最后看一下故事的主角ScanSafe本身，ScanSafe主要提供下述的安全特性。

1.Web Malware Scanning

如果看了第一篇，我们应该知道IronPort也有这个东东。但是IronPort的引擎是同其它厂家合作的，而ScanSafe是自身的，其注册商标如下：

ScanSafe Web Security is powered by Outbreak Intelligence which comprises of numerous correlated detection technologies, automated machine-learning heuristics, and multiple “scanlets”

从上图可知，其支持扫描的文件类别。

2. Web Filtering

首先是URL过滤

从其特性描述看，有一些亮点：

例如

* Policy management by custom grouping, LDAP, and time-based policies

结合了用户role进行policy设定等。更多细节可以参照其web site。

另外最拉风的feature是Safe Way To Search

其实现方式是hack搜索引擎的结果，并且结合自身的URL安全信息库给出用户提示。

这真是一个绝妙的Idea，兄弟佩服的五体投地，工程技术和用户体验的完美的结合。

3.IM Control

这个IronPort就没有了，其目的是提高管理员对于IM应用的透明度，可以实现block外发文件等种种action。

综上所述，ScanSafe也是防护Client端设备的，比IronPort的Web安全设备做的更细致更好，且是业界老大，因此不难理解Cisco为什么并购ScanSafe了。从下述Cisco的官网的声明也可以看出，最终Cisco也将该产品并入了IronPort，补充IronPort的web安全功能。

By acquiring ScanSafe, Cisco is building on its successful acquisition of leading on-premise content security provider IronPort.  The acquisition brings together the Cisco IronPort high-performance Web Security Appliance and ScanSafe’s leading SaaS Web security service to offer superior on-premise, hosted, and hybrid-hosted Web security solutions.  The combination is expected to provide better protection from threats, while flexible delivery options will enhance Cisco’s ability to protect the borderless network as organizations increasingly depend on Web 2.0 and mobility technologies to collaborate and conduct business.

这是一个同事前几天和我提到的话题，看似比较大。我思考了一阵，有一些想法。这些想法应该大都是已有的，且都是我自己比较认同的。欢迎大家探讨。

首先看看应用安全功能本身的发展。我觉得还是那两个字：Visibility and Control。大家可以体会一下FW，AntiVirus，IDS/IPS，DLP，URL过滤，NAC, P2P等应用识别以及APP QOS…，其功能是否就是一直在按照这个要求发展。有读者可能会提出，那私密性呢？VPN呢？VPN不属于应用安全，无论VPN的承载协议位于哪个层次，其实质还是隧道协议，是在公用隧道上的私密性的保护，而且终结之后还是要走我们提到的安全控制流程。其他安全要求，在不同场合也许更重要，但从整体来看笔者认为还是Visibility and Control。

有关Visibiliy，尤其是应用层安全识别技术近年大热，我关注过下述一些公司的产品，这些公司通过研发和并购都在最近一两年内强化了其FW的应用识别功能，支持数百乃至上千种应用协议的识别（其中很多是所谓Web2.0应用）。

1.CheckPoint

2.MaCfee

3.Fortinet

4.Palo Alto

……

竞争必将Visibility推向极致。并且我断言应用安全识别技术不远的将来也会是国内厂商FW的标准配置。

从应用安全的设备发展来看，我觉得也是两个方面：Integration and High Performance。

1. Integraion

自从VPN加到FW之后，这个趋势就一直没有停止过。不仅仅是UTM这样的边缘用设备具有了多种安全特性，核心网大安全设备也在不停的堆积新的特性，将多种功能的盒子合并为一个。甚至Router和Switch也在融合网络安全设备特性，未来即使router吃掉FW，我也不会觉得奇怪。这个没有办法，用户需求推动使然。一来用户需要简洁的网络部署，二来需要节省银子。

应用功能的合并，并非简单的像堆积木，仅仅是代码的合并。其对于架构和开发人员是很大的考验，实际往往是功能之间相互影响制约，按下葫芦起了瓢，有各种问题，尤其是性能方面。其中的TCP子系统又是关键，没有对于多种安全特性的相关研发经验是设计不好的。

2. High Perfomance

这个也由来于用户需求推动，宽带接入的普及以及带宽的提高是不可阻挡的历史潮流。像香港，新加坡这样的发达地区，都在规划未来GBit入户，对比可见想见带宽提高未来还有多大的空间。从华赛的80G FW到Juniper的120 G FW，这绝对仅仅是是飙车的开始。对于像WAF这样的产品，我看到的报道往往都是用户对于性能的抱怨，如果能够横空出世几款高性能低价格的产品，必然大卖，有时安全功能本身反而退化为用户的第二需求了。

一家之言，欢迎大家讨论。

弯曲给我的最大的感受是有争论，没有谩骂，是一片净土，感谢首席，杰夫和幕后的维护人员。

      曾文军现为美国密苏里大学（University of Missouri – Columbia)计算机系副教授。曾教授1990年毕业于清华大学电子系，1993年获得美国圣母大学(University of Notre Dame)电子系硕士学位，并分别于1994年和1997年获得美国普林斯顿大学(Princeton University)电子系硕士和博士学位。

      曾教授的研究领域包括P2P网络，家庭网络，和无线传感器网络等。点击这里进入曾教授主页。他的联系方式为：

Wenjun (Kevin) Zeng

Associate Professor
Department of Computer Science,
University of Missouri
119 Engineering Building West, Columbia, MO 65211
Phone: 573-882-4480 (O),
Email: zengw@missouri.edu

第一，二张图是华为的财务数据；最后一张图是思科的财务数据。华为从2004年的营业额在不断上升，从38亿美金到2008年的180亿美金，但2006年和2007年，华为的Operating Margin（运营盈利率）比较低，只有7%和10%。这不是个好现象。08年回到了13%，令人振奋。感觉2004年最好，18%的margin。有兴趣的读者可以参阅华为2008年度财务报告。 Operating Income（运营收入）的意思就是把收回来的钱，刨去设备成本和OPEX（打工仔们的工资，各种销售大会，贿赂，歌舞厅报销的钱）等等，税前纯赚的银子。Operating Margin（运营盈利率）就是税前纯赚的银子做分子，除于总营业额做分母得到的比率。

下面来看看思科的相关数据：
思科06年的营业额是284亿美金（华为是80亿美金）；07年是349亿美金（华为是120亿美金）；08年是395亿美金（华为是180亿美金）；
在观察数据时，我们可以发现，思科从06年到08年的Operating Profit Margin是：23.3%，29.2%和28.5%。而华为是7%，10%和13%。这个差距比较大。

细心的读者可以发现，华为在2008年为183亿美金的营业额的情况下，其生产设备的费用是多少？110亿美金，60.4%。也就是说成本为60.4%。 思科的数据是：395亿美金的营收，成本（设备加服务）为140亿美金，35.4%。

换言之，思科2008年的毛利率（Gross Profit Margin）是64.2%(25484/39540)。华为是39.6%(7268/18329)。

【注：对华为的财务分析时，窃以为毛利率是一个比较重要的数字，原因是相当而言，华为的OPEX，例如研发开销（员工工资，福利等），一定比欧美公司小很多，所以其Operating Margin和Net Profit Margin从OPEX中受益。】

华为的低盈利率数据的原因应该主要是通过相对低廉的产品价格来获得市场。另外一个原因是其产品，至少在数据通信方面，目前还依靠大量的第3方（如Dune Networks，Broadcom, Intel)的芯片和芯片组，因此系统设备的成本太大。

      据印度电信管理局（TRAI，Telecom Regulatory Authority of India) 数据，印度手机用户上个月增长1765万，总数达到5亿6百万，首次超过5亿。印度的电信市场还处于高速增长期，其固定电话的用户不多，只有3千7百万，电信总用户5亿4千3百万，电信服务的渗透率为46.3%，还有很大的发展空间。

      与印度比较，据工信部4月发布的通信业运行状况数据，2009年1至4月份，全国累计净增电话用户2997.7万户，总数达到101201.1万户。其中，固定电话用户减少759.5万户(其中无线市话用户减少630.2万户)，达到 3.33亿户；移动电话用户增加3757.2 万户，达到6.79亿户，移动电话用户超过固定电话用户的两倍。

       下表是印度的主要无线运营商和他们的用户数量，数据来自印度电信管理局：

                       India’s Mobile Operators by Subscribers, November 2009

      这篇和行业技术无关，纯粹是一普通IT民工的内心感受，说不定其他普通民工看了也有同感，不吐不快，希望编辑刀下留文，下不为例。

      孔老夫子原文如下：“吾十五而志于学，三十而立，四十而不惑，五十而知天命，六十而耳顺，七十而从心所欲，不逾矩。”这句话放在三十几岁就是老夫的三国时代可能没问题，但是流传之间就是贻害世人了。试问天下英雄，何人能做到三十而立，能者十只不足一二。多数人终其一生都不是完全自由人，辛苦劳作，熬到领取退休金，终于解脱了。其间辛苦想必多数普通人都能体会。以前看央视采访力帆的老总尹明善，尹总也是早有雄心，直到能领退休金后才跑出来，好在最终成就一番事业，没有浪费自己的才能。牛人尚且如此更何况平头百姓。首席可能也要将弯曲论坛卖个1亿刀，才能而立。（小弟我大大的期望，期望是2012年之前，记得到时候补发兄弟们的稿费，小弟计划携妻带子环游世界，然后逛逛硅谷，最后坐以待毙，此生无憾了：-））。

      最近看到一个名词“A型性格”，这里A并非像“士兵突击”中的老A或者Grade A那样的褒义词。其基本表现如下“性急，没事干就闲得发慌，总把工作安排得紧紧的，常常同时考虑做两件或多件不同的事；在一起活动中，对别人做事老是不放心，见别人做得慢或做得不好就心急如焚，恨不得自己替他们做；好胜心强，喜欢与别人比高低，而且爱占上风，只能赢，输不得；时间观念强，走路常常是急匆匆的，不愿跟在别人后面慢慢走；说话坦率，言不择词，出口无心，而且声音响亮，在说话中指手画脚，常打断别人的话，对别人说话慢一点，长一点就不耐心听下去。”。

      看后吓了一跳，这不就说的是兄弟我自己吗，95%吻合，此种性格（一个词概括之“焦虑”）最要命的是导致心脏病。

      另据某调查“拿上海地区为例，1984年A、B型人群比例为7：10,而到1999年时已经跃升16：10。A型性格人数的增多，似乎和现代社会的竞争加快有所对应。”虽然调查信息陈旧，可十年过去了这个比例或许更高。IT业必然是相当的高，每天IT草根们地铁倒公交，在沙丁鱼罐头里面被挤压两三个小时，一年下来相当于监禁1个月，再加上高体力，高智力的竞争，如何不变成A型性格。另外以现在的交通，有车一族也好不到拿去，同样是监禁，只不过你可以偶尔出来放放风罢了：-）

      作者给出“竞争加剧”的原因，在我看来只是表象，人们心中“三十而立”的古训才是真凶。以往在某知名企业工作的朋友提到，每年体检的时候都象过关一样，生怕有什么问题。这么拼命劳碌为了什么，大都是想早点立起来。但这样的人生是否真正的圆满，这样的企业是否真的成功？

      兄弟我也是刚刚开始领悟，在研究协议，报文等等的同时，也给自己定了一个目标：

      研究自己本身，设法将A型性格转为B型（满足于现状，知足常乐，内心很平静，没有大的情绪波动），至少是between A and B。

      首先转变人生目标如下：

      （30已过了，觉悟的晚了），40不惑，45知天命，50耳顺，55从心所欲不逾矩，60而立。

      既然90%的人最终都是60而立，兄弟我何必想不开要立那么早呢。

      另外，把焦虑分成三份，不要完全为自己钱权焦虑：

     1份给自己

      1份给亲人朋友，陪陪三老（老爸，老妈，老婆）

      1份给社会，象首席一样献献爱心，有钱的捧个钱场，没钱的回家取钱也捧个钱场。实在没钱了，在弯曲上发发文章，share一些knowledge也算是奉献了。

      没有乱象的社会并非真的和谐社会，心灵和谐才是真正的和谐。

      另外，如果转世投胎，不知道还有多少人会选择通讯或IT这个行业。看看人家摩根大通，AIG什么的，拼了命的还政府贷款，目的只有一个，给员工发奖金，这是什么样的精神啊：-）

     总之，IT业的兄弟珍爱生命，60而立，活到天年。

产品来源估计同Cisco并购Reactivity有关，Reactivity是主攻XML Gateway的厂商。Cisco的ACE Web Security Gateway（以后简称ACEW）是并购其大概一年之后推出的，并且基于相同的硬件平台推出了 XML Gateway，时间上吻合。深度挖掘了一把，其Admin Guide中mib库的路径和名称如下：

/etc/reactivity/snmp/REACTIVITY-MIB.txt

还留着老公司的印记，因此推断，这款产品是从Reactivity购入的平台发展出来的，因为该公司名头不大，不像IronPort，Cisco保留该品牌成立了专门的产品线，而是被归入了ACE这个品牌下面。

至于ACE是（Application Control Engine）的简称，为Cisco的噱头，Cisco还有以之冠名的应用模块卡和Switch等几款产品，并不仅仅限于Web安全，但都是同应用安全相关的。

首先看看ACEW部署图

同IronPort的Web安全产品不同，很明显这款产品是保护Web Server的。

首先看看盒子的硬件组成：

参照该文档可知，这款产品硬件如下：

1. 1U的小盒子

2. 4个GE口

3. 两个双核Intel XeonCPU

4. 4G内存

5. 两块热插拔，SCSI硬盘

6. SSL加速卡，原文如下：

The ACE Web Application Firewall appliance supports the nCipher CHIL® (hardware crypto hook) engine module and Cavium Nitrox XL Security Accelerator.

硬件架构本身简单，易于山寨，童叟无欺。

再看看它的安全feature

• Full reverse proxy               —- 运行在反向代理模式
• Monitor mode deployment   — 支持passive模式
• Buffer overflow                   — 以下是一些web安全的features
• HTTP parameter manipulation, Protocol compliance
• Null byte blocking
• Input encoding normalization
• Response filtering and rewriting
• Flexible firewall actions
• Cookie and session tampering
• Cross-site scripting (XSS)
• Command injection, SQL injection
• Privacy enforcement by preventing information leak
• Cryptography enforcement
• Application and server error message cloaking
• Referrer enforcement
• Positive and negative security models   —由此可知，也支持inline的block模式
• Custom rules and signatures
• PCI compliance profiles   — 一个噱头，所有厂商都在提这个东西，翻开一看其实不是技术标准，而是要求所有信用卡商要部署WAF。

安全feature本身创新不多，都是业界已有的东西。

最后看看license声明。

从PCRE到Open SSL，这些Open Source界顶呱呱的产品，在商业界也成了相关领域的标准配置，国内厂商也都莫不如此。看来这款产品我们和Cisco在同一起跑线上，做不好只能怪技不如人了。

我的一些疑问：

对于大型的ASP或者数据中心中的集群Web Server，业界是用什么设备进行安全防护的，这点我没有经验。如果使用这样的小盒子，对于Server成千上万的大客户那需要购买多少台啊。

我猜测的解决方案有三种：

1.在web server上定制软件的WAF模块，不买任何WAF硬件，对于像MS, Google这样的公司有这个实力。

2.部署大量的ACE之类的小Box

3.使用少量的高性能的大Box

如果读者有大型网站（Google，新浪，百度，阿里巴巴之类的）的安全维护人员，还请赐教。（待续）

      据多家技术博客及业界人士猜测，苹果公司将于明年3月份开始销售一款Tablet PC，其技术细节可能会在下个月宣布。早在2007年，苹果就注册了域名islate.com，所以苹果的Tablet可能会叫iSlate，它会有一个10到12英寸的屏幕，售价在600美元左右。