近些年，網(wǎng)絡(luò)活動急劇增加，也日趨復(fù)雜。安全威脅呈現(xiàn)多樣性，依附于應(yīng)用的安全威脅越來越多，靠傳統(tǒng)的方式已經(jīng)無法應(yīng)對，對防火墻產(chǎn)品提出了新的要求。因此，一款可以提供應(yīng)用層安全防護(hù)與傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)的設(shè)備成為企業(yè)目前最需要的產(chǎn)品，用以應(yīng)對Web 2.0時代來自應(yīng)用層的安全挑戰(zhàn)。目前，下一代防火墻正以不可阻擋之勢，在逐步替代傳統(tǒng)防火墻和UTM。

那么，究竟什么樣的防火墻才可以真正稱為下一代防火墻(NGFW)?面對產(chǎn)品眾多、紛繁復(fù)雜的下一代防火墻市場，我們究竟該如何甄別、采購下一代防火墻?如何部署和管理下一代防火墻?以上問題是諸多企業(yè)用戶正在面臨的困惑，為解決廣大用戶的困擾，51CTO記者就上述問題采訪了深信服安全產(chǎn)品運(yùn)營總監(jiān)李煥波先生。

51CTO記者：您認(rèn)為下一代防火墻必須具備哪些功能?

李煥波：下一代防火墻的特點(diǎn)是融合了諸多安全功能，所以說它的安全功能是比較全面的。首先，下一代防火墻必須具備傳統(tǒng)防火墻的功能，在此基礎(chǔ)之上，還需要具備應(yīng)用識別、應(yīng)用管控以及流量控制的功能。此外，下一代防火墻還需包含入侵防護(hù)、惡意代碼防護(hù)、Web攻擊防護(hù)、漏洞的主動和被動掃描以及全網(wǎng)監(jiān)控等功能。

51CTO記者：在您看來，下一代防火墻具備哪些優(yōu)異的特性?

李煥波：下一代防火墻主要有三個特性，分別是功能的融合、混合包的高性能以及簡潔易懂的風(fēng)險報表。

功能的融合性：安全產(chǎn)品的功能融合是未來的趨勢。下一代防火墻構(gòu)建了一個較為完整的防御體系，沒有明顯的安全防護(hù)短板。在安全域邊界，包括未來云數(shù)據(jù)中心的虛擬機(jī)邊界，即使單點(diǎn)部署下一代防火墻，也可以實(shí)現(xiàn)比較完整的防護(hù)。而如果使用傳統(tǒng)的防火墻、IPS、防病毒網(wǎng)關(guān)、Web應(yīng)用防火墻(以下簡稱WAF)串聯(lián)部署的方案，在對云數(shù)據(jù)中心的虛擬機(jī)集群進(jìn)行防護(hù)時，需要在每個虛擬機(jī)上分別安裝獨(dú)立的安全防護(hù)產(chǎn)品，這需要消耗大量的虛擬機(jī)資源，顯然不符合未來的發(fā)展趨勢。因此，融合的安全產(chǎn)品是大勢所趨。

具備混合包的高性能：混合包指的是64KB到1518KB大小的UDP包、21KB大小的網(wǎng)頁，以及p2p、視頻等多種實(shí)際應(yīng)用流量，它們的流量構(gòu)成更加接近用戶的實(shí)際使用環(huán)境。在此流量模型下面啟用下一代防火墻的全部功能，性能衰減不能超過30%。這是第二代防火墻標(biāo)準(zhǔn)對性能指標(biāo)的要求，也是區(qū)別于UTM的一個關(guān)鍵因素。

簡潔易懂的風(fēng)險報表：下一代防火墻能夠從用戶業(yè)務(wù)系統(tǒng)的維度展現(xiàn)用戶網(wǎng)絡(luò)面臨的安全風(fēng)險問題，令用戶可快速完成安全事件的回溯和取證，減少運(yùn)維工作量。例如，用戶往往重點(diǎn)關(guān)注OA、ERP等系統(tǒng)是否存在漏洞、是否遭受攻擊，以及是否有信息被竊取。下一代防火墻能夠通過大數(shù)據(jù)分析，把所有信息通過生成報表的方式進(jìn)行展現(xiàn)，用戶通過報表可以清楚了解OA、ERP等應(yīng)用系統(tǒng)的安全狀況。此外，下一代防火墻能夠清晰地定位內(nèi)網(wǎng)存在安全隱患的終端、終端所使用的IP地址，甚至是終端的用戶名。所以我們認(rèn)為這是下一代防火墻的第三個比較具備優(yōu)異性的特點(diǎn)，它能夠呈現(xiàn)簡潔易懂的風(fēng)險報表，提升用戶的運(yùn)維效率，這是傳統(tǒng)的安全產(chǎn)品所不具備的。即使是不具備安全知識的用戶，也能夠通過查看下一代防火墻的風(fēng)險報表，做好企業(yè)的信息安全建設(shè)。#p#

51CTO記者：什么樣的下一代防火墻才算是一款優(yōu)秀的產(chǎn)品?

李煥波：判斷下一代防火墻產(chǎn)品優(yōu)秀與否，還需要看它是否能夠?yàn)橛脩魩砀玫陌踩雷o(hù)體驗(yàn)。我們認(rèn)為一款好的下一代防火墻產(chǎn)品應(yīng)該能夠形成從檢測到防御再到響應(yīng)的安全閉環(huán)，構(gòu)建更加安全的模型，而不是像傳統(tǒng)防火墻、IPS或者WAF這類產(chǎn)品，更多關(guān)注的是防御。面對當(dāng)前網(wǎng)絡(luò)環(huán)境中的各種安全風(fēng)險，僅僅注重防御是不夠的，因?yàn)槲粗L(fēng)險的爆發(fā)非?？?，我們需要加強(qiáng)檢測能力并在檢測和防御之間形成聯(lián)動，從而幫助用戶快速響應(yīng)、應(yīng)對安全事件。具體而言，主要從以下三個方面進(jìn)行衡量：

是否具備較全面的威脅檢測能力。威脅檢測能力主要包括對外部攻擊的檢測、對內(nèi)部網(wǎng)絡(luò)流量的檢測，以及對內(nèi)部業(yè)務(wù)系統(tǒng)漏洞的實(shí)時檢測。通過雙向檢測的機(jī)制，設(shè)備能夠發(fā)現(xiàn)黑客針對某個真實(shí)存在的業(yè)務(wù)系統(tǒng)漏洞的有效攻擊，還能找到內(nèi)網(wǎng)中外發(fā)的異常流量，并及時上報到云端進(jìn)行未知威脅檢測。

是否具備強(qiáng)大的防御能力。一方面，下一代防火墻要能夠防范網(wǎng)絡(luò)中L2-L7層各種已知威脅;另一方面，還要求能夠抵御未知威脅。通過云安全中心檢測出未知威脅后，能夠形成聯(lián)動的防御機(jī)制，及時對未知威脅進(jìn)行告警、攔截。

是否具備威脅信息的快速收集、更新、共享以及響應(yīng)處理的能力。威脅信息包括漏洞和惡意軟件。對于漏洞而言，用戶可以從廠商的漏洞挖掘、收集，以及最新漏洞爆發(fā)后的響應(yīng)等方面衡量廠商的能力。對于惡意軟件，可以從廠商對惡意軟件的發(fā)現(xiàn)、分析手段進(jìn)行評判，特別是針對形成僵尸網(wǎng)絡(luò)的惡意木馬的分析能力。這是考驗(yàn)下一代防火墻產(chǎn)品是否優(yōu)秀的一個非常關(guān)鍵的指標(biāo)。由于當(dāng)前網(wǎng)絡(luò)環(huán)境中威脅層出不窮，下一代防火墻必須具備較好的威脅信息的收集、快速響應(yīng)和處理的能力。

51CTO記者：面對產(chǎn)品繁多、紛繁復(fù)雜的下一代防火墻市場，用戶該如何甄別并采購下一代防火墻?

李煥波：用戶可以采用以下三種方式甄別和采購下一代防火墻。

1、參考國家權(quán)威機(jī)構(gòu)的標(biāo)準(zhǔn)或者國際上權(quán)威調(diào)研機(jī)構(gòu)的分析報告。在下一代防火墻領(lǐng)域，我國目前已經(jīng)發(fā)布了第二代防火墻標(biāo)準(zhǔn)，用戶可以參考該標(biāo)準(zhǔn)中對下一代防火墻功能、技術(shù)和性能的定義采購產(chǎn)品。此外，也可以參考國外如Gartner、NSS Labs等調(diào)研機(jī)構(gòu)的分析報告，如Gartner的企業(yè)防火墻魔力象限報告。

2、若用戶十分重視產(chǎn)品的實(shí)際安全防護(hù)效果，最好對產(chǎn)品進(jìn)行安全測試。下一代防火墻產(chǎn)品的好與不好，通過測試能夠很明顯地體現(xiàn)出來。借助上述提到的優(yōu)秀下一代防火墻產(chǎn)品的評判標(biāo)準(zhǔn)：威脅監(jiān)測、防御、快速響應(yīng)，用戶可以安排多個品牌的產(chǎn)品進(jìn)行橫向測評，這是比較有用的方法。如果用戶沒有測試條件，可以參考國際上如NSS Labs等權(quán)威測評機(jī)構(gòu)針對下一代防火墻安全防御能力的測評報告。

3、產(chǎn)品是否成熟。目前市場上的下一代防火墻產(chǎn)品較多，幾乎每家安全廠商都推出了自己的下一代防火墻，然而有的廠商僅僅是將現(xiàn)有的上網(wǎng)行為管理、UTM等安全產(chǎn)品命名為下一代防火墻，其產(chǎn)品并不具備下一代防火墻所定義的功能。所以，用戶在選購下一代防火墻時需要關(guān)注產(chǎn)品的成熟度。如產(chǎn)品的正式發(fā)布時間、投入市場是否已超過兩年、產(chǎn)品是否被應(yīng)用于國家的關(guān)鍵行業(yè)，比如運(yùn)營商、政府等行業(yè)的關(guān)鍵業(yè)務(wù)網(wǎng)。#p#

51CTO記者：用戶根據(jù)需求采購下一代防火墻后，該如何部署設(shè)備?有哪些注意事項(xiàng)?

李煥波：下一代防火墻的部署模式主要有路由部署、透明部署、旁路部署和混合部署四種模式，其中，旁路部署模式是傳統(tǒng)防火墻所不具備的，這意味著下一代防火墻可以只做流量檢測。這種模式金融用戶用得比較多，他們不想在網(wǎng)銀業(yè)務(wù)區(qū)串聯(lián)部署太多設(shè)備，而只希望監(jiān)測業(yè)務(wù)區(qū)內(nèi)的安全狀況，采用旁路部署的模式就比較適合。

另外，下一代防火墻可以部署在多個網(wǎng)絡(luò)邊界，如互聯(lián)網(wǎng)出口、數(shù)據(jù)中心邊界、廣域網(wǎng)邊界等。企業(yè)總部內(nèi)部一般還劃分了很多安全域，如辦公區(qū)、內(nèi)部的業(yè)務(wù)區(qū)和安全運(yùn)維的管理區(qū)等，各個安全域之間也需要部署下一代防火墻進(jìn)行安全隔離。

有一點(diǎn)需要特別注意，下一代防火墻必須能夠適應(yīng)虛擬化的部署環(huán)境，能夠以軟件的方式部署到虛擬化平臺上，而且不能受制于虛擬化平臺的品牌。下一代防火墻要能夠兼容不同的虛擬化平臺，可在不同的平臺上進(jìn)行部署，在虛擬化環(huán)境中提供安全防護(hù)功能。目前已有許多客戶提出了虛擬化需求，需要軟件化的產(chǎn)品。作為代表未來安全發(fā)展趨勢的下一代防火墻產(chǎn)品，必須能夠快速跟進(jìn)、滿足用戶需求。

51CTO記者：您認(rèn)為企業(yè)該如何管理下一代防火墻?有哪些細(xì)節(jié)需要留意?可以給企業(yè)用戶提供一些建議么?

李煥波：談到下一代防火墻的管理，企業(yè)要清楚保護(hù)的目標(biāo)對象，并定期查看風(fēng)險分析報告。設(shè)有分支機(jī)構(gòu)的單位，還要在總部設(shè)置一個專門負(fù)責(zé)管理和維護(hù)下一代防火墻的運(yùn)維崗位。

要清楚保護(hù)的目標(biāo)對象：企業(yè)用戶需要在下一代防火墻里建立用戶和業(yè)務(wù)系統(tǒng)列表，便于后續(xù)觀察、分析整個安全域和安全日志。

定期查看風(fēng)險分析報告：企業(yè)用戶需要定期查看下一代防火墻的風(fēng)險分析報告，并及時跟進(jìn)、處理高風(fēng)險的安全威脅。我們在跟客戶溝通的過程中了解到，許多單位在部署安全設(shè)備后并沒有關(guān)注其分析報告，主要是由于以前的報告不夠人性化，基本上是以IP地址、端口的維度展示網(wǎng)絡(luò)中的風(fēng)險，用戶不容易看懂，所以就不愿意去看。而下一代防火墻的風(fēng)險報表相當(dāng)直觀，而且清晰易懂，用戶可以直接看到業(yè)務(wù)系統(tǒng)和用戶終端存在的安全問題，知道該如何去解決問題。

在總部設(shè)置專門負(fù)責(zé)管理和維護(hù)下一代防火墻的運(yùn)維崗位：企業(yè)管理者可以利用下一代防火墻的全網(wǎng)安全監(jiān)控功能，對部署在各個分支的下一代防火墻的實(shí)時狀態(tài)、防御情況和安全日志做統(tǒng)一的監(jiān)控和搜集分析。這樣一來，總部運(yùn)維人員就能實(shí)時了解分支節(jié)點(diǎn)發(fā)生的安全問題，做到及時響應(yīng)和處理。通過一個人的運(yùn)維能夠?qū)崿F(xiàn)全網(wǎng)幾十個甚至上百個節(jié)點(diǎn)的安全設(shè)備的管理和運(yùn)維，對每個分支的安全狀態(tài)都能夠做到分析可控。#p#

51CTO記者：您認(rèn)為下一代防火墻是剛需還是彈需?

李煥波：現(xiàn)在看來，下一代防火墻已經(jīng)是剛需了。

從國家的監(jiān)管力度來看，近幾年出臺的各種安全監(jiān)管政策、中央網(wǎng)信辦的成立等各種信息無不給我們傳遞著：信息安全建設(shè)是必須的，而且信息安全建設(shè)和業(yè)務(wù)系統(tǒng)的建設(shè)是同步的。比如現(xiàn)在的各種云平臺的建設(shè)，它也是需要同步做好安全建設(shè)的，這是很明確的剛需。

國家監(jiān)管單位推行等級保護(hù)的力度也在加大，等級保護(hù)建設(shè)被用戶接受的程度也越來越高，很多單位主動提出要參考等保的要求做安全建設(shè)需求。在等保建設(shè)中，下一代防火墻已經(jīng)替代傳統(tǒng)防火墻成為最核心的安全產(chǎn)品，它不僅能夠提供傳統(tǒng)防火墻的功能，還能進(jìn)行入侵防范以及惡意代碼防范。未來，等級保護(hù)要想在更多應(yīng)用場景進(jìn)行使用，降低等級保護(hù)建設(shè)成本是迫切需要解決的問題。等級保護(hù)建設(shè)由于涉及眾多設(shè)備，所需投入的費(fèi)用是相當(dāng)高的，如為了滿足入侵防范及惡意代碼防范，傳統(tǒng)方案采用傳統(tǒng)防火墻、IPS、防病毒網(wǎng)關(guān)等設(shè)備串聯(lián)部署。然而，通過部署下一代防火墻能夠有效減少傳統(tǒng)防火墻、IPS等設(shè)備，使整體建設(shè)成本下降。隨著等級保護(hù)建設(shè)的推動，下一代防火墻已經(jīng)是剛需了。

51CTO記者：在可預(yù)見的未來，您認(rèn)為下一代防火墻將會沿著怎樣的朝向發(fā)展?

李煥波：未來，下一代防火墻肯定會通過云技術(shù)實(shí)現(xiàn)大威脅情報平臺的建設(shè)。如某家安全廠商的下一代防火墻產(chǎn)品部署在成千上萬的用戶網(wǎng)絡(luò)中，每個用戶的設(shè)備相當(dāng)于一個安全節(jié)點(diǎn)，一個探測未知威脅的節(jié)點(diǎn)。當(dāng)某個用戶的網(wǎng)絡(luò)中出現(xiàn)未知的可疑流量，在得到用戶的授權(quán)后，設(shè)備可以將可疑流量上報到云端的云數(shù)據(jù)中心里。通過云沙盒技術(shù)進(jìn)行分析，檢測可疑流量里是否真的存在安全問題。如果存在問題，就將其定義為威脅，并給出相應(yīng)的防護(hù)策略，將策略發(fā)送到全球所有在線的設(shè)備上。下一代防火墻和云是密不可分的，一方面，下一代防火墻必須能夠?qū)υ频陌踩霰Ｗo(hù);另一方面，下一代防火墻的安全機(jī)制里面也會融入云。

此外，除了通過云來構(gòu)建威脅情報共享平臺，下一代防火墻將來也一定會與虛擬化以及大數(shù)據(jù)分析相結(jié)合。

在虛擬化方向：首先，下一代防火墻在未來一定會針對虛擬化環(huán)境進(jìn)行部署。其次，下一代防火墻必須能夠防御虛擬化平臺的風(fēng)險，發(fā)現(xiàn)虛擬化軟件自身的漏洞。

在大數(shù)據(jù)方向：由于下一代防火墻的融合性，它集成了非常全面的流量檢測功能，它有能力并且能夠搜集到大量而全面的業(yè)務(wù)流量、威脅等信息，并能夠通過云匯集到一個地方進(jìn)行統(tǒng)一的大數(shù)據(jù)分析，分析出來的結(jié)果將更加簡潔、易懂和可靠。與此同時，這種方式也提高了整個運(yùn)維管理的效率，而且因?yàn)橄乱淮阑饓ι傻膱蟊砗唵我锥?，對運(yùn)維人員的專業(yè)度要求也不再那么高。

總結(jié)

專訪中，李煥波在談到如何衡量下一代防火墻產(chǎn)品是否優(yōu)秀時，還特意強(qiáng)調(diào)了下一代防火墻的應(yīng)急響應(yīng)處理能力。他表示，2014年Openssl、Shellshock等漏洞曝光后，由于用戶無法找到針對這些緊急漏洞的檢測工具，只能對所有的服務(wù)器和業(yè)務(wù)系統(tǒng)進(jìn)行一一排查，導(dǎo)致用戶端在漏洞爆光后的響應(yīng)處理周期相當(dāng)長。因此，下一代防火墻在未來還應(yīng)當(dāng)具備及時的“應(yīng)急響應(yīng)處理”能力，能夠做到一旦出現(xiàn)新的威脅、新的熱點(diǎn)漏洞，不僅能夠?qū)⑼{的特征迅速更新到設(shè)備里，還能夠幫助用戶對內(nèi)部業(yè)務(wù)系統(tǒng)進(jìn)行快速檢測，幫助用戶快速形成防護(hù)策略，形成真正的安全閉環(huán)。