admin管理员组

文章数量:829173

51CTO.com 巅峰访谈:让远程接入访问变得更简单 更高效

        毫无疑问,在远程访问需求方面,SSL VPN技术在与IPsec的竞争中取得了胜利。Gartner报告称SSL VPN将成为大部分商业使用的、主要的远程接入方式。但是随着SSL VPN使用的增加,对接入安全性和性能的要求也越来越高。而一般的VPN解决方案不能满足这些持续增长的需求,达不到在性能、扩展性、安全性、用户体验和统一接入方面的目标。那么如何建立一个完全符合SSL VPN要求的平台,怎样才能满足企业和服务供应商的远程接入访问需求,为此51CTO.com特别策划了此次巅峰访谈。


2009年6月24日10:00-11:30
Array Networks副总裁兼首席技术官 徐乃丁
Array Networks市场总监 吴跃鹏 51cto直播小组 : 巅峰访谈将于5分钟后开始。 主持人 : 大家好,欢迎来到51CTO的巅峰访谈。我是本次访谈的主持人赵毅,这次巅峰访谈依然延续以往的方式,邀请SSL VPN领域的领导厂商的专家,与51CTO的网友来共同分享SSL VPN领域的技术观点,和他们在实际工作中经验。 今天请到的是Array Networks公司副总裁兼首席技术官徐乃丁博士,和Array Networks公司市场总监吴跃鹏先生,首先请二位嘉宾介绍一下当前主要负责哪些方面的工作。 徐乃丁 : 谢谢主持人,今天是我们的荣幸,能够来这边跟大家分享一下在SSL VPN领域方面技术,以及市场方面的信息。我徐乃丁主要是在Array负责所有技术方面的开发以及研究。 吴跃鹏 : 51CTO的各位网友大家好,我是Array中国区的市场总监吴跃鹏。我是负责市场管理和市场的推广与宣传工作,谢谢! 主持人 : 谢谢两位。其实这次请二位来,一方面是从市场的角度探讨一下SSL VPN技术发展的历程。其次,我们想从企业的应用角度,谈谈SSL VPN的技术以及解决方案。最后,给51CTO的网友留一些时间,由两位专家解答一下问题。 主持人 : 其实说到SSL VPN并不是一个新的话题,随着互联网的发展,我们很多企业的业务形态都发生了改变。比如说有远程接入的一些访问需求,可能还有移动办公用户、外地出差的员工等等,这些需求随着企业的发展都在进一步的完善和更新之中。这个时候,SSL VPN的技术和解决方案,以及产品就成为了这些企业必不可少的IT投资。我想请问一下徐博士,以您的经验来看,与前几年相比,目前用户在这部分的需求,呈现了哪些特点? 徐乃丁 : 最主要的需求是越来越多的用户,已经变成他们日常工作的一部分。没有SSL VPN的能力,就好比不能够办公的状态。同时,因为变成他们日常业务的一部分,所以对于产品的性能需求,以及扩容性的需求,跟过去几年有相当高的提升。 同时,因为每个人在任何时候不见得都能够用他们自己的平台来处理他们所需要的业务,好比说有的时候到外地去出差,忘了带自己的终端的时候,他们要办理业务怎么办?所以,我们向厂家提供各种平台,允许他们能够来接入他们公司内部网络,来处理业务程序。这是非常大的变化,过去大家有这个需求,但不是变成日常生活的一部分,今天变成了日常生活的一部分。 主持人 : 其实刚才徐博士从市场的角度总结了一下关于远程访问SSL VPN的特点。 主持人 : 您作为这个领域的专家,如果想满足刚才所说的需求的特点,有哪些行之有效的手段呢? 徐乃丁 : 在早期,各企业主要是用专线来解决他们远程访问的需求,但是大家知道专线是非常缺乏灵活性,而且价格非常高。这也是为什么当互联网变成普及的时候,IPsec的技术被很多人接受来支持远程访问,以及MPLS的应用。IPsec的技术有它的强处和弱点,弱点是对于现有网络需要有相当的改变,它不能随便与现有网络里面的代理私服器、防火墙能够很清楚地兼容,你往往需要更改这些设备,让IPsec 的流量通过。这也是为什么SSL VPN这项技术推出来的时候,他很容易与现有的网络设备共存,同时也允许各种不同的平台来应用这种技术,所以很多人因为这样的灵活性,而接受了这种新技术的方案。 主持人 : 您谈到了三种方式,一个是IPsec,一个是专线,还有一个是我们今天谈的话题SSL VPN。这三种有哪些差异呢?您刚才只说了IPsec的优势和特点。 徐乃丁 : 现在主要应用的技术是IPsec和SSL VPN,IPsec主要应用在点与点的连接,是属于固定性的。 主持人 : 点对点的连接是IPsec固定? 徐乃丁 : 好比一个公司在外面有1、2百个分行,因为运作是很稳定的,所以用IPsec很稳定。但是,假如今天我有2万个员工,需要在各地应用的时候,那么IPsec就造成了困扰,SSL VPN就变成了很好的解决方案。 主持人 : 会造成什么困扰?如果2万个员工在全球各地接入企业内部的网络有一些业务需求,用IPsec不行吗? 徐乃丁 : 在IPsec的时候,你需要在每一个员工的机器里面装一个客户端。假如你有2万个用户分布在全球各地,你怎么办?你怎么把那些软件加到不同用户的机器里面,这就是一个技术上可行,运作上很难的方式。但是SSL VPN基本上当你上网以后,马上可以自动下载这个软件到你的PC上面去。有了新的版本软件之后,你也可以自动的下载。所以,在整个IT的整个运作方面,变得非常方便。 主持人 : 就是您刚才说的,IPsec VPN对比SSL VPN来讲,IPsec VPN只要有一个远程接入的访问需求,就必须有一个客户端协助它完成这种需求。而SSL VPN相比较而言,就不需要这个客户端? 徐乃丁 : 客户端都需要,但是客户端是事先就要安排好的,还是在你需要的时候你可以及时安排,这也是表示IPsec VPN因为要事先安排好,缺乏灵活性,而SSL VPN允许在你需要的时候,及时下载。所以,在运作方面具有相当的灵活性。 主持人 : 就是SSL VPN是按需所制。 徐乃丁 : 是的。 吴跃鹏 : 我们选择SSL VPN,主要是宣传客户端。它是通过浏览器接入的,我们浏览器来讲,访问的客户端基本上都是匹配的。无论是IE还是火狐都可以,所以安装是非常简单的。 吴跃鹏 : 第二点是部署的时候,我们IPsec VPN需要开很多的端口,比如说企业有上网的代理的时候,他的访问和连通,可能需要对IP架构做很大的调整。SSL VPN因为传统是TCP一个43的通道上,所以穿透力非常好,部署起来很容易。 吴跃鹏 : 我们在中国有很多大的企业客户,他们有很多的员工或者是合作伙伴,分布在全国各地,甚至在全球各地。这个时候如果部署的话,不可能每个地方网管员亲自安装。如果很多的人出现各种问题,网管人员的电话基本上就打爆了。而SSL VPN基本不存在这个问题,所以它的部署、安装、实施都非常灵活和方便。 主持人 : 这也可以说SSL VPN是到目前为止应用非常广泛的一个巨大优势? 吴跃鹏 : 是的。 主持人 : 刚才您所说的技术中,目前被用户广泛认可的,除了您刚才说的三种,一种是专线,一种是IPsec VPN,还有一种是SSL VPN。这三种在用户中的应用比率是怎样的? 徐乃丁 : 专线仍然有人用,因为大的公司需要稳定程度,所以如果是一个金字塔的话,他们在金字塔的尖端。SSL VPN可以说因为它的灵活性,以及可用性,可以广泛地被应用,等于是在金字塔的下端。IPsec VPN可以说是在中间,因为它具有相当专线的性能,在点对点固定的一些方面来说。同时,它对于远程的访问有相当的支持,所以它是在金字塔中间的地方。 主持人 : 然后SSL VPN比这两种更有一些解决目前用户需求的优势? 徐乃丁 : 有某种相当的灵活性,以及广泛性。 主持人 : 其实SSL VPN技术的出现,的确可以帮助我们现在的用户解决一些远程访问应用安全的问题。那么徐博士作为这方面的专家,能不能给我们介绍一下SSL VPN的发展历程是怎样的? 徐乃丁 : SSL VPN最先大家是用来怎么访问Web的应用,因为SSL VPN的技术是用Web浏览器发展的。当时大家有一个想法,因为Web是整个业界的走向,所以所有的应用就要Web化。但事实上,即使所有的应用Web化以后,在运作上面一些人比较习惯于一些操作方式,或者是Web有它的局限度。所以,他们希望用SSL VPN的灵活性,同时能够达到IPsec VPN网对网连接的功能。所以,很快地所有的SSL VPN的厂家,开始将L3VPN的方式发展出来。同时,它对于远程访问,不是让一个用户可以访问任何的应用,而是几个特定的应用。所以,你在特定应用的接入方式方面,有特定的需求,所以很多厂家在这方面加入了这项功能。 一般来说,所有的SSL VPN的厂家,都是着重于远程访问,倾向于点对点的连接。Array因为我们大客户的需求,我们也将SSL VPN的技术,拓展到点对点间的连接。 主持人 : 就是解决用户实际需求? 徐乃丁 : 对。 主持人 : 刚才您说的演变的历程之中,有没有哪些关键的点,促使SSL VPN在某些阶段,或者说是有一些比较明显的变化? 徐乃丁 : 我举个例子。几年前在美国有一个飓风,在纽约地区造成了很大的伤害,等于是在美国那一区的通信访问都受到了相当的损害。有一家我们的客户是提供医疗保险的,他们所有的客户都已经失散掉了。他们的客户仍然需要医疗保险,所以他们和沃尔玛合作,有一个病人只要在沃尔玛买过药的人,他可以在美国各地都可以得到医疗保险。 怎么可以做到这个?因为他们有一个即时的、安全的连接方式,可以连到沃尔玛的SSL VPN的应用上面去,我们的技术基本上被他们应用到了。所以,这是第一次真的在实际环境中体会到,SSL VPN这个技术的灵活性。所以,从此有很多人开始说,我真的需要这个应用。这是一个例子。 主持人 : 您刚才举了一个非常恰当的例子,实际上在它技术的演进的过程中,有没有哪些标志? 徐乃丁 : 我再举第二个例子,因为这件事情,同时加上“911”的事情,很多的大公司说他们需要当任何事情发生的时候,我的业务能够可以继续进行,保障业务的连续性。所以,有一家美国很大的金融机构,就跟我们合作,将我们的产品分布到全世界,在伦敦、纽约、香港、东京、澳大利亚的悉尼部署了我们的产品。他们的目的是当任何一个重要的点发生了问题以后,他的员工只要在全世界各地能够上网的时候,就能够继续进行业务的运行。 主持人 : 只要能接入互联网,就可以保障业务继续进行下去,不会损害公司的利益? 徐乃丁 : 对。当然,在这种状况下面,简单的SSL VPN是不能够达到这个目的的,所以我们为了这个客户,发展了一些新的解决方案。同时,有很多其他的公司也发觉这个很好用,是有这个需求的,所以也开始采用我们这个方案。 主持人 : 谢谢徐博士,您让我们对于远程接入访问和SSL VPN的发展历程有了更深的认识。 主持人 : 如果从市场需求的角度谈SSL VPN,我想问一下吴总,您有什么看法? 吴跃鹏 : SSL VPN的市场在中国也是经过了几年的发展,逐渐在深入,逐渐为广大用户所接受。Array从2004年进入中国,到现在已经5年多了,这5年多也是伴随着中国SSL VPN市场的成长与发展。 吴跃鹏 : SSL VPN的市场最初是被我们国内的高端用户和大型企业所接受,比如说电信、金融、能源等等这些高端用户来使用。现在,SSL VPN逐渐在深入和扩展,逐渐地为中小企业应用。对于高端用户,他们的需求越来越深入和广泛。我们总结了一下中国区市场SSL VPN最近几年的变化,从深度上来讲,由以前的接上去就可以用这种要求比较低的情况,逐渐向需要这个产品有足够的稳定性和很高的性能。这个性能包括了几个方面,我们经常谈到的并发用户的数量。我们知道中国的IT产业,迟早会成为全球第一的IT产业区,因为它的用户量非常大,比如说中国的用户已经超过5亿了。所以,这种高并发用户对于SSL VPN的厂家也是很大的挑战。 吴跃鹏 : 其次表现在速度方面,你光有容量,但是速度不够,你比较慢,用户的体验就不好。从深度上,这是用户对于SSL VPN需求的变化。 吴跃鹏 : 第二,产品的功能和性能有的情况下,对于一些需求产生了更广泛的变化。比如说企业接入控制要求得更严了、更细了。我们以前来讲,可能在SSL VPN用户身份接入方面考虑得更多一点,逐渐会细腻。比如说会扩展到数字证书的认证,比如说身份一些组的权限的分配,要做到足够灵活。 吴跃鹏 : 现在的发展趋势,还要对于用户的接入设备,比如说计算机、笔记本,他的软件、硬件的环境需要一个检查。 吴跃鹏 : 这就是一个NAC的趋势,比如说检查他笔记本防病毒软件的安装情况,他的病毒库有没有更新。我们在国内还碰到一个大的汽车的用户,他有很多零配件的供应商和自己的4S店,他在接入他的管理系统和ERP系统上面来。他对用户接入的计算机有一定的限制,他们采用的是对于MAC地址绑定的检查,他认可的MAC地址才可以接入进来。当然,我们的SSL VPN可以提供很灵活的接入。但是对于身份的验证和对于用户端的软件、硬件环境的信息,现在客户逐渐需求也越来越大了。 吴跃鹏 : 幸好Array在这个方面,在NAC方面也做了很多的工作。包括刚才讲的对于接入设备的硬件、软件环境的检查,还有我们传统用户身份的验证、权限的控制,也积累了很多的经验,有很多的解决方案可以提供。 吴跃鹏 : 还有一个是用户对于访问过程中的审计现在也有需求,希望有一些审计的报告。比如说有一个用户进来了,访问了哪些应用和做了哪些操作,对于网管和安全管理人员来讲,他们是非常关注这个事情的。Array也有这个方面的审计报告方面的解决方案,还有系统可以提供。 吴跃鹏 : 最后一个我想谈的是中国3G的发展,今年是3G的元年,三个电信运营商都在热火朝天地推广他们的3G应用。 主持人 : 是的,这是今年的趋势。 吴跃鹏 : 对,那么我们也在考虑企业如何将他的应用,通过3G的系统来跑。我们知道,通过笔记本连接3G的网络可以用,那么这是一个大的优势。我们还在考虑一点,企业一些关键的应用,如何能通过3G的终端来实现。 主持人 : 其实这也是远程接入的需求。 吴跃鹏 : 对,接入的终端越来越多了。 主持人 : 是的,接入的不再是笔记本电脑,而是我们的手机或者是PDA之类的。 吴跃鹏 : 对,这也是一个大的趋势。所以,我们现在在推出一款新的功能模块,来满足3G的终端来访问企业的应用。这里面有一些关键的技术问题,以后有时间可以跟各位网友再深入交流。 主持人 : 其实用户的需求越来越个性化和细化,他们的要求层出不穷。其实对于各种各样的远程接入技术比较而言,衡量一个SSL VPN的产品或者是解决方案的优劣,不能单独看它在市场上的占有率。像刚才吴总所说的,有几方面也是必须考虑的。 主持人 : 比如说用户在使用过程中实际的体验,过程吴总说的产品的性能问题和安全上的问题等等,这些都是用户在考虑SSL VPN产品解决方案的时候,要重点去关注的。那么,Array公司作为SSL VPN领域一个知名的厂商,请徐博士给我们介绍一下Array公司SSL VPN的产品,或者说解决方案,有哪些技术上的特点? 徐乃丁 : 我们从技术来说有三大特点。 徐乃丁 : 第一,高性能以及高扩容性。因为刚刚吴总也说过了,用户需求量越来越增加,我们今天所谈到的不只是10、20个人,或者是几百人,往往是上万人。所以,我们中国的客户已经用到上万个。 主持人 : 没错,中国地大物博,客户也很容易就可以上万了。 徐乃丁 : 对,很容易就上万个,假如你产品的性能不能支持,你再好也不行。 徐乃丁 : 第二,因为客户群的增加,大家所用的说网的平台变化比较多。而且,所需要上网的方式也往往因为他们业务的需求或者是个人需求的不一样,所以需要各种不同的上网方式,以及支持平台。所以,Array在这方面做了非常多的工作。比如说我们能够不仅支持Windows,我们对于Linux、Mobile等都有支持。 徐乃丁 : 第三,这是往往被大家忽略的,就是你用互联网的时候,有相当的不稳定性。对于非业务重要性的应用没什么关系,断一下就断一下,但是对于业务非常重要的应用的时候,好比说一个保险公司的推销员正在跟客户谈生意,要把客户的资料输送到总部去的时候,输送到一半这个线断掉了,这个生意很难谈下去了。 徐乃丁 : 所以,怎么样保证连接线的稳定,保证基本的需求?Array在这个方面做了非常多的工作。好比我们可以允许把这个线拔掉,在15秒之内能够自动连接上。 主持人 : 就是把这个线断掉? 徐乃丁 : 对,在15秒内自动可以连接上。比如说我们的业务员跟客户谈生意的时候,需要输入一些东西的时候,他可以继续谈,而不是说断掉我不知道怎么来谈。 主持人 : 其实15秒可以做很多的事情。 徐乃丁 : 但是,当你断掉的时候,15秒变成了很大的空档。所以,我们在美国的客户就体会到了这个价值,因为他们往往需要到偏远地区做业务上的事情,偏远地区的上网是非常有问题的,在这种情况下都可以做到。在中国业务发展越来越大的时候,到城市以外的时候,上网一定会碰到这样的情况。 主持人 : 就是IT技术比较差,比较薄弱的地区? 徐乃丁 : 这跟你公司的IT基础设施无关,在任何的国家都有这样的事情。所以,我们可以保证这一点。 徐乃丁 : 我们的产品在性能和扩容方面,比其他的产品都有优势,我们可以访问不同的平台,而且我们线的连接稳定性有相当的保证。 主持人 : 您刚才所说的三点,首先是高性能和扩容性,其次是可以接入各种不同的远程接入方式,满足这种需求。第三个是保证一些关键业务的应用,可以正常地连续性地访问。 主持人 : 那么,对于第一点来说,扩容性我们很好理解,中国的人口最多,满足这么多人口的需求,肯定是我们在这个方面做了一些工作。那么,我们的高性能体现在哪? 徐乃丁 : 我们的高性能是说你现在上网的人多了,每一个人都有相当多的需求,不能说每个人都上网,每个人就像滴水一样的需求。现在有上万人,每一个人都需要30、40兆的速度,那么1万人是多少?这是很好算的,你算一下就知道你需要相当大的流量。 主持人 : 有没有具体的数字呢? 徐乃丁 : 我刚才说了,在华尔街一家金融机构,当我谈到他们的需求,我有上万个用户需要上网,每个客户能够保证有30、40兆的速度,你能不能做到?我们当时跟他说可以做到,他不相信。他说你最后把测试报告给我看,同时我看完测试报告以后,要到你的总部里来亲自验收你的测试方式。 主持人 : 他们不相信? 徐乃丁 : 他们不相信,他们认为不可能有这个事情。最后,我们把我们的测试报告做完了给他看,我们把在什么时候会达到饱和都告诉他,所以对于他来说是非常重要的。他说我现在超过几万以后,我就必须要买新的设备,我心里有一个数。而不是说你可以随便接入多少都可以,这是我们公司基本做业务的信念,我们可以做到什么程度。当你的业务超过这个程度的时候,你应该怎么做,我们可以帮助你做这件事情。 主持人 : 这方面吴总有没有什么补充? 吴跃鹏 : 在高性能方面有两个方面,一个是深度,一个是广度。这方面Array积攒了很多的技术储备,包括我们的硬件的加速卡,无论我们高端还是低端的SSL VPN的设备,里面都内置了L3VPN,这是保证我们高性能运算的技术。另外,我们也在探讨我们下一步的发展,容量和速度能不能进一步提升。 主持人 : 其实第二方面您刚才谈到的各种各样不同的接入方式可以满足这方面的需求,其实是很好理解的。那么,对于保障关键业务应用,有没有比较明显的例子?您刚才已经举了一些例子,但是这些例子在我看来,对于一个移动办公的用户来说,可能他最关键的业务应用,要马上访问公司的财务报表的系统,在他远程接入访问需求的时候,他怎么样能保障这部分用户的这个需求? 徐乃丁 : 谈到SSL VPN的应用,大家一般所想到的就是远程访问,当然我们在这方面做了很多的工作。好比说我们提供的方案在屏幕的下端有一个红色的A字,来代表你这个连线是很健康的。当它不健康的时候,它的就要会变成黄色,当完全断掉以后就变成了灰色。所以,当用户熟悉以后,他知道我现在变成了黄色,就是说我实际的连线有了问题,但是Array的方案正在帮我想办法解决掉,我不要心慌。即使他的反应慢一点也没有关系,当他真的变成灰色了,它实在是有问题了,我需要做一些其他的处理方式。所以,等于是我们给使用者相当的信心和安心的保障,只要是黄颜色的,大概恢复的可能性是90%,不要担心,他可以继续他业务的需求。这是对于远程访问用户的方式。 徐乃丁 : 同时,我们谈到了SSL VPN的应用是很灵活性的,所以我们事实上在中国有很多客户是用我们的解决方案来支持他们基本的用户。好比有些零售商,他们需要将他们零售过程的资料能够储备起来。在零售商里面,怎么样把这个资料很安全地传输到这个软件记录起来。而这个断掉之后,你这个零售商就不能做业务了。 主持人 : 这就是他的关键业务? 徐乃丁 : 对。假如你实体的线有问题,我们可以帮他恢复,这个零售商根本不知道连不连,中间断掉了看不见,这也是非常重要的事情。所以,这就是为什么我们SSL VPN的产品在中国发展得好,因为大家体会到了到关键时候不能继续经营的时候,就变得非常重要。 主持人 : 其实现在很多IT设备的供应商都可以提供SSL VPN的技术和产品,与其他的产品相比较而言,我们Array所提供的SSL VPN的产品,有哪些优势呢? 徐乃丁 : 刚才已经说过了,比如说我们的客户说我现在有上万人需要做远程访问,有哪些厂家能够提供?就我所知,现在很多我们的竞争对手碰到这种事情,他们就自动退出了。 主持人 : 就是用户的接入数量,一到上万人是一个坎儿。那能透露一下我们Array在SSL VPN产品的具体数字吗? 吴跃鹏 : 目前我们最高端的产品最高可以到6.4万个并发用户,随着我们SSL VPN的软件体系结构进一步发展,有可能会更高,徐总正在规划这方面的事情。 主持人 : 目前市场上其他SSL VPN的产品达不到这个数量级别吗? 徐乃丁 : 最高号称超过5000。 主持人 : 这个数量级相差很大啊? 徐乃丁 : 这也是为什么我刚才说的我们跟华尔街那家金融机构谈的时候,他不相信我们能达到这个数字。 主持人 : 因为他看到目前市场上的产品都是数千级别的,而我们是上万级别的。 吴跃鹏 : 这也是经过用户检验的,我们国内超过上万并发用户的我们有几家。 主持人 : 还有其他的优势么? 徐乃丁 : 我们可以保证连接的稳定性,所以在中国有好几家公司等于是将我们的产品,和他们的业务的系统连接起来。 主持人 : 那么我觉得其他公司的产品和解决方案也可以做到?您为什么这么说呢? 徐乃丁 : 因为我们开发了几个专利和技术。 主持人 : 请您给我们51CTO的网友介绍一下这些专利和技术。 徐乃丁 : 我们有一个自动发现运营商的连线中间的问题,我们经过各种不同的尝试,希望能够在尝试中间仍然能够保持连线的状态。做到这个以后,当运营商连线出现问题,一般在几秒钟之内可以恢复的,我们可以很快地将SSL VPN的连线恢复掉。 主持人 : 这是一方面的优势,可以保证连接的稳定性。那么,在这个线路有问题的时候,可能是几个层面,有可能是物理层面的,这个我们肯定没有办法恢复。除了物理层面,还有一些网络层、协议的配置方面的问题,可能也导致网络线路的不畅通性。那么,这应该算我们的专利吧? 徐乃丁 : 一般来说今天运营商的网络的性能,都是有各个不同的路线连接两个点。所以,他们自己本身的网络设计就有相当地自我医疗的方式。比如说我的路由塞车以后,会很快地将这个路由的流量分散到其他的地方去。所以,对于使用者来说不觉得有变化,但事实上是有变化的,比如说在1、2秒之内觉得此路不通,过了2、3秒之后觉得某一个路通了。 主持人 : 是这种情况。 徐乃丁 : 是的,在这种状况下,对于SSL VPN或者是其他的应用就有相当的影响,因为你搞不清楚这种不通是暂时性的不通,或者是可以恢复的。在这种时候有相当的机制我们可以解决,假设我们是永远不会恢复的,在这种状况下我们怎么运作。 主持人 : 等于这是我们的优势和特点。 吴跃鹏 : 我补充一点。我比较了解国内SSL VPN其他厂家的发展状况。这几年Array一直处于SSL VPN市场的领导地位,尤其是高端的用户,比如说电信。大家知道电信需要电信级网络设备,他对于设备的要求非常高,它的稳定性、它的性能、它的用户需求的满足度,不是说在实验室里大家看一测挺好,价格也很便宜就行了,对于它的品质要求是很强的。 吴跃鹏 : 我总结了一下,在功能方面我们国内的厂商可能跟我们还有一点点的差距,比如说我们接入的控制方面。我们的接入控制可以做得比较细腻,甚至可以在应用层,我们一般是在七层。比如说对于URL的控制,比如说对于SQL防护的措施。那么这是在应用层防护的控制,当然还有一些用户的身份验证机制,我们可以做到灵活。比如说对于认证证书和USB key,还有你的序列号等等比较细的用户标识都可以检查。 吴跃鹏 : 还有在接入审计方面,我们有专门的审计模块可以提供审计的报表,就是用户接入做了什么事情,我们可以出一个审计报告提供给网管人员,或者是公司的领导人员,可以比较直观地安全审计。 吴跃鹏 : 再一个是我们实现了其他厂家目前还没有做到的,就是SSL VPN和NAC的融合。NAC可能更多考虑的除了远程接入方面,支持SSL VPN是一个主要的特点。目前我们国内尤其是高端的用户,比如说比较大的电信服务提供商,他的员工有数万个,他的内网接入控制就变得非常紧迫。我们知道安全要二八开,内网的安全控制重要性往往非常强。如何通过SSL VPN达到一个内网的接入访问的控制,他们可能有一些特殊的需求。 主持人 : 这也是我们的优势? 吴跃鹏 : 这也是我们做的工作,包括WLAN的接入,现在我们正在把企业的应用通过SSL VPN部署在3G的手机上。3G的手机目前很多的操作系统,Windows Mobile、黑莓的等等。那么你企业要开发各种不同的客户端程序,放在这个上面是很困难的。我们做了一个手机的虚拟桌面,通过SSL VPN很灵活地部署到这上面。 主持人 : 这是我们目前SSL VPN取得的成就是吗? 吴跃鹏 : 对。 主持人 : 还有吗? 吴跃鹏 : 我们还有几个在研究阶段的,现在还不方便透露。 主持人 : 其实我总结了一下刚才吴总说的几个优势。 主持人 : 首先,我们在用户的接入数量上,就是用户的并发数可以达到6.4万个同时并发的用户数,这是一个绝对的优势。其次,刚才徐博士也介绍了一下,在保证业务的连续性上面有一个绝对的优势。而且,这项优势也是我们在全球范围内的一个技术专利。刚才吴总也说了,对于接入控制也是一方面的优势,可以实现应用层第七层基于不同应用的权限控制。还有一方面是可以提供一些审计以及报表,还有是与NAC的联动配合。 主持人 : 在这些优势上,我想其他的SSL VPN厂商可能是相对而言,他们可能有,但是不如我们。 吴跃鹏 : 他们跟我们时间上有很大的差距。 主持人 : 在这几个优势里面,我想特别问一下,如何对于第七层应用层的应用进行控制?因为我们都知道,你想控制第七层应用层的东西,你必须要先检测,你得区分出来有哪些应用,而且你要检测出来这些应用,才能达到控制的目的。 主持人 : 我想问一下徐博士,在这方面我们Array的技术有什么研究?或者是您怎么看的? 徐乃丁 : 刚才吴总也说过了,我们有一个客户使得我们发现有可能这个应用会变成中国大企业的趋势,就是他们需要内部网来自由访问。员工多了,比如说他们财务报表不可能让每一个员工都访问,那么怎么保护?尤其是公司大了以后,财务人员不可能集中在一个地方,很可能是分散在全国各地,这是一个基本的考量。所以,你现在说我们要怎么做到能够在许多的流量中间,找到需要的流量。 主持人 : 这是很难的问题。 徐乃丁 : 我们是把所有的流量检查一遍,那么少的流量我们可以,大的流量也可以。 主持人 : 理论上是行得通的? 徐乃丁 : 对,但是实际上无法运作。比如说从美国过来的每一个人我都检查猪流感,但是是没法检查的。现在比2、3个礼拜之前大家的探讨更有效了,中国人讲凡事到发源地找根源。 徐乃丁 : 所以,基本上一个使用者需要找哪一个资源的时候,他最知道。我们是否能够从他的角度,说我现在只是说网看一个电子邮件的时候我不需要保护,这件事情在他的PC上面是很早就知道的。那么我们是不是说这个是他平常上网的,让他流过去。但是,当他使用业务报表的时候,需要启动这个应用的时候,我们在PC上马上就知道了,帮助他加密,怎么样做控制,或者是来印证他能不能使用这个应用。 主持人 : 是不是可以这样形容?我们的应用是无穷无尽,但是应用最终的目的是有限的几个? 徐乃丁 : 对。 主持人 : 那我就理解了。 吴跃鹏 : 关于主持人说的七层数据方面我们做到一些检查和控制,我们SSL VPN除了隧道这种模式,我们还有其他的模式提供七层的访问,就是我们的WebLI这种方式,它可以进行七层的转发和检查,所以我们可以做到七层深度的检查工作。目前来看,七层这种检查和处理的模式,是国内其他的厂家做得还不够的地方。我们很多大型企业的Web应用的部署,都通过我们的WebLI的方式。因为越到七层难度越高,因为性能越高,所以我们在这个模块上还是非常领先的。 主持人 : 刚才两位也介绍了我们Array在SSL VPN产品方面的优势和特点。我想这些优势和特点,对于当前的企业用户来说是有足够的吸引力的。为什么呢?因为我们大家都知道,SSL VPN作为一种IT投入,其实一个目的是为了帮助用户节省成本,节省一个总的IT方面或者是业务方面的成本。 主持人 : 那么,SSL VPN的一些应用也不例外,请问徐先生怎么看待SSL VPN在节约成本方面的问题呢? 徐乃丁 : 节约成本的问题,厂家说等于是在吹牛。所以,最主要是我们大客户真的体会到。因为他们算成本的节约,买东西对于他们来说是整个成本的一小部分。平常日用之间的应用成本是非常高的,所以他们是算一个用户他们要花多少IT的支持。我们在美国的大客户他们都算过了,他们把这个数字给我们看了,他使用我们产品的时候,至少可以减少到20%的成本,等于是减少80%。 徐乃丁 : 因为他们的IT每年都算你有多少的应用,我给你多少的预算,所以他们的应用每年都在增加,但是他们的预算每年在减少,他们可以看得到。 徐乃丁 : 另外一个特质是跟我们的功能无关的,是我们在绿色环保方面下了很大的功夫。所以,现在IT今天所面临的基本问题,大部分说是因为数据的空间不够需要寻找,实际上最大的问题是电力的消耗和冷却的问题。 徐乃丁 : 我们的大部分的机器跟我们竞争对手中低端机器消耗的还低一点,所以客户很容易算出来,在电力的消耗以及冷气的需求上面,可以减少多少。 主持人 : 我不太理解这方面的需求,因为我们提到了一个数据中心的节能和能耗的问题,那么绿色也是近几年常谈的话题。我们Array的产品和技术,我们怎么去做到呢? 徐乃丁 : 很简单,像我在日本的时候,我们碰到一个客户,他们今天用了我们5、6台的机器。他跟我说,你能不能把今天我用5、6台机器的能源消耗度减半?因为他们数据中心每个月消耗了这么多的电力,整体他需要减少消耗25%,他需要到每一个设备上面慢慢地减。所以基本上很容易算得出来,我今天用Array的设备是用这么多,我明天用Array设备的时候至少可以减25%,但是他总是希望减得越多越好,因为有些设备没有减。所以,他基本的目的是每样都减半,你能不能做到?我们能够做到,没有问题。 徐乃丁 : 所以我举个例子。我们中国在古时候做了很多很伟大的建筑,像我去旅游的时候看到一个很大的石碑,当时没有机器,完全是人力,把那个石碑立起来,那需要多少的人力?但是今天有了机器,所以花的人力减少了。我们Array的技术,在软件方面等于是机械化,允许我们的以最少的CPU做最多的事情。 主持人 : 怎么解释呢? 徐乃丁 : 因为我们有一个固定的处理能力,好比我们每个人只能搬50斤的东西,我们要扛的话,也只能扛这么多,但是有一个东西是100斤,我们要运的时候怎么办呢?那么Array就发明了机械化,我一个人仍然可以从50斤搬东西,变成了100斤。有机械化,我甚至可以搬动200斤或者是300斤。 徐乃丁 : 所以,我们在软件方面是不是可以做到这样的事情?比如说一个CPU在每秒钟可以处理1亿的信息,但是假设处理这1亿的信息在七层的应用方面,我们等于是比别人多了一倍,那么我的能力就突然增加了。所以,这就是吴总说的,我们的设备可以支持6.4万人的并发应用,而别人做不到。 主持人 : 吴总有什么补充呢? 吴跃鹏 : 徐总在美国待的时间比较长,我理解的是优化,就是同样的软件做同样的事情,代码足够的优化使得效率足够高,这是一个研发团队的功底和架构设计的问题。 主持人 : 就是在软件架构上,我们对于我们自己的软件的架构不但地进行优化,以达到这部分最终的绿色的IT的节能降耗? 吴跃鹏 : 是的。 主持人 : 其实按徐博士所说的技术和方法,的确可以帮助用户节省很多的投资和成本。但是,对于用户而言,选购一款SSL VPN来说,他们不能仅仅看到省钱的一方面,必然要看到对于他们的实际应用需求有关系的一方面。请问徐博士,您在用户选购SSL VPN方面,对于用户来说有哪些建议和意见? 徐乃丁 : 最重要也是用户需要了解的是他需要用来做什么事情、怎么用、他现有的环境是什么样的。第二个是他需要支持的用户有多少、流量有多少,这要有所了解。比如说我们买一个车子,你买这个车子是越野用的,还是平常休闲用的,还是上班用的。你不能说看一个越野的车子很酷,买来上班用,这是不符合实际的。还有你家里面只有两口人,而买一个可以装十几口人的车子没有用。所以,就是用户买到一个是否适合自己用的产品。 主持人 : 吴总有补充吗? 吴跃鹏 : 就像徐总说的,适合自己的就好了,不同的用户的应用特点也不一样,比如说有的用户应用很复杂,可以用隧道式的应用。如果企业的访问比较大,是通过Web浏览的,他肯定是用七层的Web的方式更合适。因为我们知道SSL VPN有几种接入的模式,不同的业务、不同的模块可以用不同的SSL VPN模式接入。这是用户选购的时候,可以选择的一方面。 吴跃鹏 : 还有,用户在选择不同的SSL VPN产品的时候,最好也要考虑一下它在国内参考的用户,他有哪些用户群,是不是适合自己的一些用户群。尤其是说,是不是在一些中国的典型的用户,比如说电信、金融、能源制造这些大型的用户,是不是有不同的客户的案例。往往在这些企业运行比较好的SSL VPN,它是经过的用户的检验,而且是长时间的一个检验。不同于你选购的时候我在实验室里测一下,这只是你当时你一点点的感受,如果放在复杂的互联网使用或者是大规模用户使用下的使用,跟你实验室的测试不一样。所以,这是考虑设备的使用状况。 吴跃鹏 : 第二个是考虑这个厂家的国内的支持是不是到位,他的支持人员是不是足够。如果他是代理渠道,他的支持怎么样,还有的企业是大的国外厂商,是不是在国内有一些大的研发中心。 主持人 : 就是能不能满足用户定制化的需求? 吴跃鹏 : 对。还有价格的考虑,不只要省钱,还要适合自己。 主持人 : 没错,选择一款适合自己用的就是最好的。 主持人 : 请问徐先生,在SSL VPN的应用与实践当中,您有没有什么建议和经验?用户在应用当中可能会遇到哪些问题和误区? 徐乃丁 : 像我们刚才讲到的Array产品的强项,就是基本上大部分的用户都会很快面临的问题,因为当你买了一个产品,发现它的扩容性或者是流量,并发数不能达到当时的需求,或者是过了半年之后的需求的时候,我们的SSL VPN的产品对于你业务的成长很有帮助。买一个东西是不是在1、2年之内都没有问题,或者是半年之内就不够用,这会造成很大的困难。 徐乃丁 : 还有你在选择的时候根据你业务的方式,是不是适合你的业务需求,在选择的时候有各种各样的方式,这是有多选择性的。 徐乃丁 : 还有连线的稳定性,我们碰到很多的客户,在开始是不会想到这个问题,碰到这个问题的时候,突然发现他们的业务受到了很大的影响,那个时候后悔都来不及。 主持人 : 就咱们用户的应用和实践中,咱们再深究一下。 主持人 : 比如说我们知道在用户的实际应用中,有很多的SSL VPN可以解决用户的需求,SSL VPN作为其中一种可以解决什么问题呢?就是我使用的过程中,能不能解决一些本身硬件产品或者是软件产品存在的稳定性方面的问题?或者同样是我们开发的软件产品,如果我要用到Web方式的SSL VPN,可能存在一些兼容性的问题,这方面我们有没有解决方式? 吴跃鹏 : Web方式大客户是IE,而且接入的平台和操作系统不一样,有可能是Windows,也可能是Array OS的。如果是这样的话,就对于SSL VPN有不同的挑战,这个是存在定位技术的要求。 主持人 : 从徐总和吴总的介绍,可以看出Array的SSL VPN是很强的技术应用。那么Array公司是如何在不断的技术创新下,同时满足多变的用户需求的? 徐乃丁 : 这是两方面,一方面是吴总花很多的时间对于客户新的需求能够相应地了解和掌握,这是很重要的一件事情。另外,我们已经有一个很强大的研发团队,这个研发团队在北京有一个,我们在西部有一个,两大团队配合来开发新的技术,解决新的客户问题。 徐乃丁 : 为什么我强调是以市场的需求、客户的需求为主呢?因为让研发人员去想新技术的话,是海阔天空的,他们是可以想出很多很多各种不同的东西。对于业务上面来说,最重要的是我们是不是能够解决客户真的需求,在这方面我们非常关注,所以我们花很多的时间,是从客户新需求以及市场的趋势来决定我们在研发上面做一些什么事情和不做什么事情。所以,希望我们做的事情都有一些成果,这样公司可以得到益处,客户也可以达到需要解决的事情。 主持人 : 我们强大的研发团队,可以满足客户不同的需求。 主持人 : 当前两个比较热的话题,一个是虚拟化,还有一个是云计算。对于现在这两个比较热的话题,徐先生有什么看法? 徐乃丁 : 这个事情就要说,为什么大家要走虚拟化和云计算的道路?主要是希望能够充分利用现有的资源,另外是让用者可以在不同的地方都用得到,这是云计算的基本需求。 徐乃丁 : 所以,在这上面怎么样很有活力的接入,使得这个环境很安全。 主持人 : 对,因为在这个基础上也是一个远程接入的问题。 徐乃丁 : 所以Array是很幸运的,因为我们大客户的需求,我们有一个新的技术,也是比较特殊的,我们叫做虚拟站点。我们每一台设备可以支持256个虚拟站点,而且到了这个站点以后,你可以访问哪些资源可以确定,而且有一个身份管理。假如我是一个使用者,我只要记得我上这个虚拟站点就可以了,我不需要记得我需要找一大堆的应用。因为我到这个站点我就可以选我用的东西,所以对于用户来说体验非常好。他只要记得一个点,好比你要买东西,只要记得一个铺面就可以了,因为你只要进到这个铺面,你一定可以买到你需要的东西。这对于IT的管理变得非常方便,我可以把我的用户归类成不同的组,每一个组有相当的特性,它的特性就是可以来用哪些业务上的资源,怎么用,甚至于什么时候可以用,什么时候不可以用。 徐乃丁 : 假如情况有更改,我需要改动的时候,他只要改那个虚拟站点的资源就好了,不需要用户改。有一个很简单的方式,比如说我这个虚拟站点改变了,我新加了哪些,我减少了哪些。这对于运作上面非常简便。 主持人 : 当用户需求改变了,我们这边很容易满足用户的需求? 徐乃丁 : 对。 主持人 : 除了这些以外,我们在云计算和虚拟化还取得了哪些成就呢? 徐乃丁 : 到底这些东西有没有人在用,我们刚才已经说了,在中国很多大的厂家已经在用我们的东西。基本上他们在云计算还没有出现的时候,他们已经是这样子用了。我们现在把他们用的方式更证明化,就变成了现在有一个特殊的产业的专有名词来形容这种用法。当然,这种用法一直是有所改进的,他们过去用的是一直没有变化,因为大家用了以后都学到了新的需求需要改进,增加一点什么东西、删掉一些什么东西,所以我们不时地改变我们的解决方案,来满足他们的需求。 主持人 : 刚才吴总谈到了一个叫做桌面快车的,也是这种吗? 吴跃鹏 : 这是两个东西,虚拟桌面是把用户的桌面,比如说终端服务器,或者是企业内部办公的桌面,通过SSL VPN发布到用户的PC上,或者是他的手机终端上,这是虚拟桌面的作用。我们甚至可以理解为,通过SSL VPN把应用虚拟化出去,或者是把桌面虚拟化出去。Array还有一个在虚拟化方面做的,就是我们SSL VPN的接入门户,现在可以连接256个虚拟站点。就是我们一个硬件的设备,逻辑上可以当成256个SSL VPN的门户来使用。还有一些IDC的数据中心,都可以逻辑上来使用。对于大公司或者是大的部门,可以分配一个逻辑的SSL VPN,这个我们在前几年已经实现了。这也是Array在SSL VPN这个方面比较领先的一个虚拟化的技术。 主持人 : 不错,我们看到Array公司在虚拟化和云计算方面取得了很多的成就。尤其是我们的虚拟站点, 应该说为用户带来了更多满足需求的技术的解决手段。 主持人 : 我这边还有最后一个问题,其实随着应用需求的变化,技术其实也是在不断地推陈出新。那么,着眼于技术,徐博士作为远程访问领域的专家,您认为未来SSL VPN的发展特点和发展趋势是怎样的? 徐乃丁 : 我想SSL VPN会用到更多不同的地方去,所以我们技术的发展,基本上是以这个来主导的。我们SSL VPN的技术用到业务需求上面去的时候,我们需要增加什么东西,有哪些特殊性我们需要更改。我刚才说到了几个基本的方面,比如说虚拟化、云计算和3G的应用,这三方面是我们非常努力希望能够提供对客户有特殊的价值的解决方案。 主持人 : 这是你们努力的方向? 徐乃丁 : 是的。 主持人 : 谢谢两位,我们现在来解答一下网友的提问。 主持人 : 在我们探讨的过程中,有很多的网友提出了一些问题,现在我们把时间交给两位嘉宾集中解答一下网友的问题。 主持人 : 网友提问非常踊跃,这么多的问题之中,我选择几个帮助大家解决。 主持人 : 首先这个问题比较有意思。 网友风南 : 请教两位专家,Array和深信服的产品到底有什么不同? 徐乃丁 : 基本上我们谈到Array的产品有三个特殊的强点,第一个是扩容性,以及它可以支持很多的接入方式,所以大的厂家需要上千上万的用户接入的时候,Array决定是好的选择。当然,你只有几百个客户的时候,是不是同样可以支持,我们也有低端的产品可以做这件事情。 徐乃丁 : 第二个强项解决我们可以支持各种不同的接入方式,这跟我们的竞争对手比,我们支持得相当多。最重要的是支持各种各样不同的接入方式和平台之间,更重要的是你是不是有,如果没有我们白说了。我们的产品基本上把市场基本的需求都涵盖了。 徐乃丁 : 第三个是往往大家忽略掉的,是我们有能力保证连线的稳定度。即使基本的互联网中间有一些中断的可能性,因为我们有专利的方式,可以说我们的竞争对手基本上是没有办法做到的。 吴跃鹏 : Array这几年在高端用户上,积累的用户是其他厂家所无法比拟的,尤其是电信、金融、能源、制造这些大的企业,还有保险、汽车等等。那么Array这几年在市场上积攒了很多高端的用户,而且这几年实际运行的效果是非常好的,这一点是其他的厂家目前来讲是不能比的。 吴跃鹏 : Array同时有低端的产品,主要是针对并发用户比较低的用户,所以对于中小企业我们有相应的产品线可以扩充。所以,我们以后会在中小企业市场付出更多的复杂。 网友 : Array的L3VPN在功能上有什么优势? 徐乃丁 : 优势有两个,第一个是在性能方面,我们比我们的竞争对手提供的性能多。尤其是在大型的企业当中,需要上千上万个并发用户使用的时候,我们是可以支持的。 徐乃丁 : 第二个是稳定性,L3VPN基本上是在网络连线,希望在任何的状况下面都保持它的可用性,这是我们决定可以做到的,我们的竞争对手是没有办法做到的。 网友 : 与我们的L3VPN与F5的产品有什么不同呢? 徐乃丁 : 在网络层实际上看起来差不多,但是在实际体验方面,我们的L3VPN是非常好用,好比你买一个车子,买一个好车子开起来是很爽的。 网友 : SSL VPN在网络准入控制中到底扮演什么角色?能否单独作为网关部署在思科的网关之中呢? 徐乃丁 : 在这个方面Array跟思科谈了5年,但是在应用方面非常有限,为什么呢?因为它太复杂了,尤其思科希望大家买他更多的设备,所以几乎是你要使用思科的NAC的方案的时候,你需要把你现有的设备全部换掉,在实际的状况下是不可行的。这也是我们刚才谈到,中国已经有几家大型的企业跟我们谈到,怎么使用Array的NAC来使用思科的功效。 主持人 : 那么Array的NAC在这个之中扮演了什么角色? 徐乃丁 : 我们所提供的不仅仅是SSL VPN这个技术,因为要支持一个产品的时候,我们需要有很多监控的方式,有很多认证方式,决定这个流量的性质。因为你要决定这个NAC是谁做的,来决定需求,所以我们大客户已经顺水推舟已经做了这个功能了,等于我们是怎么把这个现有的功能转换成比较适用于NAC的应用。 主持人 : 各位网友,由于时间关系,回答大家的提问只能暂时到这里了,后继的很多具体问题,我们会整理在一起,请徐先生和吴先生稍晚时进行解答,同时,我们也会把答案及时地发布在本次巅峰访谈的视频专题中。 主持人 : 那么,今天的巅峰访谈就到这里了,非常感谢两位嘉宾徐先生和吴先生参加本次活动,同时也非常感谢那些踊跃提问,积极参与本次SSL VPN巅峰访谈活动的51CTO网友们,谢谢你们和我一起讨论并聆听两位专家分享在远程接入访问领域的观点和看法。谢谢大家! 主持人 : 我们下次巅峰访谈再见! 51cto直播小组 : 本次访谈文字直播部分到此结束,感谢您的关注! 网址: /

本文标签: 51CTOcom 巅峰访谈让远程接入访问变得更简单 更高效