深信服的两变一不变

标签: 网络安全 行业动感 NGAF 安全桌面 格物资讯 | 发表时间:2012-09-24 11:03 | 作者:老韩
出处:http://www.tektalk.org

不久前,深信服科技在深圳举办了第四届中国前沿网络高峰论坛,向各行各业的用户全面展示了公司一年来取得的多项成果,同时就产品技术与业务结合的问题与用户代表进行了深入讨论。活动办得挺成功,形式生动,气氛热烈(例如LCD组合屏和有针对性制作的展示内容,第一次在安全企业的活动中见到);内容言之有物,干货不少(例如现场攻防对比测试,也是第一次在安全企业举办的大型活动中见到);会议组织工作出色,用户接待规格高,且在会议前后穿插了多项广大人民群众喜闻乐见、能够陶冶情操的业余活动,充分体现了深信服用户至上、宾至如归的服务理念,得到了与会嘉宾的一致好评。

本人对深信服关注已久,但很晚才建立官方沟通渠道,所以借本次活动的机会,我想:1.全面了解深信服的市场推广思路;2.对之前许多非官方渠道获得的信息做印证;3.对深信服未来市场、产品、技术发展做出判断。本文内容也尽量围绕这三点做阐述,想到哪写到哪,过程中没有受到厂商施加的任何压力,如有明显的正面或负面评论纯属巧合。

客户群体的变化

传统概念中,深信服是靠上网行为管理和VPN,从中小企业发家,一步一步做到现在接近6个亿的年营业额(2011年)。其中渠道的贡献功不可没,该公司有着国内安全厂商中一流的渠道,这一点大家都公认。但想在此基础上继续提高营收,光靠中小企业就太苦了,必须将战火烧到行业用户和运营商市场,提高大单的比例。从目前情况看,深信服还是颇有斩获的,我得到的数据是来自行业用户的贡献在整体业绩中的比例已超过50%。那么它究竟是如何做到这一点的?为什么高端用户能买它的帐?本次会议,我特别要求参加运营商分论坛,希望从中得到答案。

在运营商市场,深信服2009年开始发力。根据现场公布的数据,该公司目前已成为中移动集团加31个省分、中电信22个省分和中联通集团加16个省分的供应商。运营商中要数做管道的人最关注深信服,现场我听运营商代表提到最多的不是安全问题,而是城域网的优化问题。不管有线还是无线,现在如果没有应用流量管控,运营商建设投资的回报率会很低,而且肯定会因为体验不佳招来用户的骂声。另外对于无线城市来说,运营商即便现阶段不考虑网络优化问题,也要先能对业务流量进行识别分析,在此基础上才有可能谈到开发增值服务。所以这一二年来,三大运营商为此都做了大量投入,有不少大单出现。而深信服本身就是靠应用流量识别起家的,该公司以此为切入点,在城域网市场中已经获得一些份额。

另一方面,ICT已经明确成为运营商的业绩增长点,要想抢占市场,就必须以链路为核心,给用户提供更完整的服务和更灵活的商务模式。在这个领域,深信服能介入的角度扩大了许多,运营商代表在现场普遍提到了对应用流量管控、安全防护、广域网优化产品的需求,他们希望能借助深信服的网络优化和安全解决能力,为自己的用户提供有针对性的服务。个人感觉运营商虽然在ICT领域有了比较清晰的运营手段,但对于4-7层安全和优化的部署与商务模式还没有成熟的思路。他们很想以用户资源为资本,绑定厂商去解决问题(至少是共同去研究问题)。说白了,运营商搭台,厂商唱戏,争取共赢。

除了城域网和ICT两大市场,运营商代表也结合自身情况提出了一些需求,其中比较普遍的包括支撑网络的优化/防泄密/移动办公、IDC的防篡改、数据及3G网络的监管等等。中移动的情况比较特殊,他们在网络和IDC出口的应用分流和网络优化的需求似乎特别强烈(分论坛中没有来自广电行业的代表,相信他们也存在同样的需求)。至于设备性能,现场只有一位代表询问40G环境下的解决方案,说明运营商的优化场景还是主要出现在20G及以下层面,对于骨干网来说,扩容还是关键。

运营商的需求现状充分说明了他们对精细化运营的诉求,主要包括应用级别的管控和2-7层的优化。对此深信服显然乐观其成,因为该公司几乎所有产品都可以在运营商的业务场景中占有一席之地。深信服目前的企业规模也决定了其有能力参与运营商的游戏,从中获取更多的市场份额。说到这里,前面问题的答案就已浮现:是高端用户的需求变化让深信服有了更多机会(虽然没有参加另外3个分论坛,但我相信答案是一样的)。肉已经出现,能不能咬上一口,就看他们自己了。

行销方式的变化

客户群变了,行销方式自然也要随之改变。在我看来,深信服主要进行了两个比较大的调整,即先补全产品线,再实现从产品营销向方案营销的转型,在新客户面前展示了新的形象。

对于一直缺乏网关产品的深信服来说,补全产品线是最重要的事。在安全市场上,欲成就霸业,就必须拥有网关产品。IDC的数据写得很清楚,2011年中国安全市场中,市场份额排名前三的产品分别是FW/VPN(不包括单独的VPN硬件,38.3%)、UTM(22.2%)、IPS(11.5%),三者共同占据了72%的份额。反观深信服,IDC给出的数据显示,该厂商所有收入均来源于安全内容管理硬件和VPN硬件,也就是说他们用且仅用剩余的最多28%的市场空间,换来了国内纯安全企业中年营收最高者的位置。平心而论深信服走到这一步真挺NB,尤其是在企业初创之时选择走向非市场热门的应用优化与安全领域,其魄力值得称赞。更难得的是他们坚持下来了,并且在当今应用优化与安全成为市场热点的时候,把企业做到足够大的规模,有了杀回传统安全市场的资本,上演了非常经典的农村包围城市的案例。

NGAF就是反攻的大杀器。说实话我之前有点鄙视这款产品,因为当时正在写《竞速下一代防火墙》那篇稿,关心的都是技术实现和企业级用户(准确的说是Gartner定义的“Enterprise”)的需求。从这个角度看,NGAF显然不够威武,产品名也明显在打NGFW的擦边球,加上深信服从来没推出过网关产品,我当时更怀疑这是个兵马未动粮草先行的市场推广策略。不过某高层当时说的一句话还是让我留下比较深刻的印象:“NGAF是在深信服现有产品线基础上,针对国内用户需求推出的产品,我们也不想把他包装成NGFW。”目前看,这款产品确实受到国内用户认可的。会上得到了一些数据,比如从去年7月推出到今年6月,NGAF带来4000多万的收入,用户数量也超过千家;私下也听到一些流言,比如2012自然年内,NGAF的销量有望冲破亿元大关。

NGAF凭什么能有这样的市场表现呢?我现在认为主要原因恰恰是产品的差异化定位(没有跟随NGFW)。深信服不是PaloAlto,它已经有着非常全面的产品线,没有必要去做一款一夫当关万夫莫开的全能型产品。尤其是内网管控方面,AC带来的收益在所有产品线中是数一数二的,市场认可度已经非常高。该产品与新推出的安全桌面配合,组成了比较完善的内网管控方案(针对由内而外的安全隐患)。NGAF的推出是要开拓新的市场,所以在功能上有很明显的趋向性(大体等于FW、AV、IPS、WAF和IPSec VPN的整合),定位于由外而内的防护,更强调性能与网络连接性。据内部人士透露,深信服认为国内用户对AV的需求并不强烈,但对IPS防护的全面性有着很高要求,所以他们在研发资源投入上也有所侧重,希望将IPS做大做强,并在时机成熟时将NGAF送到NSS做IPS的针对性测试。防篡改和DLP倒是很对行业用户胃口的功能,牵扯到形象和责任的问题,是个很好的卖点。深信服也在会议现场做了突出性展示,吸引了很多用户关注。虽然业界一直有声音质疑深信服的WAF和防篡改实现的技术“并不先进”,但对于用户来说,效果如何是第一位的。只要能满足需求,剩下讨论的肯定是价格,而不是先进性的问题。

NGAF与深信服原有产品方案可以很好地互补,组成更完整的安全解决方案,为向方案营销转型打下了良好的基础。以其主推的面向互联网出口的解决方案为例:NGAF负责由外到内的安全、AC负责由内到外的安全(审计、管控)、安全桌面负责终端安全,三者共存并且相互依赖,组成一套完整的安全防护体系。在销售策略的配合下,这套方案的杀伤力是非常大的。最近帮一个高校老师做网络改造建议,人家用户就看上安全桌面了,但是安全桌面必须和AC联动才能工作;如果上了AC,总不能连防火墙都没有吧?就算不用对服务器进行保护,为了NAT和多线接入也得整一台。再说现在企事业单位网站被挂马或增加色情、反动内容的事件被媒体(尤其是新媒体)大量曝光,学校官网要是出了事,网络中心老师是不是要负责?于是乎,NGAF就很容易推了。

除了互联网出口,数据中心出口也是块大肥肉,谁都不可能放过。在深信服的数据中心出口解决方案中,NGAF的主打功能还是FW、IPS和防篡改等;应用交付交给AD去实现,目前AD除了服务器/链路LB和SSL卸载,还集成了单边加速功能,也很有卖点。不过现场和几个用户简单交流了一下,发现大家对AD的认知普遍停留在“比F5和Radware便宜,是预算不足时的好备选”,技术推广上还得加把劲。至于产品本身,其实应该问题不大,能入围电信集采就很有说服力了(2G、4G和10G规格)。

深信服的产品解决方案还有很多,就不再逐一分析。总体来说,深信服很清楚扬长避短的重要性,方案中没有过多围绕NGAF,而是重点体现应用层的整体优势,或是防护与优化的全面性(2-7层)。所以初期NGFW更像是一款方案补充型产品,让深信服的解决方案更完整,带来更高的利润和渠道粘性,以及更多二次销售的机会。但在市场需求的驱动下,NGAF未来有可能成为带来营收最多的一条产品线。

技术路线延续不变

说完产品、技术和市场,也想再谈谈深信服的技术。以前在非正式场合对深信服有过这样的评价:两条腿跛得最厉害的国内安全厂商,长此以往走下去,走得越远摔得越狠。这里的一条腿指的是行销能力,业界公认深信服做得非常好;另一条腿就是技术上的表现和积累,这方面该厂商给人感觉很弱势,印象里即便是市场推广行为中都没有令人记忆深刻的亮点。

这次在深圳虽然也没看到特别吸引人的技术,但总算是把路线搞懂了。用内部人士的话说,深信服一直坚持专注于“领先市场0.5步的产品技术,为用户业务提供保障”。这句话如何解读呢?其实很多技术带来的市场机会,深信服是提前看到的,但只有用户出现了需求,他们才会投入优势资源去实现。比如安全桌面这个产品,其前身就是为某大银行进行定制化开发的产物。当同样的需求大量出现时,深信服在先前成果的基础上增加了普适性的功能,包装成独立产品快速推向市场。再比如现在AC中集成的对移动终端类型、移动APP的识别控制特性,起因自然是运营商的需求,但经过有针对性的包装后,俨然成为了对企业IT非常有价值的功能。这样做的好处是显而易见的,即便后期需求不强烈,定制化项目的收入至少可以抵消投入的成本,降低了自身风险;弊端也很明显,如果掌握不好平衡,产品发展方向会与用户需求逐渐脱离,在未来造成断档。

除此之外,深信服在技术上更多走得是微创新路线,并且多与用户业务紧密相关。比如现在力推的EasyConnect,强调的是将用户业务快速扩展到移动终端。深信服可以给用户提供一些服务器端的标准代码库,业务系统嵌入后即可支持终端输入调用、远程拍照上传等功能,减小了业务迁移的复杂度。深信服还与视频会议领域占优势地位的Ploycom合作,在WOC中提供了协议级的优化能力;Ploycom也在商务层面和深信服互动,共同推广有质量保证的视频会议解决方案。

微创新的投入小、回报高,对完善产品细节、突出差异化有着很大帮助,但并不能给产品带来革命性的变化。要保持产品的领先优势,底层的积累与投入还是非常重要的。比较遗憾的是,尽管这些年来深信服在系统平台方面有过一些投入,其OS在性能上却一直不太给力,到现在也没有突破20G处理能力的产品出现,说落后了0.5步也不过分。以前各类产品还好说,现在NGAF是要切入网关市场的,这里拼的是肌肉,性能和稳定性的问题不解决,会影响该产品在高端市场的认可度。即便OS问题得以解决,基于标准工控的高端产品仍不够“高”,在1-2年内也只能达到40G处理能力,对于运营商、教育用户的出口、数据中心等应用场景来说还是有点力不从心。深信服应该加速建设自己的硬件设计团队,去丰富自己的产品形态,无论为了品牌形象、更高性能、更灵活的配置、更明显的商务优势还是提升用户粘性,都应尽快推出机框加插板形态的产品,完善市场布局。

这次也注意到深信服在技术路线上的一个符合历史潮流的决策,就是将应用识别划归到公共技术部门,为所有产品线服务。与之对应的,曾经从AC独立出来的BM产品线完成了历史使命,又被合并到AC中。这是应用时代的必然趋势,DPI必须成为底层核心的一部分,每一款产品、每一种优化或安全业务都能从中体现出新的价值。不过这也仅仅是第一步,深信服仍需努力将所有硬件产品的软件平台进行统一,才能彻底解决兼容性与维护难题。时间有限,深信服必须加速前行。

相关 [网络安全 行业动感 NGAF 安全桌面 格物资讯 ] 推荐:

尊重用户知情权和选择权,是真正的大是大非的问题

- 沈蚊 - 周鸿祎的BLOG
9月29日,腾讯起诉360隐私保护器一案的尘埃落定. 我们输了官司,有人趁机大做公关,说360不正当竞争,说360诋毁人家的商誉,甚至制造出360必须公开道歉的假新闻. 第一,针对一款市场占有率较高的软件提供相关的辅助性服务,只要该款软件设计合理、表达恰当,且不存在违反诚实信用等公认商业道德的情况,都应为法律所允许.

网站被入侵后的修复和防范

- - 视野博客
很久以前,我用CMS搭建了一个站点,采集了一些内容,之后就没有打理了,成为了一个没人维护的垃圾站. 昨天偶尔发现网站不知何时被挂了黑链,网站之前就被黑过一次,造成了整站数据被下载,模板被贩卖…. 以前总是在分享如何对别人的网站进行入侵检测,这次自己的网站也被入侵了. 呵呵,正好借此机会分享一下网站被入侵后的修复和防范措施,在攻与防的对立统一中寻求突破.

700元就可买到同事行踪?安全专家:属实!你不知道的还有这些

- - 雷锋网
12月12日,南方都市报的一篇文章《恐怖. 南都记者700元就买到同事行踪包括乘机开房上网吧等11项记录》在朋友圈刷屏了,里面描述了一些恐怖的调查现象:几百块钱就可以买到某个人被泄露的全套个人信息,四大银行存款记录、手机实时定位、手机通话记录……都可以查到,甚至可以进行手机定位,“服务最到位”的是,还有第三方软件为这样的服务提供担保.

用VPN就能确保隐私安全?NAIVE

- - 雷锋网
不管是业界对网络流量加密需求的日益增长,还是安全聊天应用(如Telegram)的兴起,在移动互联时代,人们开始越来越注重网络隐私,网络安全正在迎来爆发期,而能够保护网络隐私的虚拟私人网络(VPN),也获得了越来越多的关注. 如果你想要通过VPN隐藏你在上班时的购物记录,又或者保护你免受政府的监视,在这之前,你需要知道,并不是所有的移动VPN都能够保护你的隐私的,相反,有很多VPN甚至会侵犯你的隐私.

网络交互是否都需要加密

- - 博客 - 伯乐在线
导读:Coding Horror近期一篇关于网络加密的文章,作者是 StackOverflow 创始人 Jeff Atwood. 在网络完全越来越引起关注的移动时代,此文更加像一位互联网老者对新人们和网络未来的殷切期待. 它里面提纲性地提到了HTTPS的实现和网络交互加密的重要性,并且涉及了Google最近正在研发的新协议,适合网络开发人员作为参考来发散性研究.

黑客现身说法 攻克不升级WinXP仅需数秒

- - 神刀安全网
   微软已经正式停止了对WinXP操作系统的服务支持,而一些XP系统的用户出于使用习惯、升级成本等多方面的考虑,暂时还不打算将WinXP升级到Win7、Win8系统. 在“停服”的状态下,继续使用WinXP就意味着这些用户将要承担一定的安全风险,自行抵御黑客攻击,是非常不安全的做法.     WinXP系统“停服”之后,微软就不会再为它发布任何安全补丁和更新,也就是说,停服之后如果WinXP被黑客发现了新的漏洞,那么这个“洞”将永远暴露在外而无法修补.

手把手教你免费打造万元级流控设备 安全流量控制免费

- - 神刀网
说起流控设备,你肯定会望而却步,因为一套设备估计得十几万,而且每次升级都要缴纳一定的费用,对于小企业来说,真是用不起啊. 我也想拥有自己的流控设备,可是我没有钱,于是我就在网上搜索了好长时间,并且自己亲自测试了,最后终于发现了我想要的,那就是免费版的PANABIT. PANABIT可以帮你轻松的封杀360WIFI、二级路由和移动设备,还可以让员工在上班期间禁止浏览与工作无关的网站,禁止看视频,禁止聊QQ,禁止网购.

通过nginx配置文件抵御攻击

- - 神刀安全网
大家好,我们是OpenCDN团队的Twwy. 这次我们来讲讲如何通过简单的配置文件来实现nginx防御攻击的效果. 其实很多时候,各种防攻击的思路我们都明白,比如限制IP啊,过滤攻击字符串啊,识别攻击指纹啦. 不过本文将要介绍的是直接通过nginx的普通模块和配置文件的组合来达到一定的防御效 果. 社区在搞福利,在广场上给大家派发红包.

蹭WiFi 易掉黑客陷阱

- - 神刀安全网
央视《消费主张》栏目近日曝光了WiFi日常使用中存在的巨大安全隐患:仅需简单设备和软件就能设下的“钓鱼WiFi”陷阱,能在网友毫不知情的情况下盗走个人支付宝密码、网上银行密码等重要信息. 对此,南国都市报记者走访发现,海口公共场所轻易能搜索到免费WiFi,但许多市民并不知道“蹭”WiFi有风险,更不懂得如何规避风险.

浅析大规模DDOS防御架构:应对T级攻防

- - FreeBuf.COM | 关注黑客与极客
‍‍本文作者: ayaz3ro‍ ‍. 在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一定能识别,还是需要进一步的专家肉眼判断. ‍‍‍‍‍‍利用TCP建立连接时3次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文,使目标主机永远无法完成3次握手,占满了系统的协议栈队列,资源得不到释放,进而拒绝服务,是互联网中最主要的DDOS攻击形式之一.