自2009年Gartner定義了下一代防火墻概念以來(lái)，下一代防火墻便開(kāi)始雨后春筍般的出現(xiàn)。眾多國(guó)內(nèi)外安全廠商都推出了其下一代防火墻產(chǎn)品，甚至一些原本專注于其他領(lǐng)域的廠商也開(kāi)始涉足下一代防火墻。在國(guó)內(nèi)，下一代防火墻市場(chǎng)可謂異常火熱，各家在基于Gartner定義的下一代防火墻概念基礎(chǔ)上，結(jié)合自身優(yōu)勢(shì)推出了各具特色的下一代防火墻產(chǎn)品。

　　如此復(fù)雜繁多的下一代防火墻產(chǎn)品，哪個(gè)才是真正實(shí)用的下一代防火墻？哪個(gè)才能代表未來(lái)的發(fā)展趨勢(shì)？對(duì)于用戶，該如何區(qū)分和選擇適合自己的下一代防火墻產(chǎn)品？基于此，我們采訪了綠盟科技的兩位安全專家，請(qǐng)他們共同來(lái)探討這些話題。

　　當(dāng)前網(wǎng)絡(luò)安全環(huán)境探討

　　隨著云計(jì)算、移動(dòng)、社交網(wǎng)絡(luò)等新興IT技術(shù)的發(fā)展，給企業(yè)IT基礎(chǔ)架構(gòu)帶來(lái)了翻天覆地的變化，同時(shí)也為企業(yè)IT系統(tǒng)的安全帶來(lái)全新的挑戰(zhàn)，在這種趨勢(shì)下，企業(yè)IT的安全發(fā)生了根本性的變化。綠盟科技產(chǎn)品市場(chǎng)經(jīng)理段繼平表示，這些新的趨勢(shì)給IT帶來(lái)的第一個(gè)變化就是傳統(tǒng)網(wǎng)絡(luò)邊界逐漸變得模糊或者消失，這使得企業(yè)現(xiàn)有防護(hù)策略體系變得千瘡百孔，而傳統(tǒng)的基于IP地址和端口的用戶和應(yīng)用識(shí)別及管理機(jī)制可以說(shuō)已完全失效。

　　段繼平接著談到，面對(duì)這些新的變化，企業(yè)需要重新梳理和規(guī)劃現(xiàn)有安全體系架構(gòu)，通過(guò)建立體系化的安全防護(hù)體系，實(shí)現(xiàn)對(duì)企業(yè)IT架構(gòu)的全面防御，而不能向過(guò)去那樣一味的堆積產(chǎn)品，或者通過(guò)補(bǔ)洞的方式對(duì)現(xiàn)在的安全體系進(jìn)行修修補(bǔ)補(bǔ)。另外企業(yè)在選擇安全防護(hù)方案的時(shí)候也要重點(diǎn)考慮能夠適應(yīng)企業(yè)全新IT架構(gòu)的新一代的網(wǎng)絡(luò)安全解決方案，避免選擇一些過(guò)時(shí)的方案搞重復(fù)建設(shè)，這對(duì)企業(yè)來(lái)說(shuō)是不夠明智的。

　　而下一代防火墻是否能夠適應(yīng)企業(yè)當(dāng)前的IT架構(gòu)變革呢？下一代防火墻能為企業(yè)帶來(lái)哪些好處呢？綠盟科技產(chǎn)品推廣經(jīng)理黃海認(rèn)為，下一代防火墻不能說(shuō)完全解決企業(yè)目前面臨的問(wèn)題，但確實(shí)改善了很多問(wèn)題。像目前的應(yīng)用流量泛濫、難以管控的問(wèn)題，通過(guò)下一代防火墻的應(yīng)用識(shí)別和與策略結(jié)合的能力就可以得到很好的解決。過(guò)去采用IP地址進(jìn)行管理和日志記錄會(huì)導(dǎo)致配置和溯源上的困難，下一代防火墻也可以通過(guò)用戶身份管理的功能來(lái)解決，這樣可以使IT管理人員不需再關(guān)心網(wǎng)絡(luò)層面的IP地址和端口的問(wèn)題，僅需要從業(yè)務(wù)的角度進(jìn)行安全策略配置并回溯問(wèn)題就可以。

　　“下一代防火墻內(nèi)部引擎的高效實(shí)現(xiàn)又保障了設(shè)備擁有比過(guò)去更優(yōu)良的性能，讓單臺(tái)設(shè)備支持多種安全能力成為了一種可能，從而實(shí)現(xiàn)過(guò)去需要購(gòu)買多臺(tái)設(shè)備才能完成的安全組網(wǎng)現(xiàn)在僅需一臺(tái)設(shè)備就能完成。這也從實(shí)際上降低了企業(yè)對(duì)安全設(shè)備投資和管理維護(hù)成本，把很多企業(yè)從安全與投資這個(gè)矛盾問(wèn)題當(dāng)中解救出來(lái)。”黃海這樣介紹到。

　　下一代防火墻發(fā)展趨勢(shì)探討

　　1、NGFW應(yīng)用識(shí)別技術(shù)

　　Web2.0時(shí)代的到來(lái)使得大量的應(yīng)用進(jìn)入企業(yè)網(wǎng)絡(luò)，這些應(yīng)用幫助企業(yè)提高了工作效率，但同時(shí)也帶來(lái)了更多的安全風(fēng)險(xiǎn)。因此，針對(duì)應(yīng)用層的安全防護(hù)能力成為判斷下一代防火墻能力的重要標(biāo)準(zhǔn)。黃海介紹到，目前下一代防火墻的應(yīng)用識(shí)別技術(shù)主要有三種：深度包檢測(cè)、深度流檢測(cè)和會(huì)話關(guān)聯(lián)檢測(cè)，深度包檢測(cè)主要對(duì)單個(gè)報(bào)文中的明顯應(yīng)用特征進(jìn)行匹配，技術(shù)實(shí)現(xiàn)上比較簡(jiǎn)單和原始，但應(yīng)用還是較多的；深度流檢測(cè)可以對(duì)一條流上的多個(gè)前后相關(guān)聯(lián)的報(bào)文進(jìn)行檢查和匹配，有時(shí)候甚至是雙向的報(bào)文都要檢測(cè)，這樣能更好的應(yīng)對(duì)多變的應(yīng)用環(huán)境；會(huì)話關(guān)聯(lián)檢測(cè)主要是針對(duì)一些多會(huì)話應(yīng)用，要做到會(huì)話之間的關(guān)聯(lián)識(shí)別，保證最終的結(jié)果無(wú)遺漏。

　　黃海談到，“技術(shù)上的大同小異使得很多廠家在推廣產(chǎn)品宣傳應(yīng)用識(shí)別能力的時(shí)候會(huì)集中在特征庫(kù)大小這個(gè)問(wèn)題上，現(xiàn)在來(lái)看，各個(gè)廠家的應(yīng)用庫(kù)數(shù)量已經(jīng)從過(guò)去的幾百全面的過(guò)渡到了1000+，但這里其實(shí)還是有一些陷阱和誤區(qū)，就是一些老舊應(yīng)用特征是不是應(yīng)該算到這個(gè)庫(kù)里的問(wèn)題，算進(jìn)去就可以增加特征庫(kù)數(shù)量甚至達(dá)到幾千種應(yīng)用，但對(duì)于用戶使用來(lái)講意義卻不大。”

　　除了優(yōu)秀的應(yīng)用識(shí)別能力，下一代防火墻還必須具備對(duì)應(yīng)用威脅的分類和分析能力。由于應(yīng)用的數(shù)量實(shí)在太多，而一些用戶所不熟悉的應(yīng)用卻又是潛在風(fēng)險(xiǎn)最多的，如何區(qū)分、鑒別這些威脅成為一個(gè)很重要的問(wèn)題。黃海介紹到，綠盟科技在下一代防火墻中首度嘗試了對(duì)所有應(yīng)用進(jìn)行多維度分類，將應(yīng)用按照類型、威脅大小、實(shí)現(xiàn)技術(shù)和功能特點(diǎn)進(jìn)行歸類，并最終通過(guò)一個(gè)應(yīng)用過(guò)濾器方便用戶篩選出一個(gè)更精確的應(yīng)用集中來(lái)制定策略，這樣才可以提供更安全的應(yīng)用環(huán)境。

　　2、NGFW與UTM對(duì)比

　　從NGFW概念提出之初，人們對(duì)于NGFW和UTM的對(duì)比就沒(méi)停止過(guò)。那么到底兩者區(qū)別在哪呢？在本次的采訪中，黃海分別從兩款產(chǎn)品的市場(chǎng)定位和技術(shù)實(shí)現(xiàn)為我們做了詳細(xì)的解釋。

　　從市場(chǎng)定位來(lái)看UTM和NGFW是完全不同的，UTM定位在提供全面的安全防護(hù)能力，會(huì)盡可能多的集成各種安全功能，而下一代防火墻定位在基礎(chǔ)安全功能的高效集成。當(dāng)前來(lái)看兩款產(chǎn)品很多功能出現(xiàn)了重疊，比如IPS、流量管控。這主要是因?yàn)殡S著技術(shù)發(fā)展，大家對(duì)基礎(chǔ)安全功能的定義出現(xiàn)了變化，過(guò)去的基礎(chǔ)安全功能可能也就是包過(guò)濾，NAT，VPN，但是隨著技術(shù)進(jìn)步各種業(yè)務(wù)對(duì)安全的需要也越來(lái)越高，而Gartner在2009年推出了下一代防火墻的分析報(bào)告，這個(gè)時(shí)候人們開(kāi)始逐漸的意識(shí)到當(dāng)前的一些IPS，應(yīng)用識(shí)別等安全功能也將逐漸的成為基礎(chǔ)功能，所以下一代防火墻成為了一種新的選擇。

　　從技術(shù)實(shí)現(xiàn)上講UTM為了實(shí)現(xiàn)全面的功能集成，各個(gè)模塊間往往沒(méi)有很強(qiáng)的關(guān)聯(lián)，可以認(rèn)為是多個(gè)軟件模塊在一個(gè)盒子里面堆的堆疊，這個(gè)時(shí)候如果是高端的插板式設(shè)備，可以通過(guò)增加插板來(lái)保證業(yè)務(wù)模塊的增加不會(huì)影響設(shè)備性能，但是如果是中低端設(shè)備，就會(huì)面臨業(yè)務(wù)模塊互相爭(zhēng)奪資源的問(wèn)題，結(jié)果是模塊越多性能越低。而下一代防火墻在技術(shù)實(shí)現(xiàn)上則強(qiáng)調(diào)多種功能的高效集成，如綠盟科技下一代防火墻就是利用一體化引擎將IPS、應(yīng)用識(shí)別等7層安全功能集成，在引擎內(nèi)部?jī)H作一次解碼就可以將多個(gè)功能模塊并行處理完成。

　　黃海談到，未來(lái)隨著大家安全意識(shí)的逐步提高，基礎(chǔ)安全定義逐漸擴(kuò)展，不排除下一代防火墻替代UTM產(chǎn)品的可能，但這還需要一定的時(shí)間，畢竟現(xiàn)在很多UTM產(chǎn)品集成的安全功能太多了，要做到這些安全功能的高效集成一方面需要技術(shù)上突破一些瓶頸，另一方面還需要安全廠商在自身能力建設(shè)上走的更遠(yuǎn)。如果現(xiàn)在就快速簡(jiǎn)單的把很多功能拿過(guò)來(lái)堆在一起，那下一代防火墻就真的成為了噱頭，和UTM設(shè)備沒(méi)什么差別了。

　　3、云安全服務(wù)是福是禍？

　　隨著云計(jì)算的深入發(fā)展，近兩年來(lái)出現(xiàn)了大量的云安全服務(wù)，如DDoS防護(hù)、郵件安全、網(wǎng)站安全等。云安全服務(wù)的出現(xiàn)對(duì)傳統(tǒng)安全硬件市場(chǎng)是否會(huì)帶來(lái)沖擊呢？段繼平認(rèn)為，與其說(shuō)帶來(lái)沖擊，不如說(shuō)更多是帶來(lái)改變和機(jī)會(huì)。對(duì)于硬件防火墻市場(chǎng)來(lái)說(shuō)，傳統(tǒng)的硬件防火墻雖然過(guò)去很長(zhǎng)一段時(shí)間內(nèi)確實(shí)滿足了客戶很多安全需求，但是隨著近幾年安全威脅的發(fā)展，單獨(dú)依靠硬件防火墻已經(jīng)無(wú)法解決用戶面臨的新問(wèn)題，如果防火墻自己不求變化，會(huì)很大的制約防火墻技術(shù)本身和防火墻產(chǎn)品市場(chǎng)的發(fā)展，而由于云安全服務(wù)的出現(xiàn)，對(duì)硬件防火墻來(lái)說(shuō)是一個(gè)機(jī)遇，因?yàn)樵瓢踩鋵?shí)為安全企業(yè)和用戶之間提供了一個(gè)便利的連接管道，它可以使企業(yè)的安全能力更加容易的交付給用戶，并且可以通過(guò)類似于閉環(huán)安全響應(yīng)，實(shí)時(shí)安全事件監(jiān)控等方式切切實(shí)實(shí)幫助他們?nèi)ソ鉀Q他們面臨的很多問(wèn)題。

　　因此，從安全行業(yè)的角度來(lái)講，增加了云安全服務(wù)的硬件防火墻市場(chǎng)等于是為硬件防火墻打了一針強(qiáng)心劑，同時(shí)為防火墻市場(chǎng)重新注入了一種活力。目前對(duì)于下一代防火墻來(lái)說(shuō)，主流的產(chǎn)品形態(tài)還是以硬件為主，但是相信將來(lái)肯定會(huì)出現(xiàn)基于云安全服務(wù)的下一代防火墻，但不管是硬件還是云安全服務(wù)，最終依托基礎(chǔ)還是廠商的安全能力，這個(gè)是核心，如果沒(méi)有這個(gè)核心，云安全服務(wù)就無(wú)從談起。

　　下一代防火墻應(yīng)用實(shí)踐

　　1、下一代防火墻選型參考

　　下一代防火墻對(duì)于業(yè)界來(lái)說(shuō)已經(jīng)是一個(gè)談?wù)摶馃岬脑掝}，但對(duì)于企業(yè)來(lái)講還是一個(gè)全新的概念，如果企業(yè)要選擇下一代防火墻，那具體該怎樣選型？黃海給出了參考建議：其實(shí)從選型和部署的流程上來(lái)講，下一代防火墻與傳統(tǒng)設(shè)備之間沒(méi)有太明顯的區(qū)別。還是要先明確業(yè)務(wù)，再確定需求，然后選擇設(shè)備，最終確定方案，只是在各個(gè)環(huán)節(jié)上需要考慮的問(wèn)題比以前多了。

　　在明確業(yè)務(wù)階段，過(guò)去可能只需要了解下網(wǎng)絡(luò)規(guī)劃和網(wǎng)絡(luò)中的業(yè)務(wù)類型、流量走向和重要服務(wù)器的物理分布就可以開(kāi)始防火墻組網(wǎng)的規(guī)劃，但下一代防火墻由于IPS和防病毒等安全功能的出現(xiàn)，在明確業(yè)務(wù)階段如果加入信息資產(chǎn)評(píng)估和風(fēng)險(xiǎn)管理的相關(guān)工作就會(huì)對(duì)整體的方案選擇提供較大幫助和參考。

　　在確定需求階段，過(guò)去主要就是傳統(tǒng)防火墻的幾個(gè)功能點(diǎn)，現(xiàn)在需要考慮的更多，由于當(dāng)前下一代防火墻產(chǎn)品眾多，良莠不齊，對(duì)性能的考慮要比之前更謹(jǐn)慎，單純的考慮傳統(tǒng)三層轉(zhuǎn)發(fā)性能已經(jīng)遠(yuǎn)遠(yuǎn)不夠，還需要重點(diǎn)參考七層安全性能。

　　在產(chǎn)品選擇階段重點(diǎn)考慮三點(diǎn)，一是產(chǎn)品對(duì)需求的滿足程度以及各種功能在未來(lái)的擴(kuò)展性；二是廠商的安全實(shí)力和服務(wù)能力，這里要考慮的是安全研究方面的儲(chǔ)備和安全業(yè)務(wù)的一個(gè)長(zhǎng)期穩(wěn)定性，要保證設(shè)備的安全功能長(zhǎng)期可用，并且好用，否則投資無(wú)法保障；三是價(jià)格，要在前面性能需求可以很好滿足的情況下去進(jìn)行參考。

　　在方案制定階段，很多廠商都能夠提供各種建議并進(jìn)行實(shí)施，而且現(xiàn)在的下一代防火墻在各種組網(wǎng)方案的適應(yīng)性都要比以前要好，所以這方面用戶不需要太過(guò)操心。

　　2、下一代防火墻運(yùn)維實(shí)踐

　　根據(jù)業(yè)界調(diào)研顯示，由于下一代防火墻功能的增多，其運(yùn)維的難度并沒(méi)有向一些下一代防火墻廠商所說(shuō)的簡(jiǎn)化了運(yùn)維，反而是增加了運(yùn)維的復(fù)雜性。分析原因，黃海解釋到，造成這個(gè)問(wèn)題的原因主要有兩點(diǎn)：

　　第一是我國(guó)當(dāng)前的網(wǎng)絡(luò)發(fā)展?fàn)顩r與國(guó)際相比還處于稍顯落后的位置，很多和下一代防火墻配套的設(shè)施和技術(shù)發(fā)展緩慢，這就讓很多下一代防火墻的新理念難以實(shí)行，反而成了麻煩事。比如用戶識(shí)別的概念，這是下一代防火墻為了簡(jiǎn)化運(yùn)維，改進(jìn)溯源而提供的一個(gè)重要功能。但現(xiàn)實(shí)情況是，有些用戶在采購(gòu)防火墻設(shè)備之前根本沒(méi)有統(tǒng)一的用戶認(rèn)證服務(wù)器，即使在采購(gòu)了下一代防火墻之后也不考慮在下一代防火墻上使用本地認(rèn)證。原因一方面可能是用戶信息較多不愿意去做，另一方面可能是還沒(méi)認(rèn)識(shí)到用戶識(shí)別所能帶來(lái)的好處。最終的結(jié)果就是客戶用了下一代防火墻之后沒(méi)有改善運(yùn)維復(fù)雜度，反而還要在所有策略選項(xiàng)里多用戶這么一個(gè)沒(méi)用的選項(xiàng)。但隨著時(shí)間的推移，我們國(guó)家的網(wǎng)絡(luò)管理運(yùn)維理念會(huì)逐漸的升級(jí)，那這個(gè)問(wèn)題就能迎刃而解，并不是最主要的問(wèn)題。

　　二是當(dāng)前一些廠家在下一代防火墻的定義和定位上把握不準(zhǔn)，產(chǎn)品本身又走了UTM的老路，很多廠商在下一代防火墻產(chǎn)品上集成了大量功能，有些甚至支持了漏洞掃描等功能。從表面看，是下一代防火墻對(duì)UTM進(jìn)行了完全替代，但從內(nèi)核上看，產(chǎn)品內(nèi)部各個(gè)功能模塊之間還是孤立的，這樣的產(chǎn)品實(shí)際上就是個(gè)UTM。而真正的下一代防火墻產(chǎn)品在有了一體化引擎這樣一個(gè)好的功能實(shí)現(xiàn)載體之后，在它上面可以開(kāi)發(fā)出一體化策略配置功能，這個(gè)一體化策略配置功能可以讓管理員在一個(gè)界面就配置完所有的安全策略，而且便于后期查看。