Hillstone山石网科:从容面对应用安全
作者 陈怀临 | 2010-05-08 16:43 | 类型 网络安全, 行业动感 | 37条用户评论 »
|
【陈怀临注:NetScreen的血脉里,做网络安全的目前有两家能活下来了,而且在互相竞争。Hillstone和Palo Alto Networks。Hillstone是邓锋一手扶持的在幽州的伪政府:-)。PAN其实是在北美的,拥有NetScreen以前人马最多的一票。但从投资的角度,PAN与邓总或者北极光关系不是特别大。希望两个公司都上市,发财。毕竟朋友发财了,自己也多条路。。。。。。借钱或者找工作也方便些。BTW,此文为转载文章。来源是计算机世界报。】 中国从来不缺优秀的技术人才,也不缺少信息安全企业,但却没有几家企业会站在国际化角度去看待信息安全。深度理解应用安全的Hillstone山石网科,这几年来从容而稳步的成长,已经刺激了所有本土“老牌”信息安全企业的神经。
开放文化与成长基因 刘保华:北极光创投作为Hillstone山石网科的主要投资人,看中的是Hillstone山石网科的团队活力和管理能力,其董事长邓锋对 Hillstone山石网科的成长相对于他投资的其他企业又是最为关心的。Hillstone山石网科成立之初,邓锋说过,“如果把目光放得远一些,不在一两年内要求回报,将时间放长到五年甚至更长时间,那么这个机会是存在的。”那么,从目前来看北极光对Hillstone山石网科的业绩有什么要求?在 Hillstone山石网科未来的发展战略上,作为CEO,你认为如何超越NetScreen当时的辉煌? 童建:Hillstone山石网科的管理团队中绝大部分成员都来自NetScreen,除了同处于网络安全领域之外,同一个团队所带来的管理理念和技术背景都相差无几。相对于NetScreen来说,Hillstone山石网科就像是站在巨人肩膀上,除了市场定位,在技术上也更加优于 NetScreen。我们一直希望成为一个国内的安全专家,很多厂商把做防火墙作为根据地,并不是因为对防火墙很熟悉,而是因为防火墙的市场份额是最大的。 此外,看到国内厂商在产品性能上有很多不能满足市场需求的地方,这也为Hillstone山石网科留下了机会,特别是考虑到很多国内用户的特殊需求,比如局域网的攻击、内网安全防御等。 除了这些,我们将硅谷的公司文化带到了中国。员工与管理层的沟通非常通畅,员工对于公司的任何意见都可以随时表达,公司对员工也是非常信任,给员工充分的授权。开放是很重要的,大家关系平等、相互尊重才能够真正实现互相沟通并将问题解决,这种平等的概念不仅在硅谷适用,在中国也一样适用。另外,公司对于员工的信赖也相当重要。在Hillstone山石网科,从来不是领导告诉员工怎么做项目,而是将项目全权交给员工处理,激发他们的创造力去解决问题。 刘保华:中国的信息安全企业发展是随着产业发展而发展的,在整个信息产业布局乃至国家战略格局中都具有举足轻重的地位和作用,因为其关系到国家政治安全、经济安全和国防安全。但是国内的信息安全产业规模并不算大,多数企业仍然处于单点创新阶段,而且“努力”地向同质化方向发展,技术创新不足,利润率也不高。国内信息安全企业如何突破成长的瓶颈,摆脱目前的困境? 童建:我感觉一个企业或是行业要发展,首先要提升整体的竞争实力,体现在对市场的反应速度、公司文化建设和产品研发实力方面,这是一个综合体。中国市场是我们最近几年最关注的,但我们也着眼于全球市场。走向国际市场的前提是需要有强大的后台支撑,尤其体现在研发速度和对新技术的掌握方面。 不少企业的产品很好,但是在国际上做行销就不行了。比如美国客户的要求和中国客户的要求就不一样,仅仅考虑到客户的个性化需求还不够,还要获得客户支持,因为很多问题产生的根源就在于售后服务做得不好。 信息安全厂商完全可以依靠中国人才库和市场需求在国内度过哺育期,做好人才储备、知识产权积累,对信息安全应用市场有深入理解,就会把路走开。
应用安全营造市场机会 刘保华:信息安全产业在中国发展已经有十多年的时间了,我国信息安全技术与国外相比,虽然有一些差距,但我们在网络应用方面又是全世界最复杂的,这几年多核产品掀起了一阵浪潮,对于Hillstone山石网科来说,机会在哪里? 童建:随着当前安全威胁的日趋复杂,安全设备越来越向应用层防御靠拢。在这种情况下,只有采用多核技术加专用芯片才能彻底解决性能的瓶颈。因为专用芯片可以很好地处理网络层的流量,大大减轻设备的负载,而多核对应用的发展有很好的支撑性。 多核的发展,主要源自于用户对应用安全和性能问题的需要,因为在七层应用处理中,多核处理器比NP更有优势。只要自身的并行处理机制与协调机制做得好,就可以获得数倍的性能提升。从理论上来说,一个优秀的16核处理平台可以获得16倍的性能提升。 目前,在Hillstone山石网科的安全产品中,重要参数之一的每秒新建会话数是目前业界最高性能的基于ASIC和NP架构安全产品的5到 10倍,达到每秒20万的TCP会话创建速率;64位专用高性能多核处理器的多核并行处理能力,为应用层内容安全功能提供了强大的保障,同时又避免了纯 ASIC和NP安全系统对会话可管理能力和流量控制能力弱的弊病。 Hillstone山石网科自创立之初就在坚持全系列多核路线,并且研发了真正的真多核系列产品,我们叫多核Plus,它采用了全新的硬件架构,以及高速交换总线。 此外,我们有创新的ASIC架构优势,当我们需要更快速转发数据包时,靠自动的ASIC处理,配合全并行的64位的操作系统,形成了 Hillstone山石网科独有的技术优势。虽然业界很多产品都是多核,但真正稳定的产品并不多。很多人认为,硬件和芯片技术是存在壁垒的,软件是相对容易开发的。这里存在一定的误区,真正的难点是操作系统部分,因为多核需要并行操作系统,要协同核与核之间的调度,做到互不干扰,这就需要从根基做起,有一定积累才可能做到无缝衔接。 刘保华:国内很多大型IT企业,技术创新仍然是瓶颈,缺少基础研究和创新,大多数只是停留在开发阶段,在未来,都会面临技术困境。对于Hillstone山石网科来说,目标要成为世界级公司,如何保障研究的动力不衰竭,如何保证研发方向是正确的? 童建:没有人能保证不错,对于我们来说,我们目前不做大型研究,这并不适合我们目前的发展阶段。但我们会通过核心人员研究未来3~5年的信息安全发展方向,比如针对4G网络和下一代互联网,我们会做一些准备工作。 在研发方向上,我们也不能保证方向正确,但我们会不断修正研发方向。比如说,我们正在研究的多核应用安全网关,表明我们一直在观察未来应用安全的变化和需求。 未来,数据中心在功能上很可能和电厂类似,企业不必自建数据中心,数据和应用交付都通过数据中心获取。这样就会衍生出更多安全问题,尤其是数据汇聚在数据中心后,会对产品性能提出更高的挑战,这就要求我们对应用本身进行充分了解。现在大家都认为万兆防火墙已经满足需求,其实万兆远远不能达到用户的需求。 坚定的企业哲学 刘保华:Hillstone山石网科已经成立了近3年时间,2007年拿到风险投资巩固研发实力,2008年Hillstone山石网科完成了渠道建设和解决方案的完善,2009年上半年在高端市场捷报频传。那么Hillstone山石网科在2009年会有什么新的突破? 童建:坦率地讲,全球金融危机对于每个企业都会有或多或少的影响,我们一直保持着非常谨慎的态度,因为Hillstone山石网科是2006年成立的,到今年才两年多的时间,实现产品化也仅仅有一年多的时间,还只能说是一个刚刚起步的阶段。 2009年具体的方向是提高市场占有率,提升品牌、渠道建设和销售队伍建设。我们将会进一步加大对核心渠道的支持力度,通过渠道培训、市场支 持、支撑平台的优化等多种政策牵引渠道增值,鼓励渠道向新产品市场、新机会市场、重点行业等蓝海市场拓展,从而提高渠道合作伙伴的长期盈利能力。 对于IT应用范围较广、应用程度较高的行业,依靠良好的品牌形象和强大的资金支持,目前Hillstone山石网科已经在金融、电信、教育等行业取得了不错的成绩。 但根据我的感受,只有服务好客户,服务好员工,企业才能得到成功。如今,投资方对我们的帮助很大,我们拥有很好的资金支持,有重量级的产品,同时我们有很好的规划。所以,我们的机遇和风险是并存的。
刘保华:随着网络及应用的逐渐深化,信息安全设备处理能力的瓶颈逐渐突出,一些用户甚至不得不牺牲网络的安全性以满足业务连续性的需求,这一矛 盾也成为摆在安全厂商面前的新挑战。而针对用户在网络安全敏感性问题上,在应用层与物理层上的把握也遭受到了前所未有的挑战。网络安全设备未来将何去何 从,如何才能满足发展的需求? 童建:我们是一个产品公司,这是我们公司的哲学。如今应用安全的发展层出不穷,给国内厂商带来了很大机遇。国外的安全产品大都采用通用型设计, 很难聚焦国内应用。国外用户与中国用户对于产品的要求并不一样,因此中国优秀的产品不一定在欧美同样叫座;反之,欧美的优秀产品在中国也不一定叫座。 要走自主创新道路的时候,首先要知道创新什么,把位置放在哪里。先解决本地应用安全,不要一味跟着国外厂商走。这其中最重要的一点是过滤出用户 的需求,以高端安全设备的主打市场教育行业为例,高校对于内部管理和Web安全的需求非常迫切:由于学校内部的网络环境非常复杂,致使内网攻击行为非常严 重,在这种环境下URL过滤只是管理手段的一个方面,同时还必须具备流量带宽管理的功能,比如对BT、QQ等P2P工具的带宽限制。 此外,不能忽视的还有并发连接数量的问题,只要学生一放学,流量与连接数都会激增。在这种情况下,安全设备的处理能力与对应用的支持能力就凸显出来,而缺乏多核架构支持的安全设备在性能上将会受到很大挑战。 张弛有度超越NetScreen Hillstone山石网科拥有一个极富激情、经验丰富、具备国际研发水准、创造过信息安全领 域奇迹的团队。虽然Hillstone山石网科的CEO童建和北极光创投董事长邓峰都是NetScreen公司的创始人,但合作的背后不仅仅因为两个人的 “交情”,而是一个创业者的理想与投资人的理性的结合,超越NetScreen甚至成为了邓峰和童建等人的信条。 几乎清一色的海外留学和国际知名公司工作研发的背景,让Hillstone山石网科拥有在国内重造NetScreen辉煌的底气,从最初创业团队的几个人,发展到目前的170多人。 复杂的国内市场需求只有灵活的企业才能适应,在很多厂商还在OEM国外产品,利用开源操作系统开发产品的时候,Hillstone山石网科依靠技术积累和技术创新提升产品性能。 可以说,Hillstone山石网科从起步开始就凝结了网络与安全的精华。采用全新的多核Plus架构为的是保证应用安全网关达到业内最高的性能,而将路由和交换结合,最大的好处是满足了市场的应用需求。 随着当前安全威胁的日趋复杂,安全设备越来越向应用层防御靠拢,这也对安全产品的性能提出了更高的要求。所以,谁掌握了应用,找到了性能与安全的平衡点,谁就有可能掌握未来的市场。 | |
   (3个打分, 平均:3.67 / 5) |
雁过留声
“Hillstone山石网科:从容面对应用安全”有37个回复
直有个疑问
1)为什么国内做防火墙的厂商那么多 做路由交换的厂商却很少?
2)FW在多数的场合能不能同时担当router/gateway的作用?
3)不了解路由交换产品 直接去做安全产品的厂商 接触过几个 有种感觉 跟几大主流厂商的安全设备相比 他们对数通网络的理解 有些方面还不太够深入和专业
交换机市场大,竞争充分,利润低(以华为的品牌,交换机重出江湖还得靠低价)。
安全市场小,厂家规模不大,利润空间不小。
由于广域网接口以太化,防火墙在很多场合(特别是SMB)替代了路由器,或者是具备防火墙/IPS功能的路由器替代了防火墙(如思科的ISR),甚至某些厂家的中低端路由器与防火墙就是一个硬件平台(Juniper的J系列,华为的SRG)。
IPS/IDS与网络关联不大,但墙就不一样了。参加过一次测试,某国内老牌防火墙厂家HA倒换丢包严重,最终发现原因是VRRP代码有问题。。。
网络厂家涉足安全也有门槛,记得多年前某大网络厂家曾把中端路由器包装成防火墙销售
答1:做router,(carrier grade)switch的门槛相对高一些, 例如QoS。routing feature要求高。
答2:少或者不能。通常是FW通过switch挂在Router后面。作为一个附加设备。
答3:Security的人对Forwarding和Dynamic Routing懂的相对少一些。但对Session和性能的把控好一些。对Routing,security基本上就是一个DPI Addon。在Service Provider方面,Security与Routing应该是convergence。Security往Routing里合。在Enterprise方面,估计还是seperate设备。
如今在运营商这里,convergence是一个非常热门的词了,越来越多的业务功能都整合在一个单一的设备上。还记得N年前还有人争论所谓的“GOD Box”,现在随着技术的发展,也没人说不好了。
在我看来, PAN比Hillstone要强太多了. PAN的FW已经是完完全全的Layer 7了, Hillstone则要差得远.
终于明白人说了句实话。
PAN的性能要比HS差不少,两家对于市场的定位可能不太一样
PAN的性能要比HS差不少?? 不知所指啥性能, 对, 一根网线的性能最好.
大家觉得在这里打口水战,争论出来一个谁比谁强有意义吗?产品的好坏强弱不是我们这些工程师说出来的,也不是那些公司的宣传材料,datasheet上讲出来的,而是客户选择的,市场决定的。
大家都回家好好干活,或者抱孩子去吧。
从市场可能是无法比较的, 人家PAN主要做北美市场. 作为工程师, 只能从技术上来谈谈看法了, 如果没人开口, 首席会不高兴的.
这篇文件只是篇软文, 没啥可多说的.
Heeee. 都好,都好:)挣钱就好。从技术上讲,QoS弱一些。。。
datasheet也不都是不真实的
谢谢os9600和老大的回答
我总结一下
(1)在soho environment,现在的low security 也不需要太多的路由等功能 如果带有WAN i/f 应该可以直接把low-end router替了 也就是说把routing往scurity产品里合
(2)
对medium or high-end的campus/enterprise 暂时可能还是分离比较好 Security和Router各自发挥自己的长处
(3)
在SP edge,Security往Routing里融合
大概是这样。在3里面,其实是DPI在往Routing里融合。DPI是一个很微妙的东东。
Google了一下 才明白老大说DPI有些微妙的意思了. ISP的core router要是都部署DPI 那internet 就谈基本不上用户隐私了
PAN开始的比较早,但是有的地方走了很多捷径一定会走到死胡同
PAN的管理方面完全依赖于log、商业关系型数据库和PHP,网络配置和网元完全合二为一,现在看起来色彩UI不错赫赫,不知道未来走向何方,赫赫
楼上的兄弟为什么觉得PAN的性能比华赛的差不少呢?PAN的还是有点技术创新的吧
看山石的新闻,好像到目前为止没有几个订单吧。在国内,还有一家在做,看大家都没提到——“联想网御”。
一直不喜欢山石,忽悠的成分太重了。
对于为什么国内做FW的多,做ROUTER/SWITCH的少的问题,其实很简单,没大家分析的那么复杂。做FW,硬件有X86的工控机厂商干,软件有IPtables可以山寨,自己做点修改再弄个界面就OK了。做ROUTER/SWITCH就算再怎么集成,硬件十有八九得自己弄吧,一堆的软件特性哪个都不难,很多也都有开源,但是全都集成在一块你试试看还能不能跑起来!技术门槛、资金门槛实实在在在那里摆着呢。
至于FW能不能替代ROUTER,个人认为接入路由器行,但是前提是你的FW具有Router的大部分功能,最起码路由协议要全吧,这么看是具有FW功能的Router了。核心没戏,你搞个MPLS还要跑Seesion不是自己找不痛快吗?
我接触过Hillstone的人,觉得他们还是挺务实的,国内真正踏实做技术的厂家不是很多,个人观点,他们算得上一个。
另外,一般的二三线ISP,它们需要的路由器不需要那么多的功能,很多时候静态路由功能足够了,它们其实就是解决接入(NAT)和带宽管理问题,Hillstone的所谓router定位在这个层面,其实也无可厚非,应该没有多少忽悠的成分。童老大他们的性格和作风,想忽悠,也不太会忽悠,呵呵。以上仅为个人观点,大家请勿拍砖,谢谢!:)
做产品要面向市场,就算是忽悠,也要看忽悠谁,产品是谁用谁知道,当然也不排除买了去当摆设的。信息化水平决定了安全市场的发展,这是一个基本事实。
安全系统与路由系统最大的区别是:
1.安全系统是靠一个一个box(机器)算钱。
2.路由系统是靠一个一个port(端口)算钱。
与首席观点不同:
安全系统既可以卖方案(端到端,主要应用于企业网内部),也可以卖feature(这个需要把feature做得足够丰富),所以既可以卖硬件也可以卖软件或者license.
路由系统有些卖硬件的味道。
安全市场为什么小,就是不能按port来卖钱,机器接入需要port,但是一个组织里面,security也就是一台而已。
安全概念很大,看你怎么看了,如果局限在fw/idp等安全网络设备,高端一般部署的数量上确实不大,但branch需求依然不小。但安全还包括很多,比如对于赛门铁克来说,av安装量就非常大,当然这卖的是纯软件,利润率比较高。华赛合资以后,赛门铁克也可以提供整体解决方案。
RSA一个token解决方案就可以安逸地貌似可以一直地存在下去。反观路由器这种网络产品,利润率越来越薄了,按port也罢,看起来都不如软件赚钱。
做网络安全产品看起来好像是没前途,但4G的dpi/pcrf不都跟安全挂点边么?
瞎聊几句。
与陈首席的观点不大一致的是,实际遇到很多单位,规模不算大的那种,一两千人。很多都是用防火墙做路由模式当路由器用……可能和国情有关吧。
山石的产品,还是偏重于网络安全,应用安全的倒是真看到的不多,除非真的如传言:收购网康。
防火墙只所以当路由器来使用,是因为接入的关系,比如光纤,这种情况下完全可以去掉路由器,同时这些地方不需要什么igp,egp一类,即使有规模也不会太大。当初j收购ns,就是因为邓峰说要把防火墙和路由器的功能整合在一起,j一看,ns要是做成了,受威胁最大的不是c,而是自己,收购吧。纯属江湖传言。
现在感觉,ns当时不卖,坚持把路由功能整合起来,吼吼
@27:山石用收购网康么?收购了能带来啥好处?从公司文化到产品架构到功能实现到销售资源都有太多不同了。山石应该收购网御神州!
—核心没戏,你搞个MPLS还要跑Seesion不是自己找不痛快吗?—-
貌似在SRX系列上 MPLS 和 session 功能也是互斥的
看了小游虾,sorry,小游侠,的贴,我自己还不得不scroll UP and Down,去看看我自己是啥观点:-)。防火墙当路由器来用?:-)。我打死都不敢相信山石的人有懂MPLS的。。。,我的意思是,做过MPLS的:-(
# qiaoyu 于 2010-05-09 12:50 上午
直有个疑问
1)为什么国内做防火墙的厂商那么多 做路由交换的厂商却很少?
2)FW在多数的场合能不能同时担当router/gateway的作用?
3)不了解路由交换产品 直接去做安全产品的厂商 接触过几个 有种感觉 跟几大主流厂商的安全设备相比 他们对数通网络的理解 有些方面还不太够深入和专业
#
看了qiaoyu的帖子,觉得问题提得很深刻。
我个人感觉和os9600的比较类似。
1:因为数通行业比较标准化,所以竞争充分。最后洗牌后小公司难于生存;
2:同时数通行业需要很多硬件设计能力,小公司多数不具备硬件设计能力。
3:数通行业对资金要求大,无长期的大资金支持,小公司无法支撑下去;
4:安全行业细分市场太多,把市场划分为无数网格,大公司也无法展开充分竞争。给小公司很多生存空间。但是总体每个细分市场规模小。
Palo Alto的产品有很多地方是值得Hillstone学习的,比如产品外观。
HS的外观不错了,HW的更差
山石讲究成本控制,不可能做出更漂亮的外观的,而且个人觉得不是消费市场的话,做的漂亮了反而显得不专业,你看看思科那个绿色,每次看着我都头疼。
漂亮了反而显得不专业,你的意思是说思科不专业啰?一看你十有八九就是山石的托。
首席啊,这个稿子是出自《中国计算机报》,还是当年小弟写的……