殷浩：十分高兴有这样一个机会来跟大家分享一下深信服对云的理解，我是深信服的殷浩，今天我分享的主题叫做"安全、高效、便捷的迈向云端"。

　　云的兴起给我们描绘了一个美好的愿景，就是将我们的it服务的交付方式进行一种转变，让我们的应用和it设备以一种资源的方式来随意的获取。这样一个美好的愿景如何从高高在上的神坛落到平凡的人间，当前的一些技术热点，微软的崔先生，还有阿尔卡特朗讯，还有其他几位业界的同行与大家分享的可能是集中在云端这一层，是云内如何进行相关的建设。但是这样一个高高在上的云，即使已经建设就绪完成，并且是高效的，作为我们终端的用户无法安全快速便捷的获取这些云的应用的时候，我们这样一种高投入的建设是否有它的意义呢？我们认为很可能存在的一个情况就是云变成了浮云。因此，今天我们想跟大家分享的问题就是围绕着如何从终端向云端的接入会遇到的问题来展开一些分析，然后提出对这些问题解决方案的理解。

　　我们可以看一下，除了关注云端之外，其实我们获取云服务的时候可以分成三个层面看待，就是云端、云接入，以及终端。这三个层面我们分别会遇到哪些问题呢？首先在云端我们可以看到，当我们把所有的应用都放到云上之后，就意味着把所有的鸡蛋摆在了一个筐了，便捷了，但是安全风险也会急剧增加。第二个层面的问题，云接入，私有云可能我们会采用专线或者互联网的vpn构建广域网实现用户的接入，很多公有云可能采用移动互联网的方式，这样带来一个问题就是复杂的链路造成链路的质量不可控，用户的体验如何进行一种感知和保证呢？第三个层面的问题就是终端，云的要求就是能够让我们在任何地点通过任何设备轻松的获取这样一种资源，但是同样增加了一个复杂度的问题，就是终端的多样性，使用的环境变的多样了，可能让我们的应用系统的部署变的更加复杂。

　　具体看来这三个层面的问题包含哪些呢？首先是数据与接入的安全问题。这个方面的问题我们认为主要可以从两个层次进行理解。第一，就是如何确保我们用户以正确的身份，在正确的路径和状态下访问合法的应用。保证数据的安全之后，第二个层面，作为整个云的大平台来说，尽量放到一个篮子里，整个大平台的安全如何保证，如何防止黑客的入侵，防止数据被篡改。如果没有一种良好的安全，我们可能不会把我们的业务和数据迁移。第二个层面，用户的体验如何感知，如何优化。云假设之后，传统的应用都是部署在局域网内部，骨干是万兆的，交付是可控的，但是一旦部署到云端，跨运营商，跨域，高丢包，高延时，直接会让用户的体验大打折扣，那我们预计的云的预期能够达到吗？第三个层面的问题就是这样一种复杂性，当我们可能在传统的，只是几个操作系统，比如windows系统里应用是比较简单的，但是一旦要达到在任何设备下都可以随意的使用it资源的时候，对我们应用系统的适应性就会从1：n变成m：n，同样的当我们第二个层面，用户在增加，当我们右侧的应用在增加的时候，这给我们的it基础设施也提出了要求，要随着业务的动态扩展来满足它的需求，从网络到我们的安全上的优化设备如何来满足呢？

　　总结来看，我们可以把上述的三类问题，转化成安全、高效、便捷这三个方面用户对于云接入，对于迈向云端的诉求。具体对这三种诉求有哪些解决方案呢？深信服我们推出的是云端统一接入解决方案，这样一个解决方案的目标可以分成如下几个方面，我们首先通过这样一个接入矩阵，一种矩阵的方式为用户提供灵活的扩展和部署。每个矩阵的目标是不一样的，比如我们的安全矩阵，它所要达到的目的有两个，第一就是保证访问云数据的安全性;第二是保证整个云平台的安全性，防止入侵。第二个功能模块矩阵就是便捷，也是从两个纬度，首先是保证跨平台应用部署的时候快速实现，第二个是简化在终端操作的流程，提升用户的体验。第三个功能矩阵就是优化。它的目标就是通过让我们的用户获得一种有如局域网般的传输速度，这是我们的美好愿景，从而提升用户的体验。

　　这三大功能模块我们可以随意的部署在云端，也可以部署在终端一侧，但是部署在终端一侧的时候，我们所强调的是一体化，尽量的减少在终端部署设备所带来的硬件成本，以及运维成本，对于私有云来说，我们可以把优化和安全二合一进行部署，对于公有云，互联网用户接入的时候，有一点必须是透明的无感知的，部署任何设备必须要获得安全、优化和便捷的效果。最后这几大功能模块可以通过我们的集中管理中心来实现集中化的管理，降低管理复杂度，最终形成的就是这样一个功能矩阵。

　　具体来看，安全、优化、便捷可以分成如下的特点，具体的我们和大家分享。首先是云接入的安全，我们所提倡的就是端到端，保证合法的用户在正确的状态下，并且在安全的传输链路上有合法的访问权限，针对这种合法的访问和应用我们再进行安全的防护。

　　具体来看都代表什么含义呢？传统的接入，比如现在使用gmail的时候，都是简单的用户名和密码，我上次一个数据，八位的数字加上字母所形成的八位的密码的破解时间，采用性能好的服务器，只需要几个小时的时间，因此，我们对合法身份的确认是需要多种的组合，不单单是用户名和密码，需要更多的硬件特征码、短信确认，usbkey等技术，但是还有一个要求就是能够与radius等等身份标准的服务器进行一种兼容，无缝的对接。有了合法的身份，安全的状态如何确认？除了传统的对漏洞，对终端的防病毒进行检测之外，对云的应用可能又提出一个心的要求，比如拿我们深信服来说，有些应用很关键，也很敏感，但是我们不得不用，比如我们的销售需要每天进行客户报价，报价的信息是很敏感的，一般我们要求在公司内部使用，可以防止它的外泄，但是跟客户的交谈过程中必须要进行一种交互，我们也需要在移动办公的过程中把这些数据进行一种提供，但是这很可能造成它把我们公司内部的销售数据导入到本地，或者打印出来，或者通过局域网进行发送，造成了关键业务系统的数据泄密，因为它的外部接入环境是不可控的。因此，在这样一种情况下，我们可以通过虚拟安全桌面的技术进行部署，它完全的是在我们的终端之上虚拟了一个用户的界面，在这个界面之上你做的任何的数据和操作都不会在本地有保存或者打印或者传输的权限，保证了关键系统的数据不会泄漏。

　　第三个层面，权限的安全，除了传统的url级别的精细的控制，对于云端来说碰到的问题就是越权访问，对私有云来说，当a用户和b用户都接进来，b用户可能是心怀鬼胎的，可能想窥视a用户的内部数据或者对它的数据进行访问篡改，一旦传统的登录方式接入进来，我们没有办法再重新控制了，这一点我们强调所需要做到的就是帐号的绑定，你接入帐号与你登录应用系统的帐号必须一一对应，这样可以防止云内的越权访问。最后保证了一个安全的数据访问流程之后，对于平台的安全，我们所强调的就是可以通过智能感知的对于灰度威胁智能感知的ngaf，我们即将发布的下一代应用防火墙来为用户提供。