Hillstone山石网科:防火墙的重定义
作者 老韩 | 2010-11-19 06:59 | 类型 互联网, 网络安全 | 88条用户评论 »
|
在这次对话中,我注意到一个一直被忽略的情况:为了让提供L2-L7安全业务的网关达到高性能,把应用识别做到流解析引擎中已经是大势所趋,未来的产品必然是这种架构。看看市场上的产品,@PAN是这么做的,@Juniper是这么做的,@山石是这么做的,@Panabit是这么做的,@启明也是这么做的;@东软和@天融信貌似也这么做,但我不能证实。无论如何,大家都意识到流解析引擎必须这么搭,但能否实现,以及实现的效果好不好,就另当别论了。 其实这和Gartner在NGFW定义中提到的关键点是一样的。在我看来这应该是安全网关应用到的第三代架构,和以前很多厂商在市场宣传中拿来与“穿糖葫芦”模式做对比的架构还是有很大区别的。 山石网科的产品是我了解的第二个在不用购买应用层功能模块的情况下就可以并默认开启应用识别,并向用户提供统计结果的产品(第一个应该是PAN)。相信未来其他厂商必然会快速跟进,因为无论如何,应用可视化对用户的杀伤力太大了。 再反过来看,来自华X系的不少朋友都对我说X6150性能不够强,我倒不这么认为。这个地方才是能看出厂商对安全的理解到底有多深。我承认@华三@华赛的防火墙很不错,但UTM貌似一直做不好,也能说明这一点。前景方面,@华赛还算明朗,希望产品团队能在@弓峰敏老师的带领下尽快拿出够水平的产品;@华三,由于目前的困顿情况,加之在FPGA上走得太远,令人并不看好。至于Cisco,那就更超前一步,把DPI扔到路由器里面去了。 这篇文章是最新一期《计算机世界》中《品·产品》栏目的专访。本栏目一直采取与负责产品、技术的高层直接对话的形式,为读者解析厂商对产品的理解与态度。因为这个栏目由实验室提供内容,所以一般配合产品测试出现。
韩勖:X6150在山石网科的产品线中是一款与众不同的产品,代表了面向数据中心的一种新产品形态。这一系列产品未来的发展方向是什么?有何明确的计划?王钟:首先要明确一点,我们将X6150定位为数据中心防火墙,是因为在应用模式的发展面前,越来越多的数据中心用户有了更合适的选择。除此之外,这一系列产品同样适用于运营商、高校等行业用户。而针对产品本身来说,产品线的完善是一个长期工作,而当前我们要做的是在现有平台上增加功能和提升产品的综合特性。目前X6150有QoS业务模块,可以进行网络层到应用层的流量控制,是很多用户比较急需的功能;产品综合特性包括稳定性、可靠性等很多方面,单纯从产品规格表中看到的双主控、业务模块冗余等只是一个基础,还有更多的与用户业务紧密相关的细节特性要加入进去。 刘向明:例如我们很快就要发布一个新特性,可以让用户在业务不中断的情况下实现系统的在线升级。控制层面与业务层面分离的安全产品在线升级相对复杂一些,除了主控模块上的系统,业务模块同样也需要做软件升级,才能提供更多的安全特性。 韩勖:刚才您提到了产品线的完善,其实我注意到与原先2U规格的高端产品相比,X6150在性能上似乎已经有一些重叠,未来这是否会给用户在选型时造成更多的困扰?王钟:这个问题其实不是产品定位的问题,而是用户定位的问题。经过调研,山石网科认为数据中心用户的关注点在于性能的可扩展性,业务的可扩展性、设备的可靠性和可管理性。所以在产品研发的过程中,不管是硬件架构还是软件特性,我们都围绕着目标用户关注的这几个点去做。并且未来完善产品线时,也都会按照这个思路去做。在同样处理能力的前提下,X6150的整体价格肯定会高于传统产品,用户额外得到的是安全基础架构的可扩展性。这一系列产品的目标用户必然要为业务承载网做长期的发展规划,否则也没有必要使用X6150这种架构的产品。 刘向明:如今互联网应用高速发展,安全产品的可扩展性也被越来越多的用户所关注。通过不同的模块配置,X6150可以覆盖性能要求在10G~100G区间内的应用环境,同时提供了扩展空间,自由度还是比较大的。每一个产品都有它的市场,对于X6150来说,它服务的都是性能压力非常大、扩展性要求又极高的一类用户。 韩勖:目前我们测试过的X6150还是单纯的高性能防火墙,而IPS、负载均衡等功能在数据中心中的应用愈发广泛,不知X6150在功能拓展方面是怎样计划的?王钟:我们多次研究过用户的应用模型,IPS对于数据中心来说确实是一个比较重要的安全功能。所以接下来我们的工作重点,除了上面提到的那些,也包括了功能扩展这一块。至于是在现有业务模块上增加特性,还是推出单独的处理模块,要根据技术评估和用户需求而定。 韩勖:X6150测得的性能十分出色,64Byte小包吞吐量大于16G,几种大包更是达到百G的吞吐量。不知后继性能方面有无提升计划?CEO童建先生在产品发布会上宣称在研发64Byte小包吞吐量达到50G的产品,大概在什么时候推出?刘向明:这类产品的性能提升大多通过两种方式,即增加业务模块数量或者提升单板处理能力。业务模块数量牵扯到产品线的扩充问题,未来一定会有不同型号的产品;业务模块目前的处理能力是20G,未来也肯定会有增强,我们已有这方面的计划。整机50G的小包吞吐量确实是既定计划,时间也不会太久。这个结果是我们基于对新处理架构的评估得到的结果,目前还没经过任何测试。 韩勖:与传统的采用交换机+防火墙业务板架构的高端防火墙相比,X6150采用的分布式处理方式有着哪些优势?王钟:它们的出发点是完全不同的。为交换机增加防火墙处理卡,实际上提供的是一个附加的安全特性,类似于一个功能补充性质的方案,很可能不同于用户真正的安全诉求。而分布式处理的出发点,是从用户角度考虑的大型网络环境下的安全诉求和管理诉求,乃至未来组网、业务的扩展需求。当然,前者在一定程度上对于部署过特定交换机产品的用户是有意义的,但在整体的扩展性上还存在瓶颈;而X6150给用户的,是一个完全针对安全业务设计、各方面拥有最佳扩展性的方案。 刘向明:从技术角度看,前者很难提供强大、灵活的安全特性。有一个问题非常关键,就是交换机中插入多块防火墙业务卡时,流量是如何分配的。如果不能做到均分,就很难避免单点瓶颈。还有一个基本要求,即流量与业务卡之间的绑定也不应该由人工完成,因为这样管理起来会非常的麻烦。我们在选择分布式处理机制做产品的时候,考虑得比较全面,注意避免了一些可能出现瓶颈的因素,所以业务、性能的扩展性和部署的灵活性是可以得到保证的。 韩勖:除架构之外,与市场同类产品相比,X6150的核心竞争力何在?我注意到QoS模块支持2-7层流量整形,这比较令人费解。数据中心是否存在应用层流量的整形需求?它能给用户的业务带来怎样的变化?刘向明:我们认为X6150的核心竞争力就是全面的扩展性。这不单是指性能的扩展,还包括业务的扩展。现在用户普遍关注的应用识别就是最明显的例子,其实它是所有应用层功能的基础。只有弄清数据流的应用归属,病毒过滤、IPS等模块才能进行相应的操作。山石网科在很久以前就意识到应用识别将成为防火墙的标准功能,所以将这一特性加入到流解析引擎,即StoneOS的基础架构中。其他应用层功能模块可以调用应用识别的结果,再执行相应的操作。 王钟:应用识别也是山石网科一直倡导的网络可视化的基础,用户可以直接在控制界面里看到网络中应用流量的分布,且和其他功能模块无关。我们经过测试,发现打开应用识别只会对性能造成10%左右的影响,所以现在一般都建议用户开启这个功能。以前大家都认为这不是高端防火墙应该做的事,也没这个需求;其实只要做出来了,需求自然就产生了。应用层流量的QoS是非常有用的功能,高校和运营商用户都非常重视,我们现在就有几个点在测试;而对数据中心管理者而言,他们也希望能够看到应用层的流量,好去对资源做配比,这其实也是用户给我们提的真实需求。 韩勖:刚才提到了在用户处的测试,作为全新的采用机框形态设计的产品,X6150势必要经过大量的测试,方能验证其稳定性,取得用户信任。能否详细介绍下这款产品在用户真实环境下表现?王钟:高端产品的测试周期一般比较长,用户不可能直接将业务流量全都切到新产品上。目前X6150有3、4个测试局,在用户环境中都还处于增加流量的阶段,负载最大的单向大约跑着6、7个G的流量,没出现过重大问题。实际上,我们感觉真实环境中对NAT和链接处理能力方面的需求更苛刻一些,同时由于法规要求还会生成海量日志。不过山石网科很早以前就对这部分功能进行了优化,所以没有遇到任何问题。 | |
 (2个打分, 平均:5.00 / 5) |
雁过留声
“Hillstone山石网科:防火墙的重定义”有88个回复
在中国,Hillstone将来最大的对手会而且也只会是华为。如果华为进入这个市场而且决心争夺,事情就会比较麻烦。因此,Hillstone一定要抓紧时间,搞定销售和渠道。。。并且上市圈钱,从而有个大后方。。。
Hillstone的Corp Marketing有点问题。看不见什么新闻和忽悠。。。倒是见PAN的Nil满天骗人。Hillstone如果请我去做CSO,估计能忽悠到不少人。。。
啥时候上市啊,也整点钱来建仓(满仓被套者语)
提及防火墙必提性能指标的传统是从本世纪初开始的吧,g级市场的时候这种性能比拼被放大,性能指标似乎成为了一个技术能力的体现,投标的时候也被当做核武器威慑,惯性思维的驱动下一直延续到现在。
但如果站在一个业余的角度去看,网络防火墙是做什么的?正常的思维是:为了保护安全,就像马其诺防线一样。
没错,就是确实是马其诺防线,当德军突破的时候被防线保护的广大人民才发觉构建这么一个曾经无限荣光的防线原来是挺扯淡的一个行为。
网络安全的内容和性质早已经不是当初应对syn攻击的时代了,黑客们在安全的道路上稳步前进,而防火墙的思想还在原地踏步,沉迷于新建连接 并发 丢包 延时这些本该就是基础设施的建设。
很欣慰看到老韩提到了ips和负载均衡,但老王的答复不免让人黯然,或许是做防火墙的无奈。访问控制已远非当今威胁的主流,防火墙厂商忙于追赶电信设备商的性能提升,放缓了对行业诉求的思考。
我一直觉得传统防火墙已经不能被纳入安全的圈子了。
Hillstone看上去技术能力挺强的,但除了性能,防火墙对用户价值的提升,对用户业务能力的提升,表现力好像没有出来。
不知道王sir们,刘sir们是否有一个说法?
媒体还能做这样的内容?不会是山石网科给供的稿吧
韩记的问题整的像个托似的。小样估计拿了童总的原始股了。证明完毕。塞塞。
有这款产器的硬件平台介绍资料不?那位共享 一下!
额, 啊..
要是我就把panabit弄到手里找一群人往NP上porting.
对于这个市场, 我的想法倒是很简单. 传统电信级路由厂商都意识到 content based routing 是一个很大的市场需求, 因此转发的同时顺便把流记录下来然后进行基于流的干预和控制似乎成为更合适的一种做法.
其实在边界上加太多的设备并不是件好事情, 串联的越多出问题的几率越大.
所以流控/安全/路由/VPN的整合实际上是必须的事情. J和C都有产品了. Huawei估计也快了, 他们已经有一个SIG8192什么的东西了?
所以山石还在一味的考虑单一功能的产品. 迟早人家升级一次边界路由器就会把你完全踢出去, 哪怕你有1T的处理能力…
我的一些观点:
1)厂家应该逐渐淡化安全概念,应该将应用的可控可管性当着第一要务;
2)虽然大家都在不断的谈安全什么的,但是国内用户用防火墙主要是用着接入,而非安全;
3)不管是SYN FLOODING,还是什么其它的DDOS,其实本质上不是安全,而是应用或流量的可控可管性;
4)深信服这几年之所以猛,就是因为它的产品基本上都是针对内容或应用而言(虽然产品还需要提高);
5)路由将会逐渐向应用层靠拢,比如application或者content的路由;
综上所述,整个安全圈我认为需要转变一下思路,不要老是安全安全的,这个概念已经让人觉得是忽悠而让用户麻木了。无论是什么样的安全,都是强调流量的可控和可管(当然还包括可视)。所以应用路由器可以作为一个新的概念炒炒:)
还有最后一个POINT:
今后几年内,国内防火墙厂家的最大对手不是曾经的对手,而是深信服,所以招子一定要放亮点
我个人认为,山石的当前策略是对的。先利用自己的性能优势占据制高点,而不是和其它厂家在中低端近身肉搏缠斗,做出自己在某一个战线或层面上的亮度和优势,进而影响其它中低端层面的用户。底子薄的以农村包围城市,底子厚的就未必要这么做,占领城市,让农民进城也未尝不是一个方法。唯一的问题是,这个高端市场(比如数据中心)发展的速度如何。
窃以为深信服还没有到能够在安全和性能上和HillStone PK的地步,需要积累的东西比较多。
安全一直是Passive的概念,做不到Active,而像流控和行为管理,之所以很容易被大家接受,就是因为可视化,可以直观感受到。如果安全厂家一直抱着老思路,迟早是要被山石这样的厂家干掉的。
非常赞同playmud 的说法
防火墙的性能越来越向电信级别性能发展,而忽视了安全本身的需求发展,在今后hacker对电信业及其他以信息安全为重点的大企业的渗透会越来越大,如何满足这块的需求必将是未来的重点,这并不仅仅是产品,而是服务
我对山石之不屑
(1)安全到底是高端需求大,还是中低端需求大?
高端需求外有CISCO,juniper,内有华为,华赛,H3C,哪一个山石能够撼动?中低端需求又有2个明显特征:政府,价低,这2个真是山石的最大软肋
(2)全部技术都基于CAVIUM,FPGA,有悖于技术常理,例如华为:硬件平台-POWERPC,NP,FPGA,CAVIUM(低端),RMI(中高端),未来新的CPU…我们可以得出结论:CAVIUM死,山石死;而cavium死,又是必然的,原因:CPU的真正大佬是INTEL,IBM,freescale
(3)海归创业有个重大问题:安全已经是红海一片了,利润及其有限,把有限的利润在除以7-8,还能剩几个子?海归能够坚持多久?
其实运营商和行业市场的需求是完全不同的。华为从做运营商向行业市场渗透,与其他安全厂商的思路明显不同。
窃以为运营商所需要的安全主要还体现在流控上。因为运营商毕竟只是提供线路,并没有重要数据。而其计费等系统的保护才类似行业网。
在运营商方面,华为的SIG已经快实现垄断了。每年几百台的销量外界的安全厂商根本看不见。SIG不但有流控,还集成了运营商很喜欢的WEB推送等增值功能。这些早就超出了传统安全概念,成为深度定制化产品了。
山石的百G产品只开应用监控性能貌似还行,但开应用检测和控制后还有多少性能?很想知道
这种百G防火墙的最大市场应该在政府和军队。政府现在都在做数据中心,买一个很合适。军队么,有几个特殊地方要求很高带宽,保密原因就不说了。
但这两个地方一直是TOPSEC和LEADSEC的地盘。山石要想进去还需要多从商务上下功夫。
对韩勖之不屑:
花钱包装的技术文章,说说也就算了,何必自己真把他当回事情?这么“强大”的产品为何卖不好?销售不行?-独立董事郭为+神码,这么强的市场配置也有问题?我看还是产品有问题。市场才是试金石!市场才是磨刀石!
性能很不错,架构看上去也很时髦。但是这个东西卖给谁,谁会买,如何部署和使用。数据中心?放在数据中心做万兆、千兆服务器的接入还是做汇聚层的安全隔离?奢侈了吧。同意14楼说的,如果这个产品要面向运营商,那需要向SIG看齐。
SIG最麻烦的是板卡太多功耗太大, 我大致也完全看过他们的架构了, 为了性能不惜代价的上了一堆NP做service blade或者叫其它名字的, 华为的软肋是没有自己的NP迟早要出事。
C有QFP, 毫不隐晦的说, 这玩意真的很好用, 而will去了J, 估计不出2年J也有类似的东西。
而我在想的是, CUDA的平台如何? 廉价经济, 毕竟NP出货量有限和通用的X86、CUDA这些平台比价格太没优势了。
我自己玩过一段时间CUDA, 写起来也算方便, 做策略这些逻辑也有
我倒是觉得一个好产品应该是在边界上
BRAS/ISG + SBC + FW + 流控 + VPN(IPsec or SSL)
这样一个产品估计会成为以后若干年的一个样本。
很简单, 做路由的厂商绝对不甘心你在我边界路由器和核心路由器之间有这么些service appliance 串接其中的, 路由厂商要生存绝对首先就是要啃掉中间这一堆东西, 以J的SRX最为明显。
ASR1K,我和你想法一致,握个手先。
哈哈, 我其实很看好你们的, 但是你们应该想到一个市场的反馈.
有谁愿意把一个重要的网络边界, 交给一台X86的电脑?
所以搞点NP, 分布式NP的架构做个box出来, 或许才是一个出路:)
有些时候市场不是做技术的那么单纯的.
电信市场我们也沾不上边,还是在那些别人不稀罕的市场检点吃的得了,呵呵。
aaa兄,我必须尊您一句不屑帝,感谢您在点山石、老贺名的同时还能带上小弟,抬举了!其实我觉得您说得很多还是有道理的,除了对小弟不屑的理由。
我们只是一个独立的实验室,在报社内划归为评测部。承蒙领导开明,暂时不用背上很重的写作、编辑任务。我们要做的是跟踪行业发展,了解技术,研究产品,最终尽可能地做出有质量的产品评测内容。实际上,内容质量也是计世所有人的目标,大家一直在努力,在坚持。但是计世毕竟不是光明不是参考也不是人民,成本问题还得靠自己解决,处理好客户与内容关系的确也不是件容易的事情。其实媒体发展不好的很大原因是过分迎合客户,这就是温水煮青蛙,最后都得死。所以我们坚持的是把内容做好,提升品牌的长期路线。
其实在我眼里,钱没那么重要(我能决定实验室在一些领域的决策),所以更看重品牌方面的积累。弯曲上有不少人和我一块吃过饭喝过酒,知道我最看重的是厂商做事、做产品的态度。态度对,没钱的事情我也愿意做,有时还上赶着催你做,因为这种厂商是有未来的,合作自然也有未来;态度不对,你拿钱砸过来我也不搭理你,比如土鳖,暴发户,买办,皮包公司之类的,就不点真名了。这方面实验室还和报社销售部门发生过矛盾,最终也没妥协。物以类聚人以群分,久而久之我们也得到了一些重产品重技术的厂商的认可与支持,共同发展进步,在此表示感谢。
您评价山石网科的行销,我不太懂,也不怎么关心。我要做好的是技术对话,是《品·产品》这个栏目。如果这次对话中存在技术错误,那欢迎指教,我虚心学习。和弯曲上的朋友比起来,咱也确实不专业。但无论是议题设定,还是后期整理编辑,均由我独立完成;山石网科的市场部只帮忙约时间,以及提出修改了一个定语错别字。包括之前的评测内容,他们也没有试图去影响我的独立判断(评语并不全积极的)。
我挺把内容当回事的,我写得每一篇都如此,因为我觉得这是在这个圈里混的基础。这篇文章,把山石网科对产品的理解如实还原出来,和附加信息一起展现给读者,整体我觉得还可以,自己打80分。文章后面的讨论也很有质量,asr1k、Panabit等朋友说得都很给力。这是我更看重的,也是媒体价值体现的地方。山石网科也值得称赞,因为他们敢并且愿意在这个栏目里谈这些内容。咱不说产品好不好也不说技术高不高,就说安全圈里能开放、平和、真实地去谈自己产品和技术的厂商,有几个?真不多。
上面说的,不少已经不是安全圈而是媒体圈的事情了,所以aaa兄您要是误会我也能理解。说实话,目前国内IT媒体的发展确实存在很多问题,至少从您的误会中,我认识到我所在的刊物及部门在推广宣传方面还有很多工作要做。感谢。
本言论仅代表个人,欢迎继续跨省找我喝酒,hanxu0514 aT gmail点com。
一堆高人啊。
学习~~~
山石是邓锋的精神家园。。。IMHO,卖掉NetScreen是邓这辈子最大的错误。。。随着时间的流逝,这个错误会越发明显。当然,在当时,没人能看的出来。邓是个hero。基本上而言,邓是80年代以来在美华人最优秀之一。很难有人超越。但一定会有后来人。。。英雄自古出少年。。。
什么是手机?能在移动过程中打电话就是手机。其实现在大家期望防火墙类似手机这样发展,听音乐、看书、玩游戏、拍照等都放手机里。
但是,UTM、下一代防火墙好像都没有能够引领潮流。在用户那里能够作访问控制与网络隐藏就可以大行其道了。其实说明上网行为管理、IPS都还是更专业用户的一些需求,不是普遍需求。所以,防火墙厂商目前最重要的还是追求更高性能,满足运营商、高校的需求。
一旦上网行为管理、IPS和防火墙一样白菜价、大众化了之后,我觉得就到了防火墙重新定义的时候了。
Panabit提到了深信服,希望深信服能够一炮打响。
老韩,激动了,不好;老韩,不能给别人起外号;老韩,不能给计世做广告,这是论坛
楼上说的是啊,浮躁要不得,蛋定……
to panabit:
你的很多看法我都比较认同的。不过说实话,电信市场也没你想象的那么难进入。特别是地市级运营商其实也有相当程度的本地化采购在你这类产品上。这种几十万以内的设备,不是用于CMNET一类的骨干网上,用在一些运营商对企业客户的接入上,做好销售工作还是很容易进去的。
old_peter,方便的话聊聊,我的MSN:SOFTMIC_MSN@HOTMAIL.COM。
如果是QQ的话,可以到QQ群49798866找Panabit.
窃以为山石是一家技术导向的公司,深信服是一家客户导向的公司。前者也许让众生敬仰,但后者才能笑到最后。
to panabit
你的很多观点比较赞同,确实不能老谈安全安全的。
深信服在内容和应用上虽然发展比较猛,但其他厂家还是很容易追赶的,不看好,呵呵
山石好像也在给中国电信等运营商做累死商务领航的小网关。
一新同事来自山石,从山石离职后,最后半个月工资没发给他,那哥们脸皮薄,不好意思要,是不是山石hr贪污了?
顶楼上,山石在业内的名声确实不大好,喜欢挖别人墙角,而且是有针对性地不计成本地挖,
建议挖人之前做做背景调查嘛,别什么人都要,国内的做这块的厂家做起来不容易,要慎重啊……
很多企业过个2-3年,全部门的人都换的差不多了,进进出出的,谁有那么多功夫哦,最好的办法还是企业自己做好公司内部的用人标准和管理规范
同意c语言。
现在公司你不提出离职,去谈加薪是没可能的,提出离职了,你再加薪,我呆着也别扭啊。
山石做硬件平台不错,国内其他厂商,除了华为系,别人没这个能力吧。做硬件平台也需要积累。如果大家都上ATCA,那么硬件是一样的了,再拼软件。客户是关系盒子是x86还是其他吗?是不是x86做得不够酷?
做设备的,盒子的成本很重要,这比较做软件的就差很多,看看google, microsoft, tencent的毛利率。所以,选择x86工控机是无奈之举。
Internet就是无差别的best effort转发,要让流量变成现金,当然需要可视,可控。为什么不在协议层次上下点功夫,做tunnel,然后把用户接进来。大家都在和协议做斗争,感觉是资源浪费啊。
Hillstone貌似发展的很一般吧,中国是市场导向
今天碰到一个HS的朋友,自称价格比Topsec还低。
国内IT行业最大的客户群是政府,政府采购设备讲技术吗?
所以,中国安全市场从来就不是技术型厂家的市场,技术在这个行业里不是最重要的。
路由器集成安全功能,只适合SMB应用场合下的中低端路由器,如ISR。运营商骨干路由器实现深度安全检测不现实:
1、基于成本和管理方便考虑,这种设备适合部署在城域网出口,其带宽(性能)能否满足要求?
2、银行、政府等大客户敢不敢租用部署了深度识别功能的ISP线路?
3、这种设备的识别准确率如何,拦截了客户的正常业务怎么办?
运营商路由器可以部署一些深度识别功能,实现L7 QoS,以便实现SLA,如果做成安全设备,就有点过了。
呵呵,山石的硬件平台Just so so。
c 于 2010-11-24 10:40 下午 一新同事来自山石,从山石离职后,最后半个月工资没发给他,那哥们脸皮薄,不好意思要,是不是山石hr贪污了?
听说过,而且听说您那新同事是出了问题才走的,旷工好几个月,收人的时候当心
Paul Huang 于 2010-11-24 10:58 下午 建议挖人之前做做背景调查嘛,别什么人都要,国内的做这块的厂家做起来不容易,要慎重啊……
你很幽默,很象山石的领导,很象
一个公司的价值观决定了命运,动辄针对别人泼脏水,已经说明了很多,只能说明一件事,有人害怕了,做好自己比关注对手更有意义,诸君所言,对则听之,错则笑之,决定明天的不是你我手里的水瓢,是客户感受,前两个帖子是逗你玩呢,哥还要加班,专注工作,我们的价值观你不懂
1、山石的HR很强大
2、深信服的水军很强大
山石是啥样的,弯曲的人都知道,不用玩水,泡弯曲的没傻子,还是看谁武艺高低吧,鉴定完毕
童老大,莫老大,支持你们!专注于做好自己的东西,厚积薄发,啥也不怕!
Panabit今天喝酒了?ok4ok怎么可能是老大,明显是装B小卒嘛,哪有头会说那么没水准的话
c 于 2010-11-24 10:40 下午 一新同事来自山石,从山石离职后,最后半个月工资没发给他,那哥们脸皮薄,不好意思要,是不是山石hr贪污了?
如果楼上的同事有任何问题需要咨询或解决,请和山石联系,电话是010-82897229转人力资源部,上班时间周一到周五,早9点到晚6点,或邮件jobs@hillstonenet.com。最近离职的员工很少,我们都有详细的记录,请与我们核对。
匿名兄弟,我没喝酒,我胃不好,不能喝酒。我回这个帖子不是说ok4ok是不是老大,我就是支持他们一下,呵呵。我觉得他们还是走得挺稳健的,另外,同行之间最好别互相攻击、泼水或其它什么的,这样不好。大家多一些童心,也不容易老
这件事,Hillstone一定要严肃处理。涉及credit。事情清楚之后,请在弯曲评论做个汇报。
证明完毕。
os9600 于 2010-11-25 5:19 上午
今天碰到一个HS的朋友,自称价格比Topsec还低。
国内IT行业最大的客户群是政府,政府采购设备讲技术吗?
所以,中国安全市场从来就不是技术型厂家的市场,技术在这个行业里不是最重要的。
路由器集成安全功能,只适合SMB应用场合下的中低端路由器,如ISR。运营商骨干路由器实现深度安全检测不现实:
–> ASR1000 DPI line rate with 40Gbps , Juniper also can support on SRX
1、基于成本和管理方便考虑,这种设备适合部署在城域网出口,其带宽(性能)能否满足要求?
–> ASR 40Gbps now, Juniper more than this.
2、银行、政府等大客户敢不敢租用部署了深度识别功能的ISP线路?
–> They can use IPsec VPN avoid
3、这种设备的识别准确率如何,拦截了客户的正常业务怎么办?
–> Need more people maintain the signature and also need flexible signature update.
运营商路由器可以部署一些深度识别功能,实现L7 QoS,以便实现SLA,如果做成安全设备,就有点过了。
–>traffic control is the basic function
路由器市场与网络安全市场的最大区别是:
路由器是要靠port和卖线卡来发财;安全市场是靠box。
所以,路由器不是不能做DPI或者UTM,而是钱太少;不少主要业务。或者说,更关心卖多少个PIC。
在ASR或者M系列上,如果真的要去倾销,做网络安全,网络安全产品基本上就没有活路了。但是,不争钱的事情不会去做;或者说,10G,40G的端口钱还没有挣完,不会去想别的。。。
估计现在真得这么干了…上面被76/9k压着, 下面有29/39 ISR. 现在只能去做点service找饭吃了.
发现大家讨论到后面已经离题很远了。
文章的标题是防火墙重定义。但回头来看,防火墙还是那个防火墙,那些附加了别的功能,或者用在非访问控制为主地方的设备,已经起了别的名字。
所以,防火墙还是那个防火墙。
其实Gartner为防火墙的重定义起了个好头,至少在市场层面。
to:asr1k
ASR1000 DPI line rate with 40Gbps , Juniper also can support on SRX
———————————
对A1000不了解。但根据思科官方资料,40G是ESP40的容量,而不是线速处理能力。A1013的性能是Up to 20 MPPS,而且20Mpps的performance stats are pure forwarding,加载DPI业务后性能不可避免会下降。另外,A1000的目标市场不是运营商,至少在中国的城域网性能不够用。
虽然,SRX5800和MX960师出同门,但SRG和MX操作系统不同,SRX5800是JUNOS的安全版,用来做城域网路由器并不合适。从性能来看,根据Juniper官方资料,SRX5800只开防火墙时,小包性能仅仅为15Mpps,同时开IPS性能必然下降,也无法满足运营商城域网要求。
to:asr1k
–> They can use IPsec VPN avoid
——————————–
大客户租用运营商专线,最大的原因不是QoS,而是安全性。如果专线还要加IPSec,还不如租ADSL。
to:asr1k
–> Need more people maintain the signature and also need flexible signature update.
——————————
安全厂商的签名(或特征库)都是针对公共应用,而大客户的业务应用很多是专用或自行开发的,即私有的,安全厂商很难根据这些业务开发ignature
to:asr1k
–>traffic control is the basic function
—————————
传统路由器流控基本上是三层,因此对无法根据应用层的业务实施QoS。在路由器上增加应用识别功能,可以实现L4~L7的流控,这应该是运营商路由器DPI的主要方向。
os9600理解很深刻
租ADSL和VDSL是不现实的,带宽和稳定性都不适合大一点的用户
DPI至少好几年内都是特殊节点特殊业务的功能,不可能成为大部分路由器的通用功能
运营商要求整机性能,还是per-flow的性能。并不是所有的流都需要监控,所以性能还好吧。
运营商提供DPI服务目的是为特定用户提供增值服务,从而获得额外利润,如IDC(入侵防御、防DDOS等)、SMB(AV、入侵防御等)。
另外,通过识别、控制业务流避免带宽滥用,提高带宽利用效率,从而提升客户满意度,降低运营商成本。
这些都适合在业务控制点部署,如城域网SR、IDC汇聚层,而不是全网部署。同时不少运营商都倾向在这个位置上新增专门的安全功能模块,而不是在既有路由器上实现安全功能。
路由器上的安全功能在企业网比较有用,ISR、A1000以及HP/H3C的MSR都把安全功能作为闪光点。
与其说是防火墙的重定义,还不如说是安全网关产品的重新分类梳理。
分类不是由产品决定的,而是由用户需求决定的。产品不过是技术的组合而已。
在网络边界上,政府、金融、电力等单位的重要网络因所含信息重要度很高,因此安全需求最高。最适合防火墙、UTM(以安全防护为主)等安全为主的产品使用;
大中型企业、政府分支机构等单位网络以连通性为主。内部并无太多重要数据(很多地市级政府网已经变成了交换机+客户端)。安全的需求并不迫切,因此路由器+防火墙+其他UTM特性的产品更加受到欢迎;
而IDC、运营商等,网络连通性是其生存的根本。因为承载的都是他人业务,信息安全性并不需要考虑(由用户自己考虑)。因此,所需要的是强大的路由交换和流量控制功能。
作为厂家对产品的定位应清晰明确,应先定义清楚目标客户再确定做什么产品。所以H和J会做运营商产品,天融信主做防火墙。
山石的目标客户到底在哪儿?个人不太清楚。反正政府、军队、运营商中都偶尔听见,从没看见。
希望山石能有个清晰的定位,才能做出更好的产品。
个人意见,仅供参考。
To 62:
赞一个
在客户体验至上的现在,一定是业务驱动技术,而不是技术驱动业务
分类不是由产品决定的,而是由用户需求决定的。产品不过是技术的组合而已。
————————-
超赞
潜水很久,看到willchen和os9600两位高人的评论,拜服。方便时请联系hotcoffeer@hotmail.com,有问题请教,谢谢!
willchen 看到本质了 业务驱动技术 很精准的描述
你是不是那个陈,T-〉H-〉S-〉W
To Panabit:
“路由将会逐渐向应用层靠拢,比如application或者content的路由;”部分赞同,低端路由器的确是这样,高端的、运营商骨干网的路由器,主要任务还是转发IP报文。
低端路由器应该叫做“数据转发服务器”更合适,转发IP报文只是最基本的功能。
早期低端路由器能转发数据类型越多越好,如:IPX、SNA、字符中端等。
而现在的IP路由器,则是能够限制的数据类型越多越好,如:限制QQ、限制炒股、限制P2P等。
其实路由器在“限制转发”这方面做的并不好,安全应该是服务,而不是产品。(1)不同国家和地区的应用是不同的,Cisco的ISR不能识别QQ,即便能够识别中国的QQ,估计也不能识别全世界所有国家的QQ。(2)不同国家和地区,同一地区的不同客户对安全功能需求也是不同的,运营商需要识别VoIP流量,企业老板要识别员工炒股的流量。路由器厂商用做产品的团队和流程去做安全,是不行的。而象Panabit之类的厂商,要想把路由器里面的诸多转发功能做全,也还是要花很多精力的。这些功能包括:各种线路和链路层协议的支持,路由协议,MPLS以及VoIP等增值业务。
让客户在网络边缘的分支机构放两台设备(一台路由器、一台Panabit),增加采购成本,增加维护工作量,不是最好的。
所以说,应该合作,路由器厂商提供基础平台,安全厂商提供服务,去识别报文,这样最好。
现在竞争已经不是纯粹比拼谁的技术做的好了,更考验谁会合作,谁能够跟产业链上下游厂商之间建立更加广泛的合作关系。
路由器、交换机永远都是基础设备,其他功能都会逐渐融合到基础设备上,汇聚是大势。
个人认为相对于合作,收购可能是更实际的选项。
打酱油的,我晕了,我承认我密码学学的极烂……看不懂,能给点提示么?
黄岩兄好久没有出马了,呵呵,多谢!看发言,就知道老兄在华为挺爽的!
这个行业还没有开放平台,或者是收购,或者是自己做,提供平台软件的,比如windriver之类的,没有实力,建不起来生态圈。
SUNNYVALE, Calif., Dec. 6, 2010 — Juniper Networks (NYSE: JNPR) today announced it has acquired Altor Networks, a leading provider of virtualization security technology that enables organizations to secure the virtualized world. This acquisition will allow Juniper to extend its market-leading security position by delivering an integrated, highly-scalable security architecture that protects physical and virtual systems. Under the terms of the agreement, Juniper acquired Altor for a cash purchase price of approximately $95 million, net of Altor shares already owned by Juniper.
….细分领域的Start-Up都被大鳄们收入囊中,联想起前几天的那个大鱼吃小鱼…小公司怎么活…难道最好的结局就是被吃掉…
这个世界从来不缺乏创造力,google之后又facebook,之后又有twitter,现在groupon继续火爆……
大公司兼并了小公司,也并不意味着新生对手就不存在,也不意味着新公司没办法成长,找准自己的位置,提供自己的产品吧。
就山石的产品来看,并没有特殊的亮点
仍旧延续ns的思路,然而环境变了,再走老路已经不通了
最高端的有j,c,h等,直接面对这几家,胜算太小
而低端的有上百个品牌,各有各的道
再者渠道有问题,h3c的产品虽然差,但渠道做的真好
按照目前的路子走下去,可以预见,前景很不乐观
To tom:
为什么说山石延续ns的思路呢?何以见得。
ns和ft走的是两个路线,一个是走性能,一个是走应用。
hs走的路核心还是性能,也很重视应用,但要走的路还很长。
时也,势也
ns的年代注定走高性能,当时放眼天下,谁是英雄?
hs的年代注定只能走应用的高性能,路漫漫其修远兮!
各位能说的再深入些吗?
市场需要的是什么?或者说这两个会在同样的市场上发生冲突吗?还是面向的是不同的应用?
感觉就是原有技术的排列组合 没有啥突破性的点
Hillstone虽然性能高。但是,没有做市场的空间。Hillstone能占据哪快市场呢?政府:天融信,启明,联想网御;电信:华赛,华为,H3C;金融:Juniper,天融信;能源:天融信,启明,H3C;企业:Fortinet。Hillstone夹缝生存,华赛,H3C市场的增长,会使Hillstone无法生存,关门的可能性很大,公司目前利润率不到10%,产品更新变慢,问题开始变多。Hillstone比华赛成立时间早,销售额达不到华赛的1/2,华赛已经突破2亿的销售额,Hillstonet还为1亿的销售额头痛。华赛,H3C不出两年就会吃掉Hillstonet的市场。这是实话实说,欢迎点评。
Hillstone虽然性能高。但是,没有做市场的空间。Hillstone能占据哪快市场呢?政府:天融信,启明,联想网御;电信:华赛,华为,H3C;金融:Juniper,天融信;能源:天融信,启明,H3C;企业:Fortinet。Hillstone夹缝生存,华赛,H3C市场的增长,会使Hillstone无法生存,关门的可能性很大,公司目前利润率不到10%,产品更新变慢,问题开始变多。Hillstone比华赛成立时间早,销售额达不到华赛的1/2,华赛已经突破2亿的销售额,Hillstonet还为1亿的销售额头痛。华赛,H3C不出两年就会吃掉Hillstonet的市场。这是实话实说,希望能和大家讨论。
Hillstone山石网科:防火墙的重定义
这个标题有点过了吧。山石啥时候重定义过防火墙?山石提出过啥革新的技术?
同意楼上的观点,安全发展到现在貌似没有很多的创新,小修小补的居多啊。
82楼,标题是外人的观点,准确地说是我当时的感受。仅此而已。
山石的前景堪忧啊~
楼上为何这么说?
85是麻雀不知道鸿鹄之志吧
鸿鹄遇见B2也没辙,华为就是那架B2。