深信服北方区傅家梁经理:安全接入解决方案_港湾网络科技 - HAR.BING

深信服科技北方区产品经理傅家梁

为了探讨电信业网络与信息安全相关内容，促进电信网络安全与可持续发展，中国电子信息产业发展研究院、通信产业报社在有关部门和行业机构的支持下，定于1月8日在京召开“第二届中国电信业网络与信息安全研讨会”。

傅家梁：大家下午好！

很高兴能够在这里给大家介绍一下我们深信服科技的运营商的安全接入的解决方案。

由于我们深信服公司还称不上是大名鼎鼎、如雷贯耳，所以我简单介绍一下我们深信服公司。我们是成长最快、创新能力最强的网络设备的供应商。为什么这么说呢？我们已经连续三年获得了德勤高成长的荣誉，而且我们立足的设备也是最前沿的，就是核心交换机之上的网络设备，主要是给企业提供一个安全接入，包括安全内网管理的设备。

那么我们主要的产品，是ssl的内网行为管理以及网络加速的产品。在国内来说，它的市场占有率也是非常之高。主要在vpn领域，我们在国内做得非常之好，我们是国内的ipsecvpn的标准制定者，大家可能知道国际的，但是在国内来说，我们是国内标准的制定厂商之一。

另外在运营商这一块，我们公司全体来说非常重视，特别是和运营商的合作，包括他们安全的解决方案，我们都会为运营商提供一些本地化的定制服务。因为我们知道运营商对于自己网络的要求，包括接入这一块，都有很多不同的自己的特殊化。包括ssl，它会有外部完整性的修改，包括这一块都是需要本地化的定制。

那么，简单介绍一下像我们运营商企业，有可能会遇到的在内网的一些问题。主要就是像boss系统，这一块的核心业务支撑系统，由于运营商内部员工访问，包括它的一些内部员工访问都是在可信赖的环境之下。就是说在内部，你所有的员工都是非常可信、可靠、安全的，那么你遍布全省的一些员工呢？包括在一些合作伙伴，当然有可能需要接触到你的业务系统，包括一些大客户经理的外出，他要访问公司内部的系统，录入一些单据的时候，这个时候他会遇到一些网络接入技术的问题。包括在这一块的话，我们知道运营商的员工，都可以说是成千论万的，那么这样的话，他对于网络接入的无论是安全还是稳定性，我们都可以知道瞬间的爆发量是非常大的。那么怎么样保证接入的高效、安全、稳定，这是一个业务的网络的问题。

其次就是随时随地的办公。对于我们来说，其实这个和企业是一样的，所有的企业都会遇到这个问题，他总部的oa、erp、邮件系统，包括这一块，他在遇到领导出差和员工外出办公的时候，他还想登陆公司的it系统，有可能他是在一个网吧或者是一个酒店，而这个酒店又正好开了一些防火墙的策略等等。那么它阻止了一些非标准的端口，那么你怎么访问到内网去？还有这一块，包括你访问到内网之后，你所有的操作都必须做到很严格的控制和审计，那么这些安全和随时随地的接入，又是如何来处理的？

另外，包括像我们现在比较流行的无线商务应用，因为企业会有一些移动业务的需求，包括像cdma1x、gprs等等，解决了运营商最后一公里的问题。这些接入满足了，那么它对于服务又提出了新的要求，很可能有一些手机上网的邮箱，包括我们现在比较流行的。在国内就是移动这边，首先做了这样一个业务，结合了企业做了一个随时随地发电子邮件的系统。以前遇到老外的同事，像我们要一直发短信，他们是一直发邮件。包括像有一些企业有一些告警的邮件等等，他们的管理员也是要随时随地接收这种邮件的，那么这一块又是运营商给企业提供的服务。

那么这些服务往往离不开一个问题，就是安全接入的问题，对于企业来说非常关心这个问题。因为对于企业来说，比如说特别是像无线，它都是一个不安全的。我们如果说有协议的话，这是非常安全的。那么如果是其他的协议，或者是密码等等，这都是企业担心的一块安全的问题。

那么ssl vpn是一个很好的解决方案，对于运营商来说，可能初期要建立很多的营业网点，如果建立专线，可能费用非常之高。那么使用ssl vpn可能投资更少，而且效率更加高了。另外，深信服的应用是非常透明的，基于网络层以上的应用，都是可以透明支持的。可以说是目前做得最好的厂商之一。而且更加安全，所有的业务都是通过加密传输到总部的业务系统。公司的员工能够做到移动办公，另外也是进一步地降低了整体的运营成本。最后，ssl其实是一个走标准端口443的非常安全的协议，这个安全的协议，能够保证数据的完整和安全性。

说到这里，其实大家可能会想，这就是一个vpn技术。其实作为我们安全接入来说的话，它就像前面所说到的一样，安全就是一个木桶原理，如果有一块短板的话，其实整个的系统就是不安全的。那么在这一块，它是如何解决安全性。我们认为，对于用户来说，它接入企业访问核心的敏感数据，它总有这几个步骤，对于人的认证，然后是对于pc或者是终端的认证，对于线路它如何保障安全，包括对于我们设备，它这种密码怎么保证安全，还有认证服务器这一块。

首先我们看一下最全面的认证，包括人怎么认证，普通的用户名、密码已经是最简单的了。现在我们还包括结合了isa的动态令牌，包括每个人的手机，因为每个人都会带手机，包括我们现在很流行的短信认证，移动梦网也会有短信认证这一块。其次，就是一个vpn专线，是对于我们的营业网点来说，它有可能是为了安全。它在接入核心业务网络的时候，它要断绝和外网的连接，就是我们前面提到过的像僵尸主机这种问题。那么僵尸主机其实就是一个黑客，它在控制你的一台电脑。

那么我说我们一个营业网点的一台电脑被控制了，那么这个时候，这台电脑显然是不安全的。在这一块，我们就能够做到，一旦它接入核心的业务网络，那么这台电脑就是安全的。包括可以做客户端安全扫描，就是说看看它补丁是不是最新，它是不是安装了企业的杀毒软件等等。然后还有链路的加密以及密码的防破解，包括审计。审计这一块我们可以做到一些认证服务器和审计服务器的联动，运营商这一块一般都是用一些ids或者是一些审计服务器。那么我们包括和一些审计的服务器进行一个联动，导入日志。

通过这些手段，来做一个全面的认证，这样就是一个铁打的桶，谁也攻不破。

其次，对于我们用户来说，他的速度的体验是非常重要的。对于深信服来说，他在国内首先提出了一个广域网加速的技术。广域网的加速技术，不仅像tcp协议有三次握手，那么我们怎么样把协议的很容易的交互给简化掉。包括我们其实在网络当中存在着很多冗余的数据，很简单地例子，我北京给一个上海的部门，发一个群发的邮件。它里面会牵扯到很多，包括我相当于给每个人都发了一个，每个人都需要收一下附件，那么我们可以做到对于冗余的数据进行删除。其实你只发了一封过去，但是过去之后会变成十几封，分别给部门几个人。我们这边也是一样，当你给内部的人员群发邮件的时候，或者是上传数据的时候，遇到冗余的数据我们是可以进行删除的。 (责任编辑：admin)