山石網科劉向明：蓋牆也拆牆，路走錯了得及時糾正

如果把網路安全公司創業者的履歷拍成一部影片的話，常見套路是：從小就對黑客這一特殊團體格外好奇的主人公，憑藉興趣投身各大黑客論壇學習技術，在某公司嶄露頭角之後開始走上創業道路。從技術宅轉型大boss踩了一個又一個坑：不懂市場，產品賣不出去，只出不進，不被行業看好，還時刻面臨著自己不吃飯沒事，員工不吃飯怎麼破的慘狀，賣房賣車的不在少數。總之，經歷了層層磨難後，做出了滿意的產品得到了外界認可。

但這個模式似乎在山石網科身上不那麼靈光。

「你們的故事太順利了，有沒有什麼困難。」

「可能都過去了吧，很多當時的挫折現在想想什麼都不算。」山石網科首席技術官劉向明笑著說道。

踩著石頭過河，石頭雖硌腳，未必不是一塊踏板。

創業

山石現在有八九百名員工，其中三分一以上是研發人員。

而最初山石的創業團隊只有五個人，劉向明就是其中一個。1993年劉向明獲得美國得克薩斯州立大學奧斯丁分校物理博士學位，畢業後一直在高科技公司從事計算機工作，真正涉足網路安全是2002年加入 NetScreen，負責NetScreen系列安全設備的VPN系統的設計和開發。

最初劉向明在一家名為Convex的公司專門做小型平行計算機，不久後去英特爾從事與CPU操作系統相關的工作。隨後又在Silvan Networks等幾家初創公司從事研發工作。2004年 NetScreen 賣給了 Juniper，劉向明與其他幾位戰友也加入了Juniper。

說到2004年網路安全界的扛把子網紅非UTM（安全網關）莫屬，2004年9月，IDC首度提出「統一威脅管理」的概念，即將防病毒、入侵檢測和防火牆安全設備劃歸統一威脅管理(簡稱UTM)新類別。之後UTM身價「高漲」，一時風光無兩。

但劉向明等人卻看出一個性能方面的嚴重問題。

彼時的防火牆都採用了單晶元構造，用戶對處理性能要求越來越高。現狀卻是一些廠商100M UTM產品，在單獨打開網關防毒功能後，性能下降到8M；如果單獨打開IPS功能，性能也接近8M；而將應用安全方面的門打開以後，性能下降到10M。

「也是在那時，一個契機出現了，就是多核處理器的面世。當時的CPU可以達到32個核，如果用它做應用安全的處理不是更合適？」

看準了機會，劉向明連同另外四位 Juniper 的同事離職走上創業之路。

2006年10月山石網科創立，2007年2月拿到第一筆融資。這筆錢解決了劉向明等人起步階段招人與研發的燃眉之急。投資人是山石網科初創團隊的老朋友鄧鋒。

這僅僅只是開始。

兩道牆

劉向明等人想蓋樓，必須先搭牆。山石網科選了兩堵牆做支撐，一道是雲計算安全，一道是智能防火牆。

為什麼選這兩個方向？在劉向明看來，網路安全的發展一直由兩個方向推動：其一是網路環境的變化；其二是攻防技術本身的變化。隨著整體環境變化，越來越多計算向雲端發展，雲計算安全的概念也愈發凸顯；而智能防火牆更多是一種攻防的新手段，檢測惡意軟體的新工具。

山石網科剛成立的三四年里，劉向明等人一直在做多核防火牆，這款多核架構的防火牆推出時間比老東家 Juniper 都早了1年多。

牆搭好了，山石網科開始考慮翻新加固了。

單純維護網路的安全已不能滿足需求，用戶更希望這道牆能把應用安全也搞定。於是2012年，山石網科提出一個新方向——智能下一代防火牆，也就是利用機器學習，基於行為分析技術發現未知網路威脅。

一年以後，這款智能下一代防火牆推出，產品內置智能雙引擎，一個檢測流量中的異常，另一個檢測流量中的惡意軟體。惡意軟體存在很多變種，體現在流量上就有一定的規律可循，智能引擎便可以追蹤到某些惡意軟體變種流量。

當然雙引擎誕生之初並不完美，而是經過了四、五年打磨，不斷提升安全檢測的能力。比如哪些是比較有效的方法，哪些是相對沒有效果的方法；增加檢測手段；觀察流量中的的哪些部分檢測更為有效，哪些部分數據更為雜亂。

現在，智能引擎本身作為一個檢測的手段，可以被當做單獨的模塊加入到相關的安全產品中，諸如內網檢測系統或者IPS等產品。

山石網科的另一條路始於2014年。

2013年雲計算在國外已炙手可熱，而國內大家普遍接受的還是虛擬化。雲計算技術初進入國內市場就遭冷落，雲計算安全更不被眾人關注。但各級政府、大型企業都希望能夠自己控制數據中心，國內私有雲市場將是一塊很大的蛋糕。

山石網科看上了這塊蛋糕。

但到底拿不拿這塊蛋糕，什麼時候拿蛋糕是當時劉向明最糾結的問題，「有的時候你做的太早，可能倒了變成先烈，是不是應該等一些國外的廠商先做，我們再去做？這是我們要在這個市場做到什麼地位的問題，2014年的時候，我們決定去做。」

投入較早，外界未必看好，市場上也有不同做法，比如國外一些公司是以服務形式做雲計算安全，山石網科最終決定以產品打開市場，做山石雲·格和山石雲·界。

為什麼選擇這個方向？

在國內私有雲場景下，公司會控制自己的數據中心和自己的雲平台，此時如果有一個能夠適應雲環境的安全產品，很容易就可以邁進市場。這兩款產品中，山石雲·格更多針對於私有雲市場，在用戶的虛擬化環境中，把虛擬機一格一格隔起來，隔離以後可以控制機器之間的訪問，彼此也會有安全掃描。山石雲·界則更多針對公有雲市場以及一些運營商市場。

這兩款產品於2015年10月左右被推出，劉向明告訴雷鋒網(公眾號：雷鋒網)，他們投入了兩年時間來打磨這款產品。

「雲平台裡面有很多的坑，我們的產品要適用雲平台需要經過相當長的時間去穩定產品，因為每個人安裝環境都不一樣。而我們也是給很多客戶安裝之後，才逐漸摸索真正實現產品化，之前只能做一個集成。」

安全的配置一定要適用於環境，同一款產品可能支持A場景並不支持B場景，同一款產品可能適用於A客戶但不適用於B客戶，所以這套產品需要經過長時間環境適應性、穩定性等方面的打磨，才可以使用。

說到底這就是To  B產品與To C產品最大的區別。To  C產品能適應80%的客戶就夠了，先抓住大部分客戶，另外20%客戶慢慢抓起來。To  B產品則把完備性擺在第一位，這個產品被拿出去競標，標註上列舉的功能必須都要有。

「在這中間也有一定的反覆，像我們的雲產品，最開始關注的是像OpenStack這種開源系統，後來我們在雲平台的適應性上進行了轉變，加大了對VMware市場的投入。不久前山石雲·格獲得了VMware Ready認證，得到了全球最大雲計算服務廠商在NSX生產環境下的充分認可和支持。」

在劉向明看來，一家高科技公司必備的能力是去反應和調整，一旦發現這條路走錯了，要及時糾正。

升級之路

創業公司成長史其實也是一場打怪升級之戰，每個階段都會遇到不同的副本和boss。

在山石網科成立初期，由於核心創始團隊皆是海歸，對國內商業環境以及市場銷售規則並不熟悉，很長一段時間只能「摸著石頭過河」。直到後面才慢慢招攬了一些銷售市場的人才，幫助他們真正打開了國內市場。

另外就是技術方向改變所帶來的一系列挑戰。山石網科成立之時就是一家做防火牆的公司，隨著時間推移漸漸開始在技術和解決方案上進行擴展，成為一個更加全面的公司，其間研究方向改動過多次。

劉向明透露，起初智能防火牆的原形並非完全是智能的，而是利用網路數據做一些可視化的工作。甚至智能防火牆的產品有成形的前身，只不過一直沒有發布而已。當時劉向明等人接觸了一些業界的分析師和產品，覺得做數據分析是比較更好的方向，本身智能防火牆比之傳統防火牆研發成本要貴許多，從架構上講專門有自己的分析引擎，有硬體的投入。如果不能夠帶來更大的價值，就不會是一款特別成功的產品。

於是他們當即決定轉變產品方向，慢慢演進成現在這個產品平台。

牆砌了一半發現打歪了，蓋新牆就要放棄舊的。可惜嗎？

劉向明倒沒這麼想，在他看來並不會浪費。「我們的產品硬體最後依然被採用了，只是分析方法以及一些功能點需要重新做。如果說完全沒有浪費是不可能的，但如果產品發布了會有更大的投入，及時止損反而省下了這部分投入。」

拆牆重建雖然可惜，但起碼蓋牆的材料沒白費。「在研發過程中要有所取捨，如果一個研究方向比之從前的更有意義也更重要，就需要做技術方向或者產品方向上的改變。」

在經濟方面，山石網科倒沒有出現過山窮水盡的場景。

「我們一直在埋頭做產品，期間其實本可以盈利的，但我們選擇了繼續投入，包括上面說到的智能防火牆、雲計算安全產品，本身都是先投入才能做出來。」

從現在看這些投入都沒有白費。

雷鋒網宅客頻道（微信公眾號：letshome），專註先鋒科技，講述黑客背後的故事，歡迎關注。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！