防火墻時(shí)安全硬件市場的重要組成部分，在企業(yè)安全領(lǐng)域扮演著重要角色。下一代防火墻的提出一度引起業(yè)內(nèi)熱議，安全向云端的遷移以及互聯(lián)網(wǎng)公司與企業(yè)安全的碰撞也讓安全行業(yè)迸發(fā)出新的火花，而硬件市場的活力也進(jìn)一步被激發(fā)。據(jù)IDC數(shù)據(jù)統(tǒng)計(jì)，2014 年,防火墻硬件市場的規(guī)模為 US$ 415.9M,同比增長 24.1%，2014 年上、下半年的市場規(guī)模占比分別為 40.2%和 59.8%?？梢钥闯?，防火墻市場的需求還在與日劇增，而位居市場前列的領(lǐng)軍廠商對于自身的解決方案都有持續(xù)提升。

下一代防火墻無論是噱頭還是傳統(tǒng)安全硬件的本質(zhì)提升都將在企業(yè)安全市場占據(jù)了不俗的市場份額，而下一代防火墻與統(tǒng)一威脅管理之間的界線也越來越模糊，下一代防火墻將會更精簡還是更復(fù)雜，用戶和解決方案供應(yīng)商將如何看待防火墻硬件本身的發(fā)展，下一代防火墻如何解決功能性能無法兼顧的遺留問題?這些針對產(chǎn)品的問題一直存在。移動化和社交化使得安全威脅層出不窮，針對不同移動辦公安全架構(gòu)和安全組件，下一代防火墻會針對不同用戶，甚至不同應(yīng)用場景做出什么具體改變，同時(shí)會衍生出何種新技術(shù)?

帶著這些問題，筆者采訪了市場占有率位居行業(yè)前列的天融信、華為，還有國外知名安全廠商Fortinet，國內(nèi)更有深信服、網(wǎng)康、山石網(wǎng)科、綠盟。各大安全廠商對下一代防火墻各有見解，下面我們就看各大廠商各抒己見，共論下一代防火墻的未來。

華為下一代防火墻如何迎合未來趨勢?

位居國內(nèi)防火墻市場占有率前列的華為對下一代防火墻有獨(dú)到的看法，華為認(rèn)為，作為提供云安全服務(wù)的載體，下一代防火墻必須具備全面的虛擬化能力，滿足為多租戶提供服務(wù)的需求。這種虛擬化不僅是基本防火墻功能的虛擬化，還包括入侵防御、防病毒、VPN等全部安全能力的虛擬化。澳大利亞知名的云服務(wù)提供商ICITA、東南亞知名的MSSP(托管安全服務(wù)提供商)Cenfinity公司，都在使用華為USG6000防火墻為他們的客戶提供云安全服務(wù)。

從華為解決方案上看，基于傳統(tǒng)防火墻的修修補(bǔ)補(bǔ)不足以滿足用戶的需求，也無法從根本上平衡性能與功能不可兼顧的尷尬境地，因此華為重新設(shè)計(jì)了新的硬件平臺和軟件體系，并采用全新設(shè)計(jì)理念和管理邏輯設(shè)計(jì)用戶體檢，推出了華為USG6000系列下一代防火墻。為了讓USG6000真正成為“性能可用”的下一代防火墻，華為主要做了兩點(diǎn)全新設(shè)計(jì)：第一，推出IAE智能感知引擎，一次流量解析多個(gè)業(yè)務(wù)模塊并行處理，避免傳統(tǒng)防火墻重復(fù)對同一報(bào)文的多次解析、重復(fù)匹配與響應(yīng)。采用這種架構(gòu)，能夠大幅度提高多個(gè)業(yè)務(wù)功能開啟的檢測性能;第二，硬件平臺采用“多核MIPS”+“硬件協(xié)處理加速”+“高速SwitchFabric”的架構(gòu)，通過高速總線實(shí)現(xiàn)多核CPU與業(yè)務(wù)處理模塊、接口擴(kuò)展模塊的通信。專用硬件加速內(nèi)容層流量處理，并把特征匹配、摘要計(jì)算、加解碼等消耗大量CPU資源的操作，交由Cavium多核CPU的專用協(xié)處理器處理。結(jié)合這兩種方法，即使開啟全部安全防護(hù)功能，華為USG6000系列下一代防火墻的性能下降也不會超過50%，這一兼顧功能和性能的特性在業(yè)界也是罕有。

對于NGFW的防御能力，華為不僅僅專注于盒子之內(nèi)，通過NGFW與沙箱、大數(shù)據(jù)安全分析系統(tǒng)的實(shí)時(shí)聯(lián)動，華為防火墻意在為企業(yè)提供幾乎具有無限擴(kuò)展性的威脅感知與協(xié)同防御能力。在產(chǎn)品特性上，華為USG6000系列下一代防火墻覆蓋了從百兆到Tbps級別的廣泛范圍，可用于各行業(yè)的應(yīng)用場景。除了傳統(tǒng)的應(yīng)用場景，還對行業(yè)的特定場景進(jìn)行了細(xì)化。例如，針對金融行業(yè)推出分支上網(wǎng)安全解決方案，針對企業(yè)大型數(shù)據(jù)中心推出數(shù)據(jù)中心安全解決方案，對教育城域網(wǎng)的安全建設(shè)也有相關(guān)的方案。

如何應(yīng)對日益猖獗的位置威脅

應(yīng)用層防護(hù)無疑是下一代防火墻的核心，應(yīng)用識別能力尤為重要。華為USG6000系列下一代防火墻能識別業(yè)界最多的6000+應(yīng)用。利用這一優(yōu)勢，可以進(jìn)行非常細(xì)致的訪問管控、應(yīng)用流量加速以及基于應(yīng)用的策略路由。

Web防護(hù)則不是下一代防火墻的重點(diǎn)，目前web服務(wù)器的防護(hù)主要靠WAF。下一代防火墻防護(hù)的目標(biāo)是整個(gè)網(wǎng)絡(luò)，保護(hù)的是一個(gè)面，而不是具體的某個(gè)點(diǎn)。通俗點(diǎn)講，它更像一個(gè)門衛(wèi)，而不是保鏢。NGFW是門衛(wèi)，專門保護(hù)Web服務(wù)器的WAF設(shè)備是保鏢。NGFW可以針對web的入侵型流量進(jìn)行防護(hù)，但這不意味著它可以取代WAF。兩者保護(hù)的對象不同，決定了它們需要的資源類型和使用方式都不同。如果把功能強(qiáng)行捏合在一起，要么會犧牲性能，要么會犧牲檢測的準(zhǔn)確性。

對未知威脅的防護(hù)是當(dāng)前大家都很關(guān)注的問題。華為USG6000系列下一代防火墻是未知威脅防護(hù)整體方案的重要組成，并主要從以下方面解決強(qiáng)化下一代防火墻的核心防御能力：

更精細(xì)訪問管控，縮小未知威脅的攻擊面;

管控員工對惡意網(wǎng)站的防護(hù)，防止釣魚型的攻擊;

協(xié)同華為的沙箱產(chǎn)品、大數(shù)據(jù)分析產(chǎn)品檢測出未知威脅，并進(jìn)行阻斷;

檢測流量中是否有包含敏感信息的文件，防止通過未知威脅非法外傳。

用戶需求在何方?

華為前期對企業(yè)用戶的大量調(diào)研表明，企業(yè)網(wǎng)絡(luò)管理員最大的困惑是下一代防火墻的管理變得復(fù)雜多了。傳統(tǒng)防火墻基于IP和端口定義安全策略，端口其實(shí)代表了他們使用的業(yè)務(wù)，常見的端口數(shù)量并不多。而下一代防火墻是基于用戶和應(yīng)用進(jìn)行管理的，管理的粒度更細(xì)。舉個(gè)例子，同樣的80端口對應(yīng)的應(yīng)用會有多少?如果說之前只需要用80端口定義一條策略，映射出來的下一代防火墻應(yīng)用管控策略可能會有成百上千條。所以華為USG6000系列下一代防火墻才會推出解決這個(gè)問題的Smart Policy技術(shù)，它能夠智能的優(yōu)化、精簡下一代防火墻策略。幫助企業(yè)簡化管理，TCO降低30%。

舉例來說，在企業(yè)分支遠(yuǎn)程互聯(lián)的場景，由于廣域網(wǎng)不穩(wěn)定而引發(fā)VPN上遠(yuǎn)程業(yè)務(wù)的不穩(wěn)定。華為推出VPN智能選路技術(shù)，在一組VPN加密隧道中進(jìn)行流量負(fù)載均衡，當(dāng)VPN故障時(shí)可以使用質(zhì)量最優(yōu)的備選作為替代。既能優(yōu)化了體驗(yàn)，又降低了租用專線的需求。這個(gè)技術(shù)在京東商城遍及全國的物流系統(tǒng)中用的非常成功。在大型企業(yè)中，大量防火墻策略的管理和優(yōu)化是個(gè)難題。華為推出的Smart Policy技術(shù)能夠智能的優(yōu)化、精簡下一代防火墻策略。幫助企業(yè)簡化管理，TCO降低30%。這些都是華為USG6000下一代防火墻根據(jù)場景衍生出的新技術(shù)?；谝苿佑脩舻刂肺恢玫脑L問控制，也是華為NGFW為移動辦公安全量身定制的體貼特性之一。

性能和功能按需平衡，山石網(wǎng)科解決方案

山石網(wǎng)科認(rèn)為，針對移動應(yīng)用場景，下一代防火墻將會加強(qiáng)“場景感知”的技術(shù)能力。NGFW能夠感知到用戶當(dāng)前的所在網(wǎng)絡(luò)環(huán)境，例如終端類型、接入方式、用戶角色，從而自動將安全策略匹配至該場景，包括認(rèn)證方式、訪問權(quán)限、審計(jì)內(nèi)容等。這個(gè)過程需要下一代防火墻具備場景感知與自動的策略分發(fā)能力，因此提出以下兩種解決方案策略。

1、用組合式解決方案滿足用戶對功能和性能的需求：在數(shù)據(jù)中心出口需要大流量的應(yīng)用場景，提供X系列全分布架構(gòu)的高端防火墻，滿足海量吞吐。在性能要求不高的區(qū)域，提供E/T等智能下一代防火墻滿足更多安全功能的需求

2、在單品上采用異構(gòu)方式兼顧性能和功能。例如智能下一代防火墻采用了多核網(wǎng)絡(luò)處理架構(gòu)以及X86架構(gòu)，兼顧網(wǎng)絡(luò)處理效率以及智能分析功能。

近年來，山石網(wǎng)科下一代防火墻在金融、互聯(lián)網(wǎng)行業(yè)得到了大量用戶的認(rèn)可，在農(nóng)行、建行、國泰君安、中國人壽等大型金融客戶中，山石網(wǎng)科下一代防火墻得到了大規(guī)模部署或是應(yīng)用于客戶網(wǎng)絡(luò)的核心位置，這得益于山石網(wǎng)科在產(chǎn)品技術(shù)領(lǐng)域的多年積累，高穩(wěn)定性是這些金融客戶對我們產(chǎn)品的一致評價(jià)。未來，我們將繼續(xù)深挖客戶需求，根據(jù)業(yè)務(wù)需求以及威脅攻擊鏈，為客戶提供更細(xì)化的解決方案

不同廠商的下一代防火墻側(cè)重點(diǎn)不同，有的側(cè)重于應(yīng)用識別，有的側(cè)重于WEB防護(hù)，但是總體思路都是要解決業(yè)務(wù)應(yīng)用上的安全問題，而不是像傳統(tǒng)防火墻一樣，僅關(guān)注網(wǎng)絡(luò)層的安全問題。

從安全技術(shù)發(fā)展角度看，現(xiàn)有依賴特征庫的檢測技術(shù)已經(jīng)發(fā)展到了瓶頸了，跟不上威脅的快速變化了，一是威脅數(shù)量越來越多，二是威脅變種越來越快，這也是為什么現(xiàn)在未知威脅廣受關(guān)注，同時(shí)難于防范的原因。山石網(wǎng)科在這個(gè)問題上另辟蹊徑，在國內(nèi)最早在防火墻上采用基于行為分析的技術(shù)進(jìn)行威脅發(fā)現(xiàn)，不論未知威脅如何變化，但從行為上總是可以辨識的。這種基于行為分析的安全理念，以及在國際上成為防范未知威脅的主流趨勢。

越來越多的廠商推出自己的下一代防火墻產(chǎn)品，不同產(chǎn)品功能性能差異較大，客戶在選擇時(shí)，往往缺乏標(biāo)準(zhǔn)，不知道該如何去選擇。這是客戶當(dāng)前面臨的一個(gè)問題。我們的建議是：首先，確認(rèn)自身的安全需求是什么，在現(xiàn)有產(chǎn)品中選擇最匹配的。其次，參考國際權(quán)威咨詢機(jī)構(gòu)的評價(jià)，例如Gartnar，這些機(jī)構(gòu)通常對各個(gè)廠商的產(chǎn)品技術(shù)以及安全趨勢有較深入的了解，通過他們的評價(jià)可以更客觀的了解安全廠商的產(chǎn)品和技術(shù)。

山石網(wǎng)科對安全趨勢的看法

云安全服務(wù)是在云應(yīng)用的新形式下，為保障云安全而產(chǎn)生的一種新的安全形態(tài)，它是現(xiàn)有安全技術(shù)的補(bǔ)充，但不是替代。在未來的安全中，這兩種安全形態(tài)將日趨融合，互為補(bǔ)充。例如威脅情報(bào)共享以及安全聯(lián)動。防火墻利用云安全服務(wù)，防火墻在情報(bào)分析、威脅感知上得到顯著增強(qiáng)。

安全的本質(zhì)是防御威脅。定義下一代安全，更主要的是要關(guān)注什么是“下一代威脅”，要從威脅的傳播途徑、感染機(jī)制、破壞形式上去考慮，幫助用戶解決安全問題。用戶并不關(guān)注究竟什么是“下一代”，用戶關(guān)注的是我現(xiàn)在面臨什么威脅，如何解決?性能提升或是功能增強(qiáng)，都是下一代安全的表象，而非定義。

UTM締造者Fortinet解讀下一代防火墻

首先，并不是說傳統(tǒng)防火墻無法兼顧功能和性能，而是傳統(tǒng)防火墻只是基于傳統(tǒng)五元組的過濾方式，并無法基于應(yīng)用進(jìn)行識別和過濾，所以才有了下一代防火墻。所謂的功能與性能無法兼顧這一個(gè)“遺留”問題是NGFW上市的時(shí)候提出的說辭，并且現(xiàn)在已經(jīng)解決。比如Fortinet的NGFW就能夠很好地平衡功能與性能，主要原因就是Fortinet的FortiGate下一代防火墻采用了混合架構(gòu)的處理方式，使用多塊FortiASIC芯片來幫助核心CPU來卸載網(wǎng)絡(luò)和應(yīng)用流量。一顆FortiASIC NP6網(wǎng)絡(luò)處理器可以處理40Gbps的網(wǎng)絡(luò)流量，并且對于流量中的數(shù)據(jù)包大小不敏感，并且處理IPv6網(wǎng)絡(luò)流量的性能與IPv4的網(wǎng)絡(luò)流量性能相同。這樣就能夠保證即使在很高流量負(fù)載的情況下，CPU的使用率仍然很低，這樣就能夠保障CPU還有能力處理突發(fā)的業(yè)務(wù)請求。FortiASIC CP8內(nèi)容處理器能夠?qū)用芰髁窟M(jìn)行解密，還可以對應(yīng)用流量，IPS性能進(jìn)行加速。通過全方位的流量卸載與加速，F(xiàn)ortiGate足以保障用戶在開啟多功能時(shí)依然可以讓我們的下一代防火墻不成為網(wǎng)絡(luò)瓶頸。

我們需要明確兩點(diǎn)：純粹的邊界安全是不足夠的，安全性不足的無線網(wǎng)絡(luò)是巨大隱患。

傳統(tǒng)的防火墻或NGFW部署在企業(yè)和互聯(lián)網(wǎng)的邊界處，雖然表面上看可以過濾全部的流量，但也只是流出的流量，對于企業(yè)網(wǎng)內(nèi)部不上到邊界網(wǎng)關(guān)的流量，比如無線網(wǎng)絡(luò)流量，傳統(tǒng)邊界網(wǎng)關(guān)+無線AC的獨(dú)立部署模式。但是FortiGate下一代防火墻集成了無線控制器功能，可以在FortiGate上面直接管理由FortiAP組成的無線網(wǎng)絡(luò)。由于FortiGate把無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)無縫地整合到了一起，在管理方面對于用戶來說就是一張網(wǎng)絡(luò)，因此可以對無線網(wǎng)絡(luò)部署IPS，IDS，應(yīng)用控制，DLP，URL過濾等等NGFW的功能。

所以，F(xiàn)ortiGate下一代防火墻將有線網(wǎng)絡(luò)的安全性完美地移植到了無線網(wǎng)絡(luò)中，而且還是通過一個(gè)管理窗口進(jìn)行管理，極大地提升了安全性。

飛塔防火墻優(yōu)勢所在

Fortinet的FortiGate下一代防火墻廣泛應(yīng)用在我們?nèi)粘Ｄ芤姷降母鞣N行業(yè)領(lǐng)域，比如金融行業(yè)，互聯(lián)網(wǎng)行業(yè)，制造業(yè)等等。未來Fortinet將針對廣大的互聯(lián)網(wǎng)客戶進(jìn)行分業(yè)務(wù)場景的解決方案定制。

行業(yè)應(yīng)用廣泛的原因在于Fortinet提供的NGFW是無處不在的，從傳統(tǒng)部署的邊界網(wǎng)關(guān)部署模式，到內(nèi)網(wǎng)隔離使用的NGFW，再到虛擬化環(huán)境，SDN環(huán)境的NGFW，甚至還在NGFW中集成了交換和無線功能。在數(shù)據(jù)中心場景，F(xiàn)ortinet提供完備的虛擬化和SDN解決方案，比如在Vmware NSX環(huán)境中，OpenStack環(huán)境中以及Cisco ACI架構(gòu)中幫助數(shù)據(jù)中心解決內(nèi)部東西向流量的安全問題。未來在云計(jì)算、虛擬化和SDN領(lǐng)域也將繼續(xù)擴(kuò)大生態(tài)系統(tǒng)，為用戶提供更強(qiáng)大的安全解決方案。

下一代防火墻關(guān)注應(yīng)用識別是必須的，但是Web防護(hù)能力則不必須

主流NGFW技術(shù)應(yīng)與WAF配合，而非集成。因?yàn)閺牟渴鹞恢蒙?，NGFW可以部署在任何地方，WAF定位于Web服務(wù)器前端;從技術(shù)原理上，NGFW是狀態(tài)檢測+深度包檢測，WAF是應(yīng)用層代理。下一代防火墻部署的位置應(yīng)該是在企業(yè)內(nèi)網(wǎng)的業(yè)務(wù)組之間進(jìn)行內(nèi)網(wǎng)隔離，或者在企業(yè)與互聯(lián)網(wǎng)邊界進(jìn)行整體企業(yè)網(wǎng)絡(luò)的安全隔離。而Web服務(wù)器的防護(hù)是有專門的WAF設(shè)備放在Web服務(wù)器前面進(jìn)行基于Web的威脅防御的。雖然NGFW和WAF都是以應(yīng)用層為主進(jìn)行安全保護(hù)，但是NGFW具有防火墻的基因，能夠進(jìn)行網(wǎng)絡(luò)層安全保護(hù)，這個(gè)是WAF無法做到的，雖然WAF對于應(yīng)用的理解更細(xì)，能夠到參數(shù)級，但是只能針對Web應(yīng)用，特點(diǎn)十分鮮明，而NGFW則是對全流量應(yīng)用給予可視化及細(xì)粒度管控的。

對于未知威脅的防御，目前主流的的做法都是基于行為進(jìn)行判定。FortiGate的其中一個(gè)功能就是基于行為打分。首先定義威脅權(quán)重，開啟后系統(tǒng)將自動開啟所有策略的流量日志。管理員可以調(diào)配每一個(gè)威脅項(xiàng)的權(quán)重值，以適配企業(yè)網(wǎng)絡(luò)的流量特點(diǎn)。然后可以根據(jù)每個(gè)用戶的具體分?jǐn)?shù)進(jìn)行重點(diǎn)控制，比如施加額外的應(yīng)用控制、Web過濾等等。這也是一種實(shí)現(xiàn)幫助用戶針對性進(jìn)行策略配置的方式。此外，隨著網(wǎng)絡(luò)攻擊越來越復(fù)雜，很多傳統(tǒng)的方式以及無法抵御目前的高級復(fù)雜攻擊，但是管理員通過FortiGate可以對網(wǎng)絡(luò)流量中的行為進(jìn)行威脅權(quán)重定義，通過行為的蛛絲馬跡來發(fā)現(xiàn)攻擊和被攻擊對象。另外，F(xiàn)ortiGate可以與FortiSandbox沙盒產(chǎn)品集成，通過將未知文件上傳到沙盒去進(jìn)行虛擬執(zhí)行，來進(jìn)行基于行為的判定。對于大型企業(yè)網(wǎng)絡(luò)或者服務(wù)提供商網(wǎng)絡(luò)，F(xiàn)ortiGate可以作為探針部署在網(wǎng)絡(luò)內(nèi)部的很多地方，做細(xì)致的內(nèi)網(wǎng)隔離的同時(shí)，為FortiSIEM提供內(nèi)網(wǎng)多位置的安全情報(bào)，交由FortiSIEM進(jìn)行統(tǒng)一分析，通過資產(chǎn)關(guān)聯(lián)，交叉關(guān)聯(lián)和清單關(guān)聯(lián)后確定風(fēng)險(xiǎn)等級。

下一代安全趨勢下防火墻主要角色依然是網(wǎng)絡(luò)隔離

防火墻的主要角色肯定還是網(wǎng)絡(luò)隔離，隨著威脅的演進(jìn)，只在內(nèi)外網(wǎng)之間放置防火墻進(jìn)行隔離已經(jīng)不夠，內(nèi)網(wǎng)的安全隔離也要使用下一代防火墻，這樣可以提供內(nèi)網(wǎng)全流量可視化。只有讓用戶看清楚自己網(wǎng)絡(luò)內(nèi)的流量情況，才能進(jìn)行更好的防御。

云時(shí)代，防火墻的重要性更加不可動搖。我們需要微分段、零信任、無處不在的NGFW來防御APT攻擊。遠(yuǎn)在天邊的云安全服務(wù)只是安全體系的一部分，而不是全部。

企業(yè)用戶對下一代防火墻的應(yīng)用目前有哪些困惑?

首先是用戶的投資過于集中在企業(yè)網(wǎng)絡(luò)邊界，實(shí)際上內(nèi)網(wǎng)安全更重要?，F(xiàn)在很多第三方咨詢公司和調(diào)研公司都講“零信任”網(wǎng)絡(luò)，就是說內(nèi)網(wǎng)也不安全，必須把每個(gè)內(nèi)網(wǎng)組、段、域當(dāng)成做外網(wǎng)隔離一樣進(jìn)行下一代安全過濾，最好也要部署NGFW，但實(shí)際上用戶并沒有這么想和這么做。

其次就是用戶把NGFW 當(dāng)成傳統(tǒng)防火墻或VPN網(wǎng)關(guān)來使用。原因在于設(shè)備自身功能過多，配置復(fù)雜，報(bào)表展示不友好等等。雖然在NGFW的經(jīng)典定義中功能只包含：防火墻、IPS、應(yīng)用控制這三個(gè)主要功能，但是實(shí)際上業(yè)界所有的NGFW全都是有至少5個(gè)以上的安全功能，比如多了URL過濾，反病毒等等。功能多了之后，一旦配置不友好，改動不方便，用戶可能就會放棄使用這個(gè)功能，然后時(shí)間長了就變成了只當(dāng)成普通防火墻來使用。另外就是功能做的不細(xì)致，導(dǎo)致實(shí)際使用效果不好，用途不大。

最后是實(shí)際性能與廠商聲稱的有時(shí)差距很大，比如企業(yè)網(wǎng)絡(luò)1Gbps出口帶寬，很難說拿一臺1Gbps性能的NGFW就能搞定，甚至有的廠商拿2Gbps，3Gbps的都不一定能搞定。如何選型是用戶采購的時(shí)候比較困惑的。

下一代防火墻性能、功能、服務(wù)缺一不可。

不管是企業(yè)內(nèi)網(wǎng)還是數(shù)據(jù)中心網(wǎng)絡(luò)，帶寬都在迅速增加。尤其是在內(nèi)網(wǎng)，由于接入設(shè)備多，長連接應(yīng)用多，導(dǎo)致對于網(wǎng)絡(luò)設(shè)備的需求不論是新建，并發(fā)還是吞吐量方面都要求更高。作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的下一代防火墻肯定不能成為網(wǎng)絡(luò)的瓶頸。其處理性能要能夠跟得上網(wǎng)絡(luò)的發(fā)展，比如內(nèi)網(wǎng)高性能交換的高密10G接口，以及40G、100G接口等等都要支持，當(dāng)然性能也要能跟上。

功能方面，寄希望于一臺設(shè)備實(shí)現(xiàn)功能大一統(tǒng)其實(shí)并不現(xiàn)實(shí)。因?yàn)樗幍木W(wǎng)絡(luò)位置決定了這臺設(shè)備需要處理的流量特性。比如說NGFW，WAF，郵件網(wǎng)關(guān)之間肯定是不能相互替代的。NGFW需要解決的問題還是如何能夠提供給用戶更好的易用性。讓用戶充分將NGFW的功能發(fā)揮到最大化，這樣才能夠幫助用戶提升安全水平，如果這一代的安全都做不好，何談下一代安全呢。

另外就是服務(wù)，安全是一個(gè)動態(tài)的過程，攻防雙方都是持續(xù)不斷地進(jìn)行較量，因此，作為防守方必須要能夠持續(xù)不斷地輸出最新的安全威脅情報(bào)。Fortinet在安全行業(yè)有十余年的積累，而且FortiGuard安全威脅研究與響應(yīng)實(shí)驗(yàn)室在歐洲，亞洲，和北美有200余位安全研究專家，為Fortinet的客戶提供24x7x365的安全威脅情報(bào)的更新。

下一代安全倡導(dǎo)者網(wǎng)康談下一代防火墻

網(wǎng)康NGFW采用高性能多核硬件架構(gòu)及單路徑異構(gòu)并行處理引擎，網(wǎng)絡(luò)流量平均分配于多個(gè)處理核心并行處理，所有數(shù)據(jù)包一次解碼即可進(jìn)行全部威脅特征檢測。大幅優(yōu)化了安全檢測和數(shù)據(jù)轉(zhuǎn)發(fā)效率，可有效保障高性能應(yīng)用層處理，并降低多安全功能全開啟后的性能衰減。單路徑異構(gòu)并行處理有別于傳統(tǒng)統(tǒng)一威脅管理(UTM)將多安全引擎簡單堆砌的方式。安全模塊間可開展有機(jī)聯(lián)動，各安全模塊產(chǎn)生的信息可實(shí)現(xiàn)全維度關(guān)聯(lián)，使網(wǎng)康NGFW具備強(qiáng)大的模塊間安全協(xié)同能力和威脅情報(bào)(Threat Intelligence)聚合能力。

此外，NGFW可以與網(wǎng)康云聯(lián)動，這樣大量的特征匹配工作量可以在網(wǎng)康云上完成，也就是業(yè)內(nèi)常說的云查殺技術(shù)，并將云端的決策下發(fā)到NGFW端。本地+云端的模式可以在保證應(yīng)用識別/檢測率的同時(shí)最大程度的保證單機(jī)性能。

下一代防火墻衍生新技術(shù)

當(dāng)前市場上已經(jīng)出現(xiàn)了很多下一代防火墻產(chǎn)品，根據(jù)不同公司對產(chǎn)品的不同理解以及不同的技術(shù)積累，在產(chǎn)品實(shí)現(xiàn)過程中就出現(xiàn)了很多差異性。網(wǎng)康科技在做具體實(shí)現(xiàn)的時(shí)候，也做出了很多差異性的實(shí)現(xiàn)。

云查殺技術(shù)

Gartner定義下一代防火墻的時(shí)候,云計(jì)算并沒得到普及，然而今天，“云”已經(jīng)成為了眾多安全廠商競相采用的一種技術(shù)。結(jié)合防火墻產(chǎn)品，云主要表現(xiàn)出了兩方面的優(yōu)勢。首先是特征數(shù)量更大和特征更新更快。受限于本地存儲空間大小和cpu運(yùn)算能力，一般的獨(dú)立防毒墻，或者UTM、防火墻產(chǎn)品中嵌入的殺毒引擎所具備的特征庫數(shù)量基本上都是10萬級的，而云端的病毒庫由于不受計(jì)算能力和存儲能力的限制，因此擁有多達(dá)500萬以上的特征庫。而且云端安全引擎不會出現(xiàn)擴(kuò)展性問題，隨著樣本庫的增長我們只需要調(diào)整云中心的硬件配置就可以了。需要指出的是，木馬的危害性遠(yuǎn)遠(yuǎn)超過病毒和蠕蟲，它是僵尸網(wǎng)絡(luò)、數(shù)據(jù)泄露的重要途徑，是對企業(yè)安全的巨大威脅。云安全技術(shù)是應(yīng)對木馬的有力武器，事實(shí)上，由于木馬具有快速變種的特點(diǎn)，可以認(rèn)為這種解決方案對于木馬是唯一有效的檢測方案。根據(jù)我們的測試，在和幾款主流的安全硬件的對比中，同樣的樣本數(shù)據(jù)，網(wǎng)康下一代防火墻的檢出率高達(dá)90%而其他設(shè)備的檢出率不超過60%。

數(shù)據(jù)防泄漏技術(shù)

DLP的要求同樣沒有出現(xiàn)在Gartner的定義中，然而隨著大數(shù)據(jù)時(shí)代的來臨，數(shù)據(jù)已經(jīng)成為了企業(yè)的核心資產(chǎn)，在國家對公共信息保護(hù)日益嚴(yán)格的情況下，數(shù)據(jù)泄露在給企業(yè)帶來巨大損失的同時(shí)，還會為企業(yè)帶來法律風(fēng)險(xiǎn)。所以，下一代安全技術(shù)中有必要針對數(shù)據(jù)泄露設(shè)計(jì)專門的防范措施。當(dāng)前的許多數(shù)據(jù)檢測都是發(fā)生在協(xié)議層的，例如FTP，HTTP等。而實(shí)際上，數(shù)據(jù)泄露卻有著很多的渠道，許多網(wǎng)絡(luò)應(yīng)用都可以進(jìn)行數(shù)據(jù)傳輸，例如網(wǎng)盤、P2P、IM等等，這些應(yīng)用都有自己獨(dú)特的數(shù)據(jù)傳輸機(jī)制，這不是從協(xié)議層可以檢測出來的。所以要進(jìn)行有效的數(shù)據(jù)泄露檢測，必須能夠針對具體應(yīng)用來進(jìn)行。而這恰恰是下一代防火墻的核心能力所在。網(wǎng)康科技針對300種能夠進(jìn)行數(shù)據(jù)傳輸?shù)膽?yīng)用進(jìn)行了檢測，并支持66種文件類型的檢查。而且還支持通過正則表達(dá)式的形式來進(jìn)行關(guān)鍵字規(guī)則限定，并且預(yù)定義了許多數(shù)據(jù)類型例如“身份證號”、“銀行卡號”、“信用卡號”等。

鏈路負(fù)載均衡與應(yīng)用引流

除了在下一代安全技術(shù)的進(jìn)一步加強(qiáng)外，網(wǎng)康還針對一些客戶的實(shí)際需求做出了一些極具實(shí)用價(jià)值的新功能。比如，網(wǎng)康科技觀察到很多客戶都具有多鏈路出口的場景，負(fù)載均衡對這些客戶有著明顯的價(jià)值，于是引入了鏈路負(fù)載均衡功能，這對于提升我們客戶的網(wǎng)絡(luò)吞吐有著很好的幫助。除了傳統(tǒng)的鏈路負(fù)載均衡功能，網(wǎng)康還將其獨(dú)有技術(shù)“應(yīng)用引流”引入到了下一代防火墻平臺上，用戶可以根據(jù)應(yīng)用類型來決定選擇哪條鏈路，這可以讓客戶將核心業(yè)務(wù)分布到優(yōu)質(zhì)高價(jià)鏈路上，將無關(guān)業(yè)務(wù)分布到劣質(zhì)低價(jià)鏈路上，更好的發(fā)揮IT投資的價(jià)值。

更精細(xì)的解決方案防范未知威脅

網(wǎng)康下一代防火墻已成功部署在了遍布全國及各行業(yè)的企事業(yè)單位。在政府機(jī)構(gòu),網(wǎng)康下一代防火墻以其極高的安全性助力等級保護(hù)建設(shè);在高校，以其強(qiáng)大的性能和可靠性保障數(shù)字化校園;在中小學(xué)，以其領(lǐng)先的應(yīng)用控制能力保障三通兩平臺運(yùn)行并構(gòu)建綠色上網(wǎng)環(huán)境;在中小企業(yè)，以其多功能融合的設(shè)計(jì)帶來一專多能、安全可靠、簡單經(jīng)濟(jì)的價(jià)值提升;在大型企業(yè)，以其卓越的全網(wǎng)可視、智能分析構(gòu)筑技術(shù)支撐管理、技術(shù)管理并重的安全體系。

對于下一代防火墻來講，一旦具備了對人、應(yīng)用、內(nèi)容的識別能力，則意味著訪問控制能力由原先的五元組擴(kuò)充至了八元組，控制一個(gè)數(shù)據(jù)包的訪問和轉(zhuǎn)發(fā)，可基于傳統(tǒng)五元組外加應(yīng)用類型以及數(shù)據(jù)內(nèi)容進(jìn)行更加精細(xì)的過濾。同時(shí)，對于日益普遍的應(yīng)用層威脅的防御，同樣需要建立在應(yīng)用識別的基礎(chǔ)之上，不識別應(yīng)用則根本談不上應(yīng)用層威脅的防御。

在防范未知威脅方面，網(wǎng)康NGFW內(nèi)建僵尸主機(jī)行為模型，并引入行為特征分析技術(shù)，將針對主機(jī)行為的統(tǒng)計(jì)分析結(jié)果與威脅模型進(jìn)行關(guān)聯(lián)對比，根據(jù)其符合程度判別可疑的僵尸主機(jī)并及時(shí)預(yù)警，為管理者提早做出人工干預(yù)提供數(shù)據(jù)支撐。主動式防御還包括單位周期流量異常變化監(jiān)控，可以應(yīng)用、IP為維度對比出單位周期內(nèi)的流量激增和驟減變化，幫助管理者預(yù)判風(fēng)險(xiǎn)。

迎合下一代安全趨勢

網(wǎng)康安全云收錄病毒文件樣本數(shù)量已達(dá)億級，惡意網(wǎng)址數(shù)量超20萬條，并由專業(yè)安全團(tuán)隊(duì)保持實(shí)時(shí)分析和更新。網(wǎng)康NGFW實(shí)現(xiàn)了與網(wǎng)康安全云的智能聯(lián)動，在業(yè)界率先采用病毒和惡意網(wǎng)址云查殺技術(shù)。

云查殺技術(shù)由網(wǎng)康安全云負(fù)責(zé)病毒、惡意網(wǎng)址等威脅特征的匹配，并由網(wǎng)康NGFW快速執(zhí)行云端下發(fā)的決策，云查殺技術(shù)在威脅檢出率、檢測性能及新威脅響應(yīng)速度方面領(lǐng)先傳統(tǒng)本地檢測技術(shù)數(shù)十倍。簡單講，在下一代網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)中，NGFW既是云上大數(shù)據(jù)的采集者，同時(shí)也是云端決策的執(zhí)行者。

大數(shù)據(jù)情報(bào)分析在終端的落地

目前企業(yè)用戶對防火墻的最大困惑，就是傳統(tǒng)的安全設(shè)備如何應(yīng)對現(xiàn)代網(wǎng)絡(luò)環(huán)境中的高級威脅， 尤其是未知威脅。因?yàn)閭鹘y(tǒng)安全設(shè)備的檢測方式十分依賴于病毒庫、特征庫等技術(shù)手段，而這類技術(shù)無法應(yīng)對未知威脅。網(wǎng)康科技在研發(fā)NGFW之始就看到了傳統(tǒng)檢測方式的局限性，因此始終將主動式防御和風(fēng)險(xiǎn)預(yù)判作為應(yīng)對現(xiàn)代高級威脅的解決之道，通過用戶行為特征分析判斷異常行為并及時(shí)預(yù)警，為管理者提早做出人工干預(yù)提供數(shù)據(jù)支撐。

此外，本地設(shè)備與云技術(shù)的結(jié)合也是用戶的另一個(gè)困惑。NGFW的一個(gè)熱點(diǎn)功能就是安全可視化，這種可視化并不是應(yīng)用、用戶的可視化，而是全網(wǎng)范圍內(nèi)的安全態(tài)勢感知，這是單一設(shè)備無法實(shí)現(xiàn)的。而云計(jì)算技術(shù)可以將海量數(shù)據(jù)關(guān)聯(lián)起來，動態(tài)搜集情報(bào)、智能解決威脅。在這方面網(wǎng)康可以做了一些嘗試，通過”云管端“安全架構(gòu)模式解決了本地防火墻與云端的聯(lián)動問題，實(shí)現(xiàn)了大數(shù)據(jù)情報(bào)分析通過防火墻在受管控的終端上落地，防火墻的防護(hù)模式也由之前的孤島模式演進(jìn)為協(xié)同模式。

功能和性能有如驅(qū)動之雙輪，要協(xié)同發(fā)展，缺一不可。防火墻部署于內(nèi)網(wǎng)和外網(wǎng)連接的咽喉要道，肩負(fù)著流量控制、病毒檢測、入侵監(jiān)測、內(nèi)容過濾等多種功能，因此開啟全部功能后可能會導(dǎo)致處理性能大幅度下降。盡管這個(gè)問題無法完全避免，但通過高性能多核硬件架構(gòu)及單路徑異構(gòu)并行處理引擎，報(bào)文經(jīng)過一次解包后由多個(gè)模塊并行檢測，是可以有效降低性能衰減的。

深信服安全專家王淮談下一代防火墻

現(xiàn)在是移動互聯(lián)網(wǎng)時(shí)代，隨著移動應(yīng)用的激增，不僅導(dǎo)致了我們對帶寬需求的提升，也引入了更多新的威脅。和過去相比，更多的業(yè)務(wù)由C/S架構(gòu)轉(zhuǎn)向B/S架構(gòu)，我們網(wǎng)絡(luò)面臨的安全威脅也從過去簡單的網(wǎng)絡(luò)層攻擊，變?yōu)榱藨?yīng)用層的攻擊，而且新型威脅的出現(xiàn)頻率也更高，可以說我們的網(wǎng)絡(luò)環(huán)境和安全需求發(fā)生了很大的變化，這也能從今年的RSA大會主題“change”看得出來。這些變化，是傳統(tǒng)防火墻無法有效應(yīng)對的，所以下一代防火墻應(yīng)運(yùn)而生。

深信服是國內(nèi)最早發(fā)布下一代防火墻產(chǎn)品的廠商，深信服深刻的認(rèn)識到了傳統(tǒng)防火墻在新的安全形勢下的不足，因此在設(shè)計(jì)之初就充分考慮了安全防御功能和性能的需求。

深信服下一代防火墻(Next-Generation Application Firewall)NGAF提供了更精細(xì)的應(yīng)用層安全控制，能夠有效識別并控制2000多種應(yīng)用，包括數(shù)百種移動應(yīng)用;NGAF還提供了全面的內(nèi)容級安全防護(hù)，如Web應(yīng)用安全防護(hù)，漏洞防護(hù)，入侵防護(hù)，病毒防護(hù)，應(yīng)用層DDoS攻擊防護(hù)，網(wǎng)頁篡改防護(hù)，內(nèi)網(wǎng)信息泄露防護(hù)等;NGAF同樣也提供了完備的傳統(tǒng)安全功能，如傳統(tǒng)防火墻的接入控制、NAT、VPN等。

為了實(shí)現(xiàn)強(qiáng)勁的應(yīng)用層處理能力，NGAF拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復(fù)計(jì)算工作的硬件設(shè)計(jì)，采用了更加適合應(yīng)用層靈活計(jì)算能力的多核并行處理技術(shù);在系統(tǒng)架構(gòu)上，NGAF也放棄了UTM多引擎，多次解析的架構(gòu)，而采用了更為先進(jìn)的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應(yīng)用層威脅統(tǒng)一進(jìn)行檢測匹配，從而提升了檢測效率，實(shí)現(xiàn)了萬兆級的應(yīng)用層安全防護(hù)能力。

針對不同移動辦公安全架構(gòu)和安全組件，下一代防火墻會針對不同用戶，甚至不同應(yīng)用場景做出什么具體改變，同時(shí)會衍生出何種新技術(shù)?

考慮到移動辦公的安全需求，深信服下一代防火墻集成了IPSec和SSL VPN功能，員工在外出差或者在家里，無論手機(jī)或者電腦都能利用VPN技術(shù)安全連接到工作網(wǎng)絡(luò)。但是，開展移動業(yè)務(wù)的設(shè)備(PC、手機(jī)、pad)和方式(開發(fā)App、虛擬化)多種多樣，需要部署多種系統(tǒng)接入平臺和安全設(shè)備，會帶來用戶體驗(yàn)不佳以及IT管理困難等問題。并且，由于員工手機(jī)被盜、不安全的Wi-Fi連接、以及企業(yè)與個(gè)人數(shù)據(jù)混合等因素，都給移動化帶來安全風(fēng)險(xiǎn)，極易導(dǎo)致企業(yè)敏感數(shù)據(jù)泄露。為了更好地適應(yīng)移動終端多樣化的特點(diǎn)，更好的管控移動終端的安全威脅，深信服還將推出EasyConnect應(yīng)用發(fā)布、EasyApp安全加固、EMM企業(yè)移動管理等多套組件，幫助用戶在任何時(shí)間、任何地點(diǎn)，使用任何終端都能安全地接入業(yè)務(wù)系統(tǒng)。

相對于友商，貴司NGFW的應(yīng)用用戶領(lǐng)域有何不同?未來將針對那些行業(yè)有更細(xì)化的解決方案?

深信服NGAF產(chǎn)品面向應(yīng)用層設(shè)計(jì)，能夠精確識別用戶、應(yīng)用和內(nèi)容，具備完整的L2-L7層安全防護(hù)體系，強(qiáng)化了在Web層面的應(yīng)用防護(hù)能力，不僅在開啟全部安全功能的情況下還保持有強(qiáng)勁的應(yīng)用層處理能力，還能全面替代傳統(tǒng)防火墻等安全設(shè)備。因此，對于深信服來說，我們并沒有刻意界定客戶群體，我們希望NGAF產(chǎn)品能夠保護(hù)更多用戶的網(wǎng)絡(luò)安全。經(jīng)過最近幾年的拓展和推廣，深信服NGAF產(chǎn)品已經(jīng)獲得了非常多的客戶認(rèn)可和使用，截止2015年6月，已經(jīng)有超過一萬家客戶部署了深信服NGAF產(chǎn)品，其中包括100多家部委省廳級單位，200多家大型企業(yè)集團(tuán)，80家運(yùn)營商和金融單位，以及90多家知名教育單位。

現(xiàn)階段我們針對大部分行業(yè)都有相應(yīng)的NGAF解決方案，未來我們打算針對廣域網(wǎng)全網(wǎng)安全監(jiān)測、虛擬化云數(shù)據(jù)中心安全防護(hù)、安全咨詢和加固等方面推出更加細(xì)化的解決方案。

借助于深信服的云安全平臺、第三方安全情況共享和威脅情報(bào)預(yù)警與處置機(jī)制，能夠快速幫助客戶建立全網(wǎng)安全監(jiān)測體系，實(shí)現(xiàn)全網(wǎng)安全狀況實(shí)時(shí)動態(tài)感知、威脅快速定位、安全快速響應(yīng)等目標(biāo);虛擬化技術(shù)已經(jīng)成熟，云數(shù)據(jù)中心正逐步實(shí)現(xiàn)，但針對虛擬網(wǎng)絡(luò)卻沒有有效的安全管控手段，深信服虛擬化軟件防火墻專為虛擬化云環(huán)境而設(shè)計(jì)，其擁有和物理設(shè)備一樣的功能，并能以虛機(jī)的形式存在于虛擬網(wǎng)絡(luò)中，提供了虛擬環(huán)境下完美的邊界控制、流量檢測、威脅防御、集中管理及行為審計(jì)等功能;深信服也組建了專業(yè)的安全咨詢服務(wù)團(tuán)隊(duì)，依托深厚的安全知識體系和豐富的行業(yè)經(jīng)驗(yàn)，綜合國際國內(nèi)標(biāo)準(zhǔn)、政策要求和實(shí)踐優(yōu)化經(jīng)驗(yàn)，深信服能夠?yàn)榭蛻舸罱ㄈ娴?、無縫整合的動態(tài)信息安全保障體系，保障客戶網(wǎng)絡(luò)的持續(xù)安全，并為客戶提供未來3-5年的安全建設(shè)規(guī)劃。

保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全已上升到國家戰(zhàn)略，而全球多個(gè)國家都把網(wǎng)絡(luò)空間看作是第五大國家主權(quán)空間，未來網(wǎng)絡(luò)空間戰(zhàn)爭CyberWar可能一觸即發(fā)。深信服也力爭能為國家和民族的網(wǎng)絡(luò)安全事業(yè)做出更大的貢獻(xiàn)!

下一代防火墻特別關(guān)注的應(yīng)用識別和web防護(hù)能力么?下一代防火墻如何防范未知威脅?

下一代防火墻提倡的是二到七層全面的安全防護(hù)，既能起到傳統(tǒng)安全產(chǎn)品的作用，又能識別網(wǎng)絡(luò)中的用戶、理解網(wǎng)絡(luò)中的應(yīng)用和內(nèi)容、防御網(wǎng)絡(luò)內(nèi)容中的威脅，因此應(yīng)用識別是下一代防火墻全面的威脅識別和防護(hù)技術(shù)的基礎(chǔ)和必備要求。

Garnter報(bào)告顯示，當(dāng)前網(wǎng)絡(luò)中超過75%的攻擊來自于應(yīng)用層?；ヂ?lián)網(wǎng)技術(shù)的高速發(fā)展，使得Web業(yè)務(wù)成為當(dāng)前互聯(lián)網(wǎng)應(yīng)用最為廣泛的業(yè)務(wù)。大量的在線應(yīng)用業(yè)務(wù)都依托于Web服務(wù)進(jìn)行，Web業(yè)務(wù)不斷更新，大量web應(yīng)用快速上線。因此，如果下一代防火墻產(chǎn)品不能提供Web應(yīng)用防護(hù)功能，將是一個(gè)很大的安全缺陷，甚至可以說，是否具備Web安全防護(hù)功能，是衡量一款下一代防火墻產(chǎn)品優(yōu)越與否的重要標(biāo)志。

深信服NGAF產(chǎn)品主要通過兩種方式來防范未知威脅，分別是設(shè)備上的灰度威脅關(guān)聯(lián)分析引擎檢測和云端的云安全引擎平臺檢測。

NGAF的灰度威脅關(guān)聯(lián)分析引擎對威脅行為建模，在灰度威脅樣本庫中，形成木馬行為庫、SQL攻擊行為庫、病毒蠕蟲行為庫等數(shù)十個(gè)大類行為樣本，根據(jù)他們的風(fēng)險(xiǎn)性初始化一個(gè)行為權(quán)重。設(shè)備進(jìn)行單次解析后，若發(fā)現(xiàn)異常行為，立即將相關(guān)信息反饋給灰度威脅樣本庫，基于已有威脅樣本庫，將特定用戶的此次行為及樣本庫中的行為組合，進(jìn)行權(quán)值計(jì)算和閥值比較，如果某個(gè)用戶行為超過了預(yù)設(shè)的閥值，就會判定此類事件為威脅事件。深信服通過不斷的循環(huán)驗(yàn)證和權(quán)重微調(diào)，形成了準(zhǔn)確的權(quán)重知識庫，為檢測未知威脅奠定了基礎(chǔ)。

深信服云安全引擎平臺，主要是收集NGAF設(shè)備發(fā)現(xiàn)的可疑流量，在云平臺執(zhí)行多維度的沙盒檢測，進(jìn)而確認(rèn)是否是威脅行為，如果是威脅行為，將快速生成威脅防御特征，并同步下發(fā)到全球所有在線的深信服NGAF上，從而實(shí)現(xiàn)快速應(yīng)對未知威脅和僵尸網(wǎng)絡(luò)的能力。

云安全服務(wù)成為了下一代安全服務(wù)的趨勢，防火墻本身在下一代安全中將扮演什么角色?

最近，云安全服務(wù)日漸流行，很多專業(yè)的安全廠商都在做。在深信服看來，下一代安全服務(wù)是大數(shù)據(jù)和云服務(wù)的結(jié)合。深信服也基于自身對客戶的需求和安全服務(wù)的深刻理解，推出了自己的云安全服務(wù)。深信服云安全服務(wù)主要包含三個(gè)部分，分別是：云安全引擎平臺、威脅情報(bào)預(yù)警與處置中心、云端安全掃描中心。

深信服云安全引擎平臺在客戶許可的情況下，可以實(shí)時(shí)收集部署在用戶網(wǎng)絡(luò)中的NGAF設(shè)備發(fā)現(xiàn)的可疑流量。在云安全引擎平臺中，首先進(jìn)行海量樣本分揀，然后將分揀后的樣本放入相應(yīng)的沙盒執(zhí)行檢測，如果通過沙盒檢測確認(rèn)是威脅行為，將生成新的威脅防御特征，并更新云安全引擎平臺的威脅防護(hù)特征庫，同時(shí)將此安全防護(hù)特征下發(fā)到全球所有在線的NGAF設(shè)備。由于該系統(tǒng)是一個(gè)生態(tài)的自循環(huán)系統(tǒng)，因此可以在最短的時(shí)間內(nèi)發(fā)現(xiàn)和防御未知威脅。

威脅情報(bào)預(yù)警與處置中心是深信服云安全引擎與NGAF設(shè)備聯(lián)動的又一完美體現(xiàn)。云安全引擎能夠自動收集最受業(yè)界關(guān)注的熱點(diǎn)安全事件，在安全事件爆發(fā)后的48小時(shí)內(nèi)提供完整的0Day漏洞檢測和防護(hù)方案，并推送到全球所有在線的NGAF設(shè)備上，設(shè)備上的威脅處置中心模塊在用戶確認(rèn)許可的情況下將自動對被保護(hù)的對象進(jìn)行掃描檢測，并對掃描發(fā)現(xiàn)的威脅提供一鍵防護(hù)，用戶只需點(diǎn)擊一鍵防護(hù)按鈕，設(shè)備即可自動生成針對所有被發(fā)現(xiàn)的威脅的防護(hù)策略。

云掃描平臺是深信服結(jié)合多年web應(yīng)用安全研究成果和大量信息安全事件應(yīng)急響應(yīng)經(jīng)驗(yàn)之下開發(fā)出的一款安全掃描平臺，該平臺旨在幫助廣大用戶進(jìn)行遠(yuǎn)程深度web網(wǎng)站安全掃描、指紋識別、漏洞驗(yàn)證，全面預(yù)知web應(yīng)用系統(tǒng)安全現(xiàn)狀，并提供專業(yè)的安全加固建議。

在深信服看來，NGAF不僅僅是網(wǎng)絡(luò)中一道堅(jiān)實(shí)的安全防護(hù)長城，還充當(dāng)著安全風(fēng)險(xiǎn)感知、威脅探測、大數(shù)據(jù)提取、信息上報(bào)、防護(hù)落地的重要角色，是實(shí)現(xiàn)下一代安全的必不可少的重要一環(huán)。

企業(yè)用戶對下一代防火墻的應(yīng)用目前有哪些困惑?

實(shí)際上，下一代防火墻替換傳統(tǒng)安全設(shè)備已經(jīng)是大勢所趨。自2011年深信服發(fā)布國內(nèi)第一款下一代防火墻之后，國內(nèi)幾乎所有的主流安全廠商都陸續(xù)發(fā)布了下一代防火墻產(chǎn)品，并作為其公司戰(zhàn)略主推的產(chǎn)品。經(jīng)過幾年的發(fā)展，大部分客戶已經(jīng)認(rèn)可了下一代防火墻的價(jià)值，下一代防火墻已真正成為最主流的安全產(chǎn)品。

近期，我們深信服也做了一個(gè)調(diào)研統(tǒng)計(jì)，我們對近一年所做的項(xiàng)目進(jìn)行了分析梳理，發(fā)現(xiàn)有超過60%的項(xiàng)目是以下一代防火墻立項(xiàng)的，這其中就包括很多的企業(yè)客戶。進(jìn)一步對我們的企業(yè)客戶進(jìn)行跟蹤回訪，發(fā)現(xiàn)他們對于下一代防火墻的認(rèn)知度很高，而且他們確實(shí)面臨著很多的應(yīng)用層安全威脅，所以選擇用NGAF來替換傳統(tǒng)安全設(shè)備，進(jìn)而加固網(wǎng)絡(luò)安全。很多的企業(yè)客戶也非常注重測試效果，到底NGAF怎么樣，測一測就知道。另外一些企業(yè)客戶比較關(guān)注性價(jià)比，不過得益于國產(chǎn)廠商的崛起，他們大部分也表示承擔(dān)得起。

下一代防火墻通過硬件本身的性能提升還是功能多來定義下一代安全?

在深信服看來，無論是性能還是功能都應(yīng)該是下一代防火墻關(guān)注的重點(diǎn)，下一代防火墻應(yīng)該兼具應(yīng)用層高性能和全面的安全防護(hù)功能。

從處理性能來看，下一代防火墻著眼于應(yīng)用層安全保護(hù)，而應(yīng)用層的安全核查，就需要對數(shù)據(jù)包進(jìn)行重組、還原、匹配等操作，因此對于硬件資源的消耗比較大，并且人們對于帶寬需求是不斷提升的， 這就要求下一代防火墻設(shè)備在防護(hù)性能上能夠不斷滿足需求。采用高性能硬件平臺，或者在產(chǎn)品設(shè)計(jì)上采用更先進(jìn)的架構(gòu)，都是提升設(shè)備處理性能的一種選擇。

從功能上來看，我們知道安全建設(shè)有一個(gè)木桶原則，即安全防御體系建設(shè)的好壞取決于最短的那塊板，安全防御上不能存在短板，存在短板可能會被繞過，導(dǎo)致原有安全建設(shè)形同虛設(shè)。因此，涵蓋安全功能的全面性，也是衡量下一代防火墻優(yōu)劣的重要標(biāo)準(zhǔn)。

事實(shí)上，無論是Garnter下一代防火墻的定義，還是我國的第二代防火墻標(biāo)準(zhǔn)，里面都強(qiáng)調(diào)了高性能和功能全面性。

綠盟科技：NGFW作為一個(gè)網(wǎng)關(guān)類的產(chǎn)品，最重要的是穩(wěn)定性，然后是功能和性能。

在穩(wěn)定性方面綠盟科技下一代防火墻采用首創(chuàng)疏通安全雙引擎。綠盟科技下一代防火墻將處理4-7層安全的處理引擎和2-3層安全的處理引擎做了分離，分別叫做安全引擎和數(shù)通引擎，安全引擎可能需要經(jīng)常性的更新，在可靠性上低于數(shù)通引擎。而數(shù)通引擎由于其處理的業(yè)務(wù)屬于較為穩(wěn)定和基礎(chǔ)的業(yè)務(wù)，所以在可靠性上更高。分離上的好處就是當(dāng)安全引擎升級或故障時(shí)，數(shù)通引擎仍然可以順暢的進(jìn)行轉(zhuǎn)發(fā)工作，保障業(yè)務(wù)不會中斷，這樣很好的解決了下一代防火墻的穩(wěn)定性的問題。

在性能方面，硬件上采用了64位多核CPU并配以高速多核并發(fā)處理技術(shù)，軟件上采用了國際領(lǐng)先的一體化引擎技術(shù)，各個(gè)安全模塊并行處理，使性能有了一個(gè)質(zhì)的飛升。

在功能方面，打造云、管、端的防護(hù)體系，在云端對數(shù)據(jù)進(jìn)行分析;在管道方面，融合了應(yīng)用識別、入侵防護(hù)、URL過濾、內(nèi)容過濾、防病毒、帶寬管理等功能，來保障管道的暢通;在終端方面，通過資產(chǎn)識別功能，被動識別內(nèi)網(wǎng)資產(chǎn)屬性，對于有風(fēng)險(xiǎn)的資產(chǎn)進(jìn)行預(yù)警，將威脅扼殺于搖籃之中;

下一代防火墻會特別關(guān)注應(yīng)用識別，我們知道現(xiàn)在的網(wǎng)絡(luò)中超過75%的流量來自于應(yīng)用層，而現(xiàn)在應(yīng)用通過端口和協(xié)議已經(jīng)無法定位，如果不能精準(zhǔn)識別應(yīng)用，防火墻就如同虛設(shè)。對于web防護(hù)，下一代防火墻主要是輔助。

對于未知威脅的防范，應(yīng)該打造一個(gè)生態(tài)環(huán)境，而不僅僅是靠下一代防火墻一個(gè)產(chǎn)品，應(yīng)該是多個(gè)專業(yè)產(chǎn)品的組合，從而達(dá)到最佳防護(hù)效果。下一代防火墻除了本身具備一些防范能力，還應(yīng)該能夠與云聯(lián)動，這樣才能及時(shí)而全面的達(dá)到最佳防護(hù)效果。綠盟科技下一代防火墻支持與云聯(lián)動，并且支持與綠盟科技綠盟威脅分析系統(tǒng)聯(lián)動，形成一套完整的未知威脅防護(hù)方案。

NGFW的本身性能和功能都重要的因素，還有一個(gè)重要的因素是本身的安全性，另外還需要與多個(gè)專業(yè)的安全產(chǎn)品相組合來定義下一代安全。至少要有云、大數(shù)據(jù)分析、ATP防御等，這些靠下一代防火墻是無法完成。