【51CTO.com綜合報道】2011年4月28日下午，以“應(yīng)用安全游刃有『魚』”為主題的梭子魚2011年度下一代防火墻（簡稱：NG Firewall）新品戰(zhàn)略發(fā)布會在北京舉行。會上，梭子魚中國經(jīng)理何平及安全專家與渠道和企業(yè)客戶共同探討“何謂下一代防火墻”。

據(jù)記者平時的了解，目前下一代防火墻還沒有定義的標準，那么是什么驅(qū)使梭子魚大膽的推出下一代防火墻？帶著這個疑問，IT專家網(wǎng)記者采訪了梭子魚中國區(qū)經(jīng)理 何平。

防火墻演化進行時

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全威脅也在不斷發(fā)生變化。傳統(tǒng)基于網(wǎng)絡(luò)層的安全威脅已經(jīng)轉(zhuǎn)變?yōu)橐詰?yīng)用層攻擊行為為主的安全威脅。據(jù)權(quán)威IT研究機構(gòu)Gartner統(tǒng)計表明高達3/4的網(wǎng)絡(luò)威脅是基于應(yīng)用層而非網(wǎng)絡(luò)層的，在這一發(fā)展趨勢下，基于網(wǎng)絡(luò)層的傳統(tǒng)防火墻顯得日益先天不足和力不從心。

在傳統(tǒng)應(yīng)用下，防火墻基于傳統(tǒng)的端口/協(xié)議類安全策略來進行防范，但隨著私人或移動設(shè)備的企業(yè)網(wǎng)絡(luò)接入等變化，使得更多的通訊量僅通過少數(shù)端口和協(xié)議進行，例如， 80或443的流量在傳統(tǒng)防火墻看起來都是一樣的，傳統(tǒng)防火墻是無法防御其中基于應(yīng)用的威脅。IPS雖然能夠根據(jù)已知的攻擊特征阻止一些攻擊，能是由于無法識別應(yīng)用，因而不能對具體應(yīng)用進行防護，也無法阻止特定應(yīng)用的濫用。因此“下一代防火墻”通過面向業(yè)務(wù)應(yīng)用和用戶身份識別，為用戶提供多鏈路及帶寬流量智能控制、集中化管理維護相結(jié)合安全策略。

Gartner將網(wǎng)絡(luò)防火墻定義為在線安全控制措施，即：可實時在各受信級網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略。Gartner使用“下一代防火墻”這一術(shù)語來說明升級防火墻的必要性，以應(yīng)對目前業(yè)務(wù)程序使用IT的方法以及針對業(yè)務(wù)系統(tǒng)所發(fā)起的攻擊方法所發(fā)生的改變。

何平向記者表示，業(yè)界關(guān)于下一代防火墻的定義仍然沒一個統(tǒng)一的意見，即便是最具權(quán)威的Gartner給出的定義也無法統(tǒng)一意見，但這并不影響梭子魚對下一代防火墻理解。相反對于下一代防火墻梭子魚有自己更為明確的定義：即是集成了虛擬化軟件和硬件架構(gòu)的智能網(wǎng)絡(luò)平臺，可對各種流量實施深層探測并阻止各類攻擊。

當記者問及梭子魚是否打算聯(lián)合友商推動下一代防火墻的標準定義時，何平表示，某一標準的存在主要出于解決交流障礙的考慮，即通用性強，因此標準是參與者妥協(xié)產(chǎn)生的標準，而事實上，誰是市場的NO.1，誰就是標準，因此梭子魚更希望能用產(chǎn)品來說話。

基于云安全的NG Firewall

云計算的關(guān)鍵之處在于通訊。如果通訊中斷，云也就不復(fù)存在了。NG Firewall能做到的是在云計算的基礎(chǔ)上保證鏈路的持續(xù)穩(wěn)定性。如果用戶鏈路不穩(wěn)定，那么就會存在相當大的風險。Webservice是云計算的一種服務(wù)。梭子魚把這個服務(wù)和NG Firewall結(jié)合在一起，亦即在客戶進行決策的時候，很多計算可以在云端進行。NG Firewall利用云計算的計算能力，將那些無法在本地計算的數(shù)據(jù)發(fā)布到云端，并將其結(jié)果反饋回來，這大大降低了對本地計算能力的占用率。另一方面，為客戶端提供安全性的防護。這也減少了本地設(shè)備的資源使用率。

何平認為，從用戶角度看，云安全可分為顯性與隱性兩種，當企業(yè)CRM系統(tǒng)登陸界面時，用戶數(shù)據(jù)庫部署在云端即為顯性云安全，而隱性云安全有如梭子魚NG firewall下一代防火墻一樣，將應(yīng)用計算也一并移動到云端，當防火墻遭遇一個訪問時，發(fā)送一個指令到云端，而非只是將數(shù)據(jù)保存在云端。

何平指出，梭子魚的下一代防火墻是一個安全、低成本、可集中性管理的私有安全云的防護，是一種對于網(wǎng)關(guān)的防護，而在當今整個網(wǎng)點全網(wǎng)絡(luò)的安全趨勢下，傳統(tǒng)防火墻包括UTM已經(jīng)做不到安全防護了，而下一代防火墻的提出，基于云計算的模式下可以更好的做好整體安全防護。