个应用在服务器1上,可以通过一些技术把它迁移到服务器2上。很多企业的数据中心都是处在虚拟化的阶段。第三种就是云数据中心,是多租户、按需分配的数据中心。

多种类型的数据中心在目前的网络环境中都是存在的,需要一致的安全策略来保护数据中心的安全性。

云数据中心安全架构的基本要求。从用户的角度,需要高性能的数据中心,需要高弹性的数据中心。所谓高弹性,就是资源是否可以按需分配,可以按需提供服务。从安全角度来讲,用户也需要端到端的安全,同时需要服务质量的保证。这就需要在做数据中心安全的时候遵循几个核心要求。我列出两个方面,第一方面是从安全防护的角度需要进行不同资源的隔离划分、访问控制,进行威胁的防御。

从与数据中心的贴合性来讲,做安全解决方案要与数据中心有很好的贴合性。第一是要有很好的性能。第二是虚拟化。

接下来我会介绍这几个方面,包括思科的解决方案的具体做法。我们先来看一下访问控制,就是所谓的隔离和控制。

从隔离的角度来看,我们有多种隔离技术,为什么需要隔离?因为有控制的需求了,才需要隔离开。隔离开以后才有这种技术,能控制相互的访问流量。我这里讲到的基本都是业界通用的技术。第一个是基于计算的Fobric隔离;第二个是基于网络的隔离,比如我布两个物理隔离的交换机;第三个是通过安全设备的隔离,防火墙是最主要的安全设备。可以通过状态检测的防火墙或者是防火墙的虚拟系统或者是通过VPN进行隔离;第四种隔离技术是业界比较新的隔离技术,是基于情景感知的隔离技术。

基于计算的Fabric隔离是在服务器上做的。基于网络的隔离是在网络基础架构上做的,比如路由交换。基于安全设备的隔离比较多,像防火墙。

接下来我们来看数据中心网络隔离的模型。在各位的脑海里都有一个想法,要做数据中心的网络安全解决方案,需要在网络当中买IPS这样的安全设备。实际上在买安全设备之前,第一步要做的是对数据中心进行很好的网络隔离规划。只有将不同的应用、资源隔离好了,以后才会有真正控制的可能。根本没有把几个应用在网络上分开,想进行控制都是天方夜谭的事情。所以第一步要有很好的数据中心网络隔离。

从技术角度有虚拟交换的技术,也有虚拟路由转发的技术,也有VLAN的技术,也有PVLAN的技术。一个虚拟交换里面可能有多个虚拟路由转发模块。这种逻辑隔离的架构可以让我们更好地设计网络,比如在这张图中,中小租户的网络可以给一个虚拟的交换机,下连很多虚拟的VLAN等等。大企业给一个单独的VDC或者单独的WAF。通过这种技术,不同的用户可以进行隔离。同一个租户,下面不同的应用,也有隔离手段将网络资源隔离开。隔离也可以有防护,安全产品也可以进行防护。

进行网络隔离以后还需要安全的隔离。有物理的安全设备。还有虚拟的安全设备,虚拟安全节点的作用就是当某一时刻,比如在大型的物理主机上放了十个虚机,互访的流量在虚机内部完成。可以在虚机上装一个虚拟的服务节点,直接在虚机上进行内部流量的沟通。有两种做安全隔离的方式,物理设备、虚拟节点,分别应对不同的场景。

安全隔离必须跟企业数据中心的运营模式息息相关,不能为了安全将数据中心的运营模式打乱。所以说安全隔离也必须与弹性业务进行紧密结合。也就是可以提供按需的安全性。这边做了安全,可以做到某些用户不需要安全。也就是说将安全的隔离做到虚拟化的设计。不同的人,不同的租户或者不同的应用,可以提供不同的虚拟安全服务。

谈到安全的隔离,还有性能的问题。大家都很清楚,安全设备的性能比网络设备的性能差很多。现在高性能的网络交换机、核心交换机可以达到几个P,安全设备可能还是在G级别。

怎么选择安全设备,选择安全设备的时候,性能指标是一个方面。同时,要根据数据中心的真实流量来决定安全设备在这种真实数据流量情况下依然可以达到真实的指标。我这里列出了模型。有了流量分析以后可以更好地选择安全设备。

如果性能要求足够大,不能用单台设备满足的时候,可能还有另外的解决方案,比如说性能扩展技术、弹性的性能服务。这里的图是cluster技术,可以做成一个集群来增加网络的转发能力。很多设备都可以提供集群技术,包括交换机、路由器等等。从安全设备来讲,目前看到的很多集群技术使用的手段都是某一台设备做主,由它分配流量,性能的提升还是有些问题,没有做到线性的性能提升。

思科现在推的这种性能扩展技术充分考虑了网络性能的要求,对性能扩展技术应用的负载均衡设备是用前端交换,可以将流量智能分担在多个防火墙设备上。当某一个防火墙设备失效的时候,在其他的防火墙上都有备份信息。这种技术提供了很好的弹性,比如一个防火墙是10个的时候,当网络需要20G带宽的时候,加两个防火墙。网络提升了,需要30G,只需要再加一个防火墙。

最后我要介绍一下基于情景感知的隔离。这个技术是比较新的技术,在一些用户的数据中心和园区网中都应用了这个技术,这是针对现在的无连接网络和云数据中心的趋势下推出的新技术。所谓的情景感知就是我需要了解这个终端所处的情景,包括什么人在用、属于那个组、终端是不是健康、用什么样的设备、IP地址、接入方式是怎样的,或者证书,到底是公司颁发的,这些所有的信息我都要拿到,再根据这些信息进行安全的分组。以后所有的安全策略都会基于这个安全分组来做。我要基于用户的安全信息进行安全分组,这些安全信息要体现在网络架构当中。

首先看一下安全分组跟传统的网络控制的区别。有了这种安全分组的概念以后,可以根据用户的不同特性分到不同的组里。对资源端,也可以做到不同的分组。如有OA服务器、BOX服务器,都可以进行分组。比如一个老板分到安全分组1,他要访问HR服务器,也是分组1。这就是所谓的基于安全分组的防护。

基于安全分组的防护控制是怎么跟网络架构联系在一起的。我给访问的人打上一个源标签,给访问的资源打上目的标签。就像我是徐洪涛,我带着我的身份证,上面有身份证号作为身份的标签,我要买东西的时候,要进哪个门的时候,拿着身份证去刷卡。有了这样的隔离以后,以后的网络不再是基于IP的路径,你看到的可能是源标签是10,目的标签是110。你在交换机上写APR的时候就很简单可以写源标签10到110是允许的。整个网络已经不再是IP的网络,而是基于情景感知的标签网络。有了这种设置以后,不同的标签即使在一个VLAN里,它们之间也是不能互通的。这种技术在很多用户的数据中已经有所使用。整个网络基础架构也是网络安全解决方案中很重要的一部分。不是说要做网络安全方案就一定要买安全设备。网络基础架构是很好的网络安全执行点。

数据中心安全也有自己的虚拟化设备。现在讲数据中心,大家都讲虚拟化,安全离不开。因为网络虚拟化、服务器虚拟化,整个安全架构会出现问题。从安全产品的虚拟化来讲也是必须要做的。

首先可以做到一虚多,一台设备虚成多台,这样可以节省成本,同时可以一机多用。

第二种技术就是所谓的多虚一技术,可以把多个安全设备虚拟成一台设备。谈到网络设备的多虚一,各位有所耳闻,像思科的65交换,这些技术可以把多台设备当成一台设备落看。从管理的角度,8台设备当成1台设备来看,只需要统一的配置就可以了。另外也可以规避很多的网络设备的缺点。

另外一种虚拟化是在虚机当中部署虚拟安全节点。现在越来越多的应用都用在虚机上。一台物理主机上可以有多台虚拟主机。像这个例子,有3台虚机上跑不同的应用。利用虚拟交换的技术,我可以认为这三个物理主机相当于一台交换机的三个线卡。第一张线卡上有6个接口,第二张有6个接口,第三张有4个借口。同时,在虚拟交换机上还可以运行虚拟的安全服务。这些防火墙与传统的网络防火墙相比有一个很大的特点,就是不再基于IP地址的控制,可以基于虚机属性的控制。比如租户1的虚机都带着租户1的名字。这时候写防火墙策略就没必要写IP地址到IP地址。这样的部署起来就会很简单。某一时刻如果发生虚机飘移,甚至用户将虚机的IP地址改掉了,防火墙设备不需要做任何的改变。

如果有些应用要进行加密的传输,保证敏感性,我们使用的就是VPN技术。可以对外提供VPN服务,对企业1的用户单独提供通道,直接打到企业1的资源当中。对于企业2的用户,可以单独提供一个通道,打到企业2的资源池里面。实现安全的远程访问的虚拟化设备。如果有些业务需要对互联网开放,又想一机完成多个租户或者多套应用系统的对外开放,就可以通过虚拟化来进行操作。

前面讲的基本上都是隔离,隔离和访问控制是数据中心安全解决方案中最为重要的方面。接下来我简单介绍一下威胁防御。数据中心面临很多恶意的攻击,或者是非授权的访问,或者是不经意的攻击等等。黑客有可能没有太多的商业利益,他就想显示一下技术,也可能网络犯罪从数据中心拿走敏感资料,来获取商业利益。也可能有有组织的犯罪,或者是心有恶意的员工攻击数据中心等等。实际上威胁防御主要是针对这些,可以说是不好的东西,含有恶意行为的数据包。

从智能威胁防御来看,传统的网络安全设备是依然适用的。目前业界的发展趋势是传统的网络安全设备要跟云安全服务结合在一起。什么是云安全服务呢?现在很多公司都可以提供云安全服务的概念,就是在互联网当中设计一个云安全服务中心,这个中心会维持着全球的威胁库,这个库可能有很多类型,比如像垃圾邮件的发送、僵尸网络的控制者的地址或者说恶意攻击者的地址等等。网络设备可以定期对这些数据进行更新,并进行实时的攻击防御。这是传统的网络安全设备工作的同时进行的智能防御。对思科来讲可以做到3分钟一更新。还有一种云安全服务是真正的云安全服务,把流量送到云中去进行清洗。

我们简单举一个例子,利用智能威胁库和情景感知来进行威胁的识别和缓解。这是入侵防御的IPS,大家对这个技术不是很陌生,实际上就是攻击的检测与防御。第一个是怎么样定义IPS策略,实际是基于情景感知的策略。可以基于不同的用户来部署相应的情景感知策略。第二个是在线的关联技术,可以通过上下一段时间的行为来决定这个行为是不是恶意的。第三个是情景感知的风险分析,当我感觉出有攻击的时候,我要看一下到底是什么样的情景。包括这个人有没有前科,他的信誉度如何,操作系统是不是对的。他攻击的资产价值到底有多少,如果是攻击一个可有可无的服务器,也可以不用采取太多的行为。

云数据中心的解决方案主要提供的技术就是安全隔离、威胁防御、行为可见。怎么样做到行为可见,就是所谓的情景感知技术,通过情景感知技术对网络的流量、用户有一个全面的可见性。有了情景感知技术以后,利用安全隔离和访问控制技术进行不同应用的访问控制或者是对非授权访问的控制。对深层次的访问,利用威胁防御技术,可以做一个基于云安全架构的安全设计,可以保证数据中心可以抵御最新的攻击。

谢谢大家!

主持人:徐总对云数据安全进行了详细分析。我对您刚才说的安全隔离与弹性业务非常感兴趣,真的能做到按需分配吗?因为很多用户使用虚拟化最主要的需求就是按需分配。

徐洪涛:思科有很多经验,在很多运营商的服务中,按需的安全服务是必须的要求。

主持人:下面的时间同样留给下面各位进行提问。

提问:情景感知是不是基于cookie的技术?

徐洪涛:情景感知技术对思科来讲包括多个范畴,它可以基于身份、设备、应用等等。思科的设备都可以做到情感感知,比如ISE,它就可以感知到身份、位置、设备类型,思科的防火墙也可以做到情景感知,与cookie没有太大的关系。

提问:云中心的数据隔离有四种措施,我想知道起作用比较大的是哪一个措施。因为在我的印象里还是防火墙起的作用比较大。

徐洪涛:现在用的比较多的是两个部分,一部分是安全设备的隔离,另外就是网络设备的隔离。

主持人:再次感谢徐总。

下面有请最后一位演讲嘉宾,来自网康科技有限公司高级市场经理严雷先生为我们带来的应用识别与下一代网络安全。严总演讲结束,回答完问题以后将进行抽奖环节。

严雷:大家好,我是来自网康科技的严雷。很荣幸可以跟大家分享我们对于下一代网络安全的看法。也很感谢会议主办方能够把压轴的位置留给我。

我今天谈的内容比较简单,可以分为三个方面。首先介绍一下移动互联网给我们带来的安全挑战。然后要介绍应用识别技术。最后讨论一下下一代网络安全。我们认为什么是它的重点。

首先跟大家分享一些数字。根据CNNIC最新的一次报告显示手机网络的终端用户达到3.88亿,首次超过台式机的3.80亿的用户,已经成为第一大的上网终端。我认为这是具有里程碑意义的数字。

在此之前,移动互联早就有了,从2G时代就可以上网,3G时代以后,用手机上网的人越来越多。但是,我们认为它始终是对于固网的补充,现在来看不是这样。应该说移动终端已经成为第一大上网终端。当我们考虑未来互联网的时候,首先应该考虑的是移动终端,而不是固网。

下面几个数字可以作为补充,大概有1.7亿人用手机上微博。我相信这个屋子里的人都至少用手机发了微博。有大概2500万人用手机看视频,有4000万人用手机进行支付。如果手机在过去作为发短信、打电话的工具,它的安全不能引起那么大的重视。现在居然有4000万人进行手机在线支付,有真金白银跑在你的手机上。可想而知,安全已经变得非常重要。

我在8月份参加RSA大会的时候,得到了来自因特尔的数据。到2015年的时候,全世界将有150亿台设备互联互通,大概每个人的身上平均有2、3台设备,你的笔记本、Pad、手机,都会有IP地址,通过移动的方式进行互联互通。

除了设备上的互联互通之外,移动设备上的应用也有爆发式的增长。苹果的APPStore大概有65万的应用。据分析,安卓市场的应用增长还要超过APPStore。

我刚刚提到的场景,似乎给我们描述了一个比较美好的世界,我们有越来越多的自由,越来越多的设备,设备上也有越来越多的应用。但是,从这张图来看,事情总是有两面性,移动互联也是一把双刃剑。

大概是在四年前,我们的IT还是非常自信的部门。就是再一个企业的整个IT架构里面,一切都是在它的掌控之内,无论是Device,还是操作系统,以及操作系统上的应用,都是在IT之内。我自己还是有体验的,我原来在公司的时候,公司发的黑莓手机是没有权利在上面装应用的。我要向公司的IT部门进行申请,IT部门把应用推到你的手机上。很简单,这台手机是公司买的,公司要对它有百分之百的掌控。但是,到今天,事情不一样了,现在在手机上装的应用,IT部门都是不能控制的。我刚刚提到的几十万种应用,可以随便下载、安装。谁知道这些设备的应用里面,哪一个有木马,哪一个有黑客,对于IT部门来说,这些不能掌控的是最大的苦恼来源。

事实上,正如IT部门担心的那样,移动终端已经成为黑客攻击的主要对象。2011年,手机上大概有将近5万款恶意软件被发现。相对于2010年,只有6000多款,仅仅一年之间增长了367%。相对于2009年,更是翻了5倍左右。不仅是一个安全漏洞,而且在快速增长。

2011年,大约有1800万台安卓设备被感染,其中有三分之一在中国。我估计在座的各位,已经有10个人的手机被感染了。

我们认为应用识别应该是下一代安全的核心技术。刚才我已经说了,65万种应用,每个月2到3万种,平均到每一天是好几千种应用。每天都有零的应用的诞生。对于IT部门来说,必须有办法认识它。比如在企业里面装一些上网行为管理或者是其他的流控软件,估计会有三分之一左右的unknow应用。比如一个QQ聊天,你认为是安全的,或者你认为facebook是安全的,但它是平台级的,它可以触发很多的子应用。目前来说,很多的号称有应用识别能力的设备,基本上只能识别到平台,却没有办法对它的细腻性进行更加清晰的判断。对于未来来说,这个是不够的。

刚才几位掩盖嘉宾多少也提高了,目前的攻击方式发生了变化。过去的攻击有点像千军万马、大张旗鼓,围着你家门口就要攻进去。你放一个防火墙就可以防住。现在不是这样。现在的攻击像是一个刺客,单枪匹马,穿着夜行衣,身背宝剑,夜深人静的时候偷偷摸摸就混进来,根本没有那么大的流量,混在很多的正常应用之中,可能是一封邮件,就是点击的那一下,你就中招了,直接在手机上埋一个木马。然后再跟宿主进行沟通,从内部进行攻击。所以说现在比较要有对平台级应用进行细腻管控的技术。还有是层出不穷的逃逸技术,我们一直想办法应对。但是,矛和盾总是交错发展。这些攻击者也是有一些应对措施,比如加密。再怎么能应用识别,我把自己加密了,你还能看得见我吗?你看不见我,又怎么识别我?还有流量变形,刚才大家替大的DFI技术就是通过流的特征识别应用的技术。一般来讲,我们看一个流量,它都会有一些特点,比如一些包是长长短短,只要符合特征的,我们认为就是这种应用,可以把它识别出来。但是,现在有流量变形技术,有些应用不想被识别。比如像P2P应用,占用了大量公司带宽,识别出来以后可能会被禁止掉。这个应用不想被禁止怎么办?它就会动态变形。也就是说可能这一次是长长短短,下一次就是长短长短。你根本就无从认证它是不是这种应用。也就是这种应用已经没有了固定的流量特征。还有一些代理和端口跳跃,都是叫做逃逸技术。

在下一代的网络安全里面,一定要有办法,针对我所说的这些技术,对它进行应对。不管它用什么样的办法,我们还可以对它进行管理。

提到这一点,我就想介绍一下网康公司。网康公司建立于2004年,我们发布了第一台硬件上网行为管理产品。跟刚才思科提到的情景感知是类似的。我们可以很好地识别网络应用,不仅进行应用识别,还可以进行内容还原,对网络有一种透明的观感。我们又相继发展了几条产品线,都是围绕应用层技术展开的。

我们为什么把应用层技术作为核心技术呢?这里有我们的核心思考。我们认为客户关注的是什么?客户关注的是网络承载的价值,是它的作用,而不是网络自身。所以说我们一直是从客户的角度来定义我们要做的产品。我们认为网络究竟可以做什么。在网络刚刚开始发展的时候,我们想到的它可以连起来就可以了,发一些邮件就可以了。当我们互联了以后,我们希望它越来越宽、越来越快、越来越智能。就像我们修马路一样,过去没有马路,有一条羊肠小道就可以了,现在我们要修越来越宽的大路。北京已经证明了,路修得再宽,它一样堵。因为没有考虑这条路承载的功能是什么。我们认为下一代要变一种思维,我们要考虑网络的功能是什么。所以我们要从上面这个层次来看,要从人,要从内容、应用的层次来看待网络。

我们的产品线基本上围绕着应用层技术。上网行为管理就是要管理应用。比如说有人对上网行为管理持负面印象。不知道大家是不是知道戴明博士,他提出精细化管理。他拿着一块秒表,到制造业的工位上,看你做一个活要多长时间,通过精细化的管理手段,设置一些工作流程。比德德鲁克谈到了MBO、人性化。但他们都是基于一个基本的假设,基本上都是在制造业,基本上都是以体力劳动为主的行业。

但是,现在已经不一样了,现在很多的都是智慧劳动、高智能劳动。比如研发中心,一两千人坐在那里,怎么对他进行管理呢?你知道他在干什么呢?没有办法。因为我本身也是IT业界出身,IT业界是没有加班费的。为什么没有加班费呢?因为根本就无从衡量你在干什么。我们只能计件。我们认为管理不应该是这样的。我们应该给管理提供更多的线索。在过去来讲,在制造业可以拿着秒表,可以计件,现在我们应该能够提供更多的线索。

流控也是基于应用的。我们是基于应用的,我们没有定义从哪一个IP来的更快。我们定义哪一种应用应该快一点,哪一种应用应该慢一点。公司的核心应用,要留下足够的带宽。上网的P2P的下载,即使允许下载,也要限定在一定范围之内。甚至还要进行更精细的划分,我们一般划分到三级通道。

安全网关是接入应用。今天我听到最强的声音就是云计算,云计算使网络边界被打破了。现在有一个很流行的词是无边界网络。你在任何一个地方都可以访问公司的网络资源。但是,这也带来了安全的考虑。我们必须要对公司的资产进行保护,所以我们称为接入你的应用。

在这里谈下一代防火墙产品,我非常荣幸,应该是我们公司第一次在公共场合谈及下一代防火墙产品。在以前,是我们在内部的研发,并没有发布出来。但是,到今天是一个时候向大家介绍它。我很荣幸地跟大家说,我们将在10月中旬,在北京举行盛大的下一代防火墙产品发布会。

下一代防火墙产品仍然延续了我们公司一贯的技术哲学。我们仍然是从应用的角度进行安全方面的思考。

我们认为下一代网络安全,一定是以应用识别为核心技术,要前面洞察网络流量,并且具有高度集成的特点。

为什么一定要以应用识别技术作为核心。其他的演讲嘉宾也已经提到了,应用识别技术在下一代安全里面扮演了最基础的角色。如果网络流量不能足够透明就没有办法管理应用。我们谈到了主动防御的策略。什么叫主动方略?就是要具备网络的识别能力,不能存在未知的东西。识别以后,再配以其他的安全策略。

这就产生了两个更细小的要求,一个是必须有足够大的应用特征库。刚才我谈到那么多的应用,一些专门生产应用识别特征的厂商,它的生产效率是什么样的?基本上每个月发布一到两次应用特征库,每次几十种。可以说是巨大的反差,巨大的不匹配,基本上跟不上网络发展速度。网康公司用一系列比较先进的技术,每周可以做到两百到三百种。应该说跟实际需求还是有一定差别,但跟过去相比已经是大踏步的前进,而且提升了两个数量级。还有一个数字要指出,就是80、20原则,那65万种不可能每一个都装在手机上。我们都是选择普遍下载、普遍安装的应用。

还有就是足够细粒度的应用识别能力。现在很多应用都把自己做成平台,这似乎是互联网发展的方向。现在还有一种叫做open,一种开放式的心态。每个人都把自己的API开发出来,比如像新浪的微博。希望大家在它的平台上开发很多种应用。这些应用对于我们来说,既是方便生活的帮助,也是安全的隐患。所以必须有足够的细粒度的识别能力。

还有一些是我刚才提到的全面洞悉网络流量,什么是主动的防御策略?用一句网络术语,有所谓的黑名单和白名单的说法。什么是黑名单呢?就是在名单上的不让,其他的都让过,这是被动式防御。什么是主动防御?就是设置可以过的,其他的都不让过。在过去,我们基本上都采用黑名单的办法。由于应用识别能力的不足,允许通过的应用里面还有一些不认识的威胁。特征库每个月只更新几种,怎么可能识别所有的威胁呢?也就是不能前面把控网络的流量,是不透明的,有大量未知的应用。

在新的下一代安全的时候,我们要给IT部门提供一种能力,一定能看清楚每一个流是怎么回事。为什么能做到这一点?就是基于应用的识别技术。我们可以采用白名单。这么多的应用,不仅仅是私人应用,很多人已经在用QQ谈工作,在用MSN聊商务的事情,不可能把这些应用都禁掉。如果识别能力不够,是不可能采取白名单的。在下一代安全领域,一定要有能力让IT部门采取白名单的形式,只有允许的才能通过。

最后介绍一下安全技术的高度集成。刚才也有一位同志提到了UTM。它的问题是什么?主要就是因为它不集成。体现在两个方面,第一个方面是它的引擎不集成。用过UTM的人都知道,里面有很多安全模块。还有就是它的数据不集成。因为它的引擎不集成就导致了数据的不继承。也就是我处理完的东西,我自己知道,但没有办法让同一设备里面的其他安全模块知道。

在下一代安全识别技术中一定要可以引擎集成、特性集成、数据集成。安全特性不是分开的,一定是配在一起的,而且数据一定是共享的。如果从上面看的话,可以看到这个应用从哪个包来,ITS策略是什么、杀毒策略是什么、外部防护策略是什么。只有这样才能给IT部门的管理者提供很好的视角。

移动互联时代给我们带来了革命,同时也带来了很多安全隐患。安全业界已经到了向前发展的时候。下一步一定要以应用识别作为基础。这就是我今天想跟大家分享的内容。谢谢大家!

主持人:感谢严总精彩的分享。

下面同样是提问时间。

提问:我想请问一个问题,刚才您提到一个说法每周可以更新两百多个应用。为什么你们可以做到呢?

严雷:这个问题很好,这显然是属于我们的商业机密范畴。我们为什么可以做到呢?我们在实验室里面有一套申请了专利的特殊技术。我们会定期浏览APPStroe和安卓市场,分析下载量、使用量最大的应用。同时,也会参考网康设备在用户那里捕捉到的事实情况,什么样的流量是我们捕捉不到的,未知的是哪些。对于侯选的应用,识别出来以后,我们自动下载下来,然后自动安装到移动终端上。我们的实验室里面有Pad、Phone。在运行的同时,我们在另一端捕捉它的行为特征。然后对这种行为特征和应用之间的关系再进行验证,也就是是不是这个特征一定能够识别这种应用,是不是这种应用一定能够产生这种特征。然后我们就可以做成一对一的特征库。整个过程都是自动化的。就是基于这个技术,我们可以做到每周两百到三百个的更新。

这里只有一步没有做到自动化,如果做到自动化,我们甚至何以跟上APP的发展速度。就是运行这个程序没有做到完全的自动化。因为它是全球的开发者开发出来的,每种应用真的是千差万别,我们真的不知道怎么用自动化的程序操作它。这一部我们也在研究如何使它自动化起来,我们也跟台湾的公司合作。总之,我们是通过专利技术来大幅度提高应用识别能力,才能拿到业界最大的应用识别库。

提问:现在很多手机都可以显示地理信息的位置,您觉得这个安全吗?在卫星上,都是摩托罗拉的卫星,它想知道手机的信息也可以轻而易举。

严雷:您说的问题也是我们存在的原因,它确实是不安全的。我们要怎么看待这种不安全。实际上你说的那些特性都有一个很冠冕堂皇的外衣,你是不能禁掉它的。无论是位置服务也好,还是卫星的数据收集也好,都有很正常的、很正确的应用方式,也很有价值。但是,问题就在于,很多时候这些价值被乱用了。所以说我们识别出来一个应用还不行,还要识别这个应用里面的内容是什么。我们称之为内容还原技术。小到你说的一句话,大到一段视频、语音,都可以把它还原出来。像一些财务报表、财务数字,你在QQ上聊天,可不可以?可以,很正常。但是,有一些话不能说,公司的核心机密不能讨论。我们应该有能力在安全设备上对这些进行管控,也是下一代安全要做到的一点。您刚才提到的,怎么既利用这些移动设备给我们带来的便利,同时防止给我们带来伤害。这就是下一代安全厂商要努力工作的重点。

主持人:好的,到此为止演讲环节和提问环节已经结束。接下来,有请严总为我们抽取价值288元的电脑背包3个。