從2007年P(guān)alo Alto Networks發(fā)布世界第一款下一代防火墻(NGFW)產(chǎn)品至今已經(jīng)好幾年了，在這期間云計(jì)算、大數(shù)據(jù)、社交網(wǎng)絡(luò)、BYOD相繼出現(xiàn)，下一代防火墻開始面臨更多全新的挑戰(zhàn)，這些挑戰(zhàn)來自網(wǎng)絡(luò)管控、運(yùn)維管理、APT攻擊與未知威脅防御等方面。

經(jīng)過這幾年的發(fā)展，市面上的生產(chǎn)下一代防火墻的廠商越來越多，產(chǎn)品的功能不一。這造成有很大一部分企業(yè)用戶在選購(gòu)下一代防火墻時(shí)，都會(huì)很糾結(jié)。不知道誰家的產(chǎn)品比較好，誰家的產(chǎn)品比較適合自己。同時(shí)，如何更好的部署、管理下一代防火墻，從而保障企業(yè)的安全，也成為企業(yè)運(yùn)維管理者所面臨的問題。

近日，51CTO記者采訪了業(yè)內(nèi)安全專家、山石網(wǎng)科產(chǎn)品市場(chǎng)總監(jiān)賈彬先生，與大家分享下一代防火墻的采購(gòu)、部署、管理的經(jīng)驗(yàn)。

51CTO記者：您認(rèn)為下一代防火墻必須具備哪些功能?

賈彬：從Gartner對(duì)下一代防火墻的定義來看，除了具備傳統(tǒng)防火墻的功能和基礎(chǔ)攻擊防護(hù)功能外，下一代防火墻最大的特點(diǎn)是基于應(yīng)用的識(shí)別和應(yīng)用的威脅防護(hù)。其中，應(yīng)用識(shí)別是指通過特征的方式識(shí)別應(yīng)用，然后對(duì)應(yīng)用進(jìn)行訪問控制。所以，下一代防火墻主要指的不是網(wǎng)絡(luò)層的控制而是應(yīng)用層的控制。在應(yīng)用的威脅防護(hù)方面，傳統(tǒng)防火墻對(duì)攻擊防護(hù)和威脅防護(hù)能力并沒有強(qiáng)制要求。而下一代防火墻對(duì)威脅防護(hù)有明確要求，它更加注重應(yīng)用層的攻擊防護(hù)。

此外，下一代防火墻還需要具備可視化管理的功能。現(xiàn)在，安全管理由繁到簡(jiǎn)，從復(fù)雜的管理模式向簡(jiǎn)單的管理模式轉(zhuǎn)變。如何能讓管理員清晰的掌握到網(wǎng)絡(luò)中的狀態(tài)、網(wǎng)絡(luò)流量的狀態(tài)，業(yè)務(wù)的狀態(tài)以及用戶的行為狀態(tài)，決定了管理員如何實(shí)施管控策略進(jìn)行管控。通過可視化的管理，可視化的呈現(xiàn)可以幫助管理員有效的實(shí)施管控，實(shí)施安全防護(hù)。

51CTO記者：在您看來，下一代防火墻有哪些優(yōu)異的特性?

賈彬：在管控方面，因?yàn)橄乱淮阑饓κ峭ㄟ^應(yīng)用特征來進(jìn)行管控識(shí)別，所以在管理下載類應(yīng)用時(shí)它更直接有效。

目前，我們對(duì)網(wǎng)絡(luò)的認(rèn)知從單純的邏輯的IP和端口，提升到了應(yīng)用和用戶層面。以前，管理員管理的是192.168.1.1和80端口，而現(xiàn)在管理的是WEB服務(wù)器和某個(gè)人如何去訪問web服務(wù)器。同時(shí)，很多的應(yīng)用不能通過傳統(tǒng)的網(wǎng)絡(luò)去管理，比如：像迅雷這類P2P下載的軟件，它的端口是不斷變化的，用傳統(tǒng)的網(wǎng)絡(luò)控制方式的時(shí)候，它很難通過端口的方式來對(duì)應(yīng)用進(jìn)行辨識(shí)，但是基于應(yīng)用識(shí)別的管控能對(duì)其進(jìn)行有效管理。

在威脅防護(hù)方面，傳統(tǒng)防火墻對(duì)應(yīng)用層的攻擊防護(hù)能力存在有短板。因?yàn)獒槍?duì)應(yīng)用層的威脅越來越多，特別是基于web的攻擊，基于應(yīng)用層的攻擊越來越猖獗，所以具備應(yīng)用層威脅防護(hù)功能的下一代防火墻更加適用于當(dāng)前的互聯(lián)網(wǎng)時(shí)代，更加適用于當(dāng)前的應(yīng)用爆發(fā)的時(shí)代。#p#

51CTO記者：什么樣的下一代防火墻才算是一款優(yōu)秀的產(chǎn)品?

賈彬：作為一款優(yōu)秀的下一代防火墻，應(yīng)該更能夠適用于客戶需求，并解決用戶所面臨的問題。除了具備上面提到的應(yīng)用識(shí)別、邊界防護(hù)以及可視化管理等功能外，下一代防火墻在威脅防護(hù)和管控能力方面得到本質(zhì)的提升，這主要體現(xiàn)在對(duì)于APT類新型攻擊的防護(hù)方面。目前，在IT圈我們經(jīng)常會(huì)看到某個(gè)企業(yè)被攻擊，信息被竊取。它遭受了新興的、可持續(xù)性的APT類攻擊。面對(duì)這種攻擊，單純做邊界防護(hù)遠(yuǎn)遠(yuǎn)不夠。即使有了特征防護(hù)以及應(yīng)用層的攻擊防護(hù)，由于變種、掃描以及持續(xù)對(duì)脆弱點(diǎn)進(jìn)行檢測(cè)等攻擊方式，攻擊者仍舊可以攻擊攻陷目標(biāo)。所以，APT的攻擊防護(hù)對(duì)下一代防火墻來說是很大的考驗(yàn)。

下一代防火墻如何能夠更好的通過各種檢測(cè)方式，對(duì)新興的APT類攻擊進(jìn)行防護(hù)。特別是能夠不僅體現(xiàn)在邊界防護(hù)上，還包括侵入網(wǎng)絡(luò)內(nèi)部的威脅是否能有相應(yīng)的檢測(cè)和防護(hù)機(jī)制，這可以作為判斷其是否優(yōu)秀的一個(gè)條件。

51CTO記者：面對(duì)紛繁復(fù)雜的下一代防火墻市場(chǎng)，用戶該如何甄別并采購(gòu)下一代防火墻?

賈彬：用戶應(yīng)基于企業(yè)自身對(duì)業(yè)務(wù)的要求和安全的特點(diǎn)進(jìn)行下一代防火墻的甄別采購(gòu)。比如說：不同的企業(yè)對(duì)安全的要求程度不同，業(yè)務(wù)的分布和業(yè)務(wù)的狀態(tài)也不同。例如：如果企業(yè)只做一個(gè)辦公網(wǎng)絡(luò)的出口，采購(gòu)誰家的產(chǎn)品都可以。但是如果企業(yè)是要保護(hù)自身的核心業(yè)務(wù)時(shí)，下一代防火墻的威脅檢測(cè)和威脅防護(hù)能力方面就需要用戶更多的關(guān)注。

安裝防火墻不單是做網(wǎng)絡(luò)隔離，更重要的是做網(wǎng)絡(luò)安全的防護(hù)。那么，如果需要保護(hù)的是一個(gè)企業(yè)的業(yè)務(wù)或者服務(wù)器、數(shù)據(jù)中心等這些關(guān)鍵的區(qū)域。為防止業(yè)務(wù)中斷，關(guān)鍵信息不被黑客竊取，在選擇下一代防火墻或其他安全防護(hù)設(shè)備的時(shí)候，更看重的是防火墻在威脅防護(hù)能力、性能和方式方法上能否有效的去應(yīng)對(duì)它目前面臨的威脅，特別是在網(wǎng)絡(luò)中被攻擊的方式，這樣才能保護(hù)企業(yè)的關(guān)鍵業(yè)務(wù)不被黑客或者不法分子所竊取、破壞。#p#

51CTO記者：根據(jù)企業(yè)需求采購(gòu)了下一代防火墻后，該如何部署?有哪些需要注意的地方?

賈彬：第一種場(chǎng)景，是一種典型的部署方式，做互聯(lián)網(wǎng)的出口。此時(shí)它的重要作用指的是作為整個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)對(duì)外出口的防護(hù)，用來阻止來自于互聯(lián)網(wǎng)上的各種攻擊、掃描、入侵，以及實(shí)現(xiàn)訪問控制的作用。這種場(chǎng)景，一般是在企業(yè)網(wǎng)絡(luò)的出口位置串行接入下一代防火墻。

第二種場(chǎng)景，在各個(gè)安全域之間做隔離。很多企業(yè)有自己的分支機(jī)構(gòu)，有不同的樓宇，不同的區(qū)域，不同的部門，不同的體系。例如企業(yè)的研發(fā)區(qū)域和財(cái)務(wù)區(qū)域，它們屬于企業(yè)的核心區(qū)域。這個(gè)區(qū)域里的計(jì)算機(jī)終端以及服務(wù)器，都屬于核心的業(yè)務(wù)，需要進(jìn)行專門的保護(hù)。因此，這些區(qū)域與其他的非業(yè)務(wù)部門或不重要部門的網(wǎng)絡(luò)區(qū)域需要進(jìn)行隔離，進(jìn)行訪問控制，做安全防護(hù)。此時(shí)，下一代防火墻的作用就是保護(hù)重點(diǎn)區(qū)域不會(huì)受到網(wǎng)絡(luò)攻擊和影響。部署時(shí)也需串行接入，并在區(qū)域中間進(jìn)行訪問控制配置。

第三種場(chǎng)景，服務(wù)器前端的防護(hù)控制。我們常說的網(wǎng)站服務(wù)器：ERP服務(wù)器、OA服務(wù)器等服務(wù)器前端需要做防護(hù)控制，以及防火墻的安全防護(hù)。部署下一代防火墻的主要作用就是保護(hù)重要的業(yè)務(wù)和服務(wù)器，阻止攻擊，防止信息被竊取。對(duì)服務(wù)器來說，無論是來自企業(yè)內(nèi)部還是外部的訪問都被認(rèn)為是不安全的訪問，都需要做身份認(rèn)證，需要進(jìn)行權(quán)限控制，需要進(jìn)行網(wǎng)絡(luò)防護(hù)的攻擊檢測(cè)等。

除此之外，還有很多的場(chǎng)景。其實(shí)，只要企業(yè)里面需要做安全防護(hù)的位置，或者重要的業(yè)務(wù)區(qū)域，安全要求不同的區(qū)域之間都要做安全的這種防火墻的部署，安全隔離和防護(hù)。

需要注意的地方，主要包含：身份認(rèn)證和網(wǎng)絡(luò)私接行為限制。

身份認(rèn)證：所有的訪問控制都要和企業(yè)業(yè)務(wù)結(jié)合起來。人員的訪問控制需要設(shè)置OA，與身份認(rèn)證做聯(lián)動(dòng)，這樣在防火墻上控制時(shí)，不是經(jīng)過IP做控制，而是與企業(yè)人員的郵箱認(rèn)證，身份認(rèn)證，OA認(rèn)證等認(rèn)證后的用戶名去做控制，即使員工在不同的IP接入網(wǎng)絡(luò)，也會(huì)受到訪問規(guī)則的限制，這是需要注意的地方。因?yàn)楹芏嗟挠脩?，雖然知道身份認(rèn)證的好處但是往往使用IP做終端的接入，或說控制方式。這對(duì)管理，對(duì)未來是有很大隱患的，未來可能被攻擊者通過偽造IP來訪問企業(yè)網(wǎng)絡(luò)，從而達(dá)到信息竊取的目的。所以身份認(rèn)證是需要注意的一個(gè)點(diǎn)。

網(wǎng)絡(luò)私接行為限制：對(duì)于企業(yè)內(nèi)部的安全性來說，網(wǎng)絡(luò)私接行為需要進(jìn)行限制。因?yàn)榫W(wǎng)絡(luò)私接是導(dǎo)致很多威脅接入的一個(gè)非常重要的途徑。比如現(xiàn)在流行的，360WiFi，或者京東賣的wifi接入的，插入一個(gè)小東西可以當(dāng)個(gè)無線路由器，使每個(gè)計(jì)算機(jī)都成為無線路由器的一個(gè)接入點(diǎn)，這樣手機(jī)，pad,等其他人設(shè)備都會(huì)掃描這臺(tái)設(shè)備從而接入你的網(wǎng)絡(luò)，這樣，這些無線私接點(diǎn)就會(huì)成為威脅入侵的一個(gè)非常便利的途徑，可以輕易繞開企業(yè)內(nèi)部的安全防護(hù)機(jī)制，繞過防火墻，直接計(jì)算機(jī)，直接進(jìn)入到企業(yè)網(wǎng)絡(luò)中，這種部署，這種企業(yè)管理是需要注意的。#p#

51CTO記者：您認(rèn)為企業(yè)該如何管理下一代防火墻?有哪些細(xì)節(jié)需要留意?可以給企業(yè)提供一些建議么?

賈彬：在管理方面，管理員要合理清晰的劃分出每個(gè)區(qū)域的安全，先要定好安全域，關(guān)鍵業(yè)務(wù)區(qū)域與非重要業(yè)務(wù)區(qū)域。進(jìn)行區(qū)域劃分后，把不同的訪問區(qū)域的訪問規(guī)則和訪問要求通過設(shè)備上的管理策略或者配置的方式定義起來。

在日常運(yùn)維中，需要關(guān)注的不是設(shè)備的運(yùn)行狀態(tài)，而是網(wǎng)絡(luò)的業(yè)務(wù)的運(yùn)行狀態(tài)，以及整體的風(fēng)險(xiǎn)狀態(tài)。舉例來說，假如企業(yè)中的一臺(tái)機(jī)器中了病毒，或者被攻擊，那這臺(tái)機(jī)器需要第一時(shí)間能夠呈現(xiàn)給企業(yè)管理人員，而且能夠讓管理員能夠清楚直接的定位這臺(tái)機(jī)器，從而通過各種的可視化的方式清楚知道這臺(tái)機(jī)器發(fā)生了哪些事情，造成了哪些影響，進(jìn)而幫助管理員來解決這些問題，這是運(yùn)維管理中最常見的問題。

還有一種最常見的問題，網(wǎng)絡(luò)出現(xiàn)故障，網(wǎng)絡(luò)無法訪問或者中斷。這時(shí)管理員有很多的手段去排查故障，但是，其實(shí)在防火墻里有很多的管理工具，可以幫助管理員很好的定位故障點(diǎn)，加快他的運(yùn)維效率，節(jié)約運(yùn)維成本。雖然是細(xì)小的點(diǎn)，也體現(xiàn)出一個(gè)企業(yè)在管理上，和管理人員的管理成熟度上的一個(gè)重要體現(xiàn)。

51CTO記者：您認(rèn)為下一代防火墻是剛需還是彈需?

賈彬：下一代防火墻已是剛需。雖然現(xiàn)在聽起來下一代防火墻好像還沒有那么多的客戶，但實(shí)際上有很多客戶已經(jīng)在嘗試使用下一代防火墻。為什么說是剛需呢?我們可以看到，現(xiàn)在無論是互聯(lián)網(wǎng)上還是企業(yè)內(nèi)網(wǎng)，對(duì)網(wǎng)絡(luò)的訪問隔離和訪問防護(hù)要求，都已經(jīng)不再僅僅是在網(wǎng)絡(luò)層面了。例如：企業(yè)要限制員工下載流量，這時(shí)傳統(tǒng)防火墻是無法解決的。因?yàn)槎丝谑遣粩嘧兓模ㄟ^傳統(tǒng)防火墻的端口控制方式很難限制流量，只有下一代防火墻的應(yīng)用識(shí)別才能起到限制作用。同樣，就威脅防護(hù)能力來說，原來只有一些網(wǎng)絡(luò)端口掃描，但是現(xiàn)在都是有針對(duì)性的攻擊。特別是諸如互聯(lián)網(wǎng)公司，移動(dòng)互聯(lián)網(wǎng)公司等業(yè)務(wù)和網(wǎng)絡(luò)結(jié)合緊密的企業(yè)，它們的知識(shí)產(chǎn)權(quán)和數(shù)據(jù)就是生命線。這些數(shù)據(jù)是競(jìng)爭(zhēng)對(duì)手所關(guān)注，不法分子所想要竊取的內(nèi)容。此時(shí)的攻擊威脅防護(hù)，僅靠傳統(tǒng)防火墻提供的網(wǎng)絡(luò)層攻擊防護(hù)和特征攻擊防護(hù)是不夠的。更重要的是對(duì)APT的攻擊防護(hù)，以及其他針對(duì)性攻擊的防護(hù)。這對(duì)企業(yè)來說是非常重要的，可以說一個(gè)設(shè)備決定了一個(gè)企業(yè)的生死存亡。所以，下一代防火墻是剛需。

51CTO記者：在可見的未來內(nèi)，您認(rèn)為下一代防火墻將會(huì)沿著怎樣的朝向發(fā)展?

賈彬：作為一個(gè)從網(wǎng)絡(luò)層面升級(jí)到應(yīng)用層面的設(shè)備，下一代防火墻已經(jīng)達(dá)到了甚至是體現(xiàn)了它的價(jià)值。未來，下一代防火墻將更加關(guān)注的是在威脅防護(hù)能力上的提升。因?yàn)闊o論是傳統(tǒng)防火墻，入侵檢測(cè)，還是下一代防火墻，大部分的下一代墻還都是基于特征的檢測(cè)方式。然而現(xiàn)在的新型攻擊，特別是未知威脅、變種威脅，都能很輕易的穿越這種特征檢測(cè)方式。因此，如何很有效防護(hù)未知威脅，特別是變種威脅，加強(qiáng)下一代防火墻的威脅檢測(cè)能力，是未來防火墻持續(xù)需要提高的地方。