自從2013年“棱鏡門(mén)”事件后，國(guó)家高層對(duì)網(wǎng)絡(luò)安全越來(lái)越重視，“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”在全社會(huì)也形成了共識(shí)，普遍認(rèn)為只有用自主可控的國(guó)產(chǎn)軟硬件和服務(wù)來(lái)替代進(jìn)口產(chǎn)品，才能從根本上提升中國(guó)網(wǎng)絡(luò)安全自我防護(hù)能力，只有建立起完全自主、安全可控的核心系統(tǒng)，把信息安全掌握在自己手中，才能確保國(guó)家網(wǎng)絡(luò)安全和信息安全，一場(chǎng)國(guó)產(chǎn)化替代浪潮也越掀越高。

在互聯(lián)網(wǎng)時(shí)代下，網(wǎng)絡(luò)安全是基礎(chǔ)，沒(méi)有安全一切都無(wú)從談起，既然說(shuō)網(wǎng)絡(luò)安全就必須談安全防護(hù)設(shè)備---防火墻，第一代防火墻幾乎與路由器同時(shí)出現(xiàn)，但隨著需求的不斷增多，又相繼出現(xiàn)了應(yīng)用層防火墻、UTM、NGFW(下一代防火墻)，那么究竟什么樣的防火墻才能滿(mǎn)足企業(yè)未來(lái)需求?對(duì)此記者采訪(fǎng)了深信服下一代防火墻產(chǎn)品運(yùn)營(yíng)總監(jiān)李煥波，完整內(nèi)容請(qǐng)查看下面精彩視頻。

融合--不斷變遷的共性

下一代防火墻市場(chǎng)在國(guó)外起步較早，在2009年Gartner正式提出下一代防火墻定義之前，Palo Alto Networks已發(fā)布了全球第一款NGFW產(chǎn)品，為傳統(tǒng)防火墻廠(chǎng)商緊隨產(chǎn)品更替潮流注入了強(qiáng)心針。從防火墻不斷變遷的發(fā)展歷程來(lái)看，融合這一特性一直伴隨。UTM可謂是早期融合安全產(chǎn)品，代表了當(dāng)時(shí)用戶(hù)對(duì)于一體化安全的需求;NGFW作為全新的融合安全產(chǎn)品，在一體化的基礎(chǔ)上，還滿(mǎn)足用戶(hù)當(dāng)前對(duì)可視化效果、多功能聯(lián)動(dòng)和高性能的需求。雖然部分UTM廠(chǎng)商也在對(duì)此進(jìn)行改進(jìn)，但是李煥波強(qiáng)調(diào)，只有國(guó)外部分優(yōu)秀UTM產(chǎn)品才能和NGFW實(shí)現(xiàn)差不多相同的防護(hù)效果。

反觀國(guó)內(nèi)下一代防火墻市場(chǎng)，2011年深信服在國(guó)內(nèi)正式發(fā)布下一代防火墻，在隨后的兩三年間，網(wǎng)康、綠盟、啟明星辰、山石、華為、網(wǎng)神、華三、天融信等國(guó)內(nèi)安全廠(chǎng)商也陸續(xù)發(fā)布了各自的下一代防火墻產(chǎn)品。下一代防火墻除了具備傳統(tǒng)企業(yè)級(jí)防火墻的全部功能，如基礎(chǔ)的包過(guò)濾、多層狀態(tài)檢測(cè)、NAT、VPN等功能，以及面對(duì)一切網(wǎng)絡(luò)流量時(shí)保持高穩(wěn)定性和可用性。在此之上，下一代防火墻還融合了深度的應(yīng)用識(shí)別和控制、用戶(hù)控制、終端及內(nèi)容控制、一體化引擎、多安全模塊智能數(shù)據(jù)聯(lián)動(dòng)、靈活的功能擴(kuò)展選擇和外部安全智能，如云計(jì)算及大數(shù)據(jù)分析技術(shù)。

看得懂的安全更安全

面對(duì)國(guó)內(nèi)下一代防火墻市場(chǎng)格局，各廠(chǎng)商除了拼品牌和渠道營(yíng)銷(xiāo)能力外，都在打造不同的亮點(diǎn)功能，例如，華三、華為憑借完整的產(chǎn)品線(xiàn)，都在打造端到端的解決方案;深信服得益于較早地發(fā)布了下一代防火墻產(chǎn)品，搶占了市場(chǎng)先機(jī)，并且及時(shí)挖掘到了用戶(hù)在融合安全方面新的痛點(diǎn)。“遇到最多情況就是用戶(hù)部署了一堆安全設(shè)備，由于看不懂安全，只能眼睜睜看著安全事故不斷發(fā)生，深信服正是捕捉到了用戶(hù)這樣的痛點(diǎn)，通過(guò)技術(shù)創(chuàng)新，來(lái)不斷地幫助用戶(hù)實(shí)現(xiàn)看得懂的安全，讓用戶(hù)能夠更加簡(jiǎn)單、高效地處理安全事故，從而得到了一大批用戶(hù)認(rèn)可，逐漸也在業(yè)界形成了口碑。”李煥波說(shuō)道。

正所謂“市場(chǎng)是最好的驗(yàn)金石”,深信服在IDC發(fā)布的2015年5月安全硬件市場(chǎng)報(bào)告中，僅以下一代防火墻一款產(chǎn)品就占有13.3%的市場(chǎng)份額，并榮獲集成防火墻第三名。對(duì)于能夠取得這樣的成績(jī)，深信服除了及時(shí)把握用戶(hù)需求之外，產(chǎn)品創(chuàng)新也是很重要的催化劑，產(chǎn)品發(fā)布4年間，在產(chǎn)品功能和用戶(hù)體驗(yàn)方面完成了超過(guò)20多個(gè)版本迭代更新，李煥波表示，為了真正達(dá)到用戶(hù)看得懂安全的效果，我們深入優(yōu)化安全風(fēng)險(xiǎn)的展現(xiàn)方式，對(duì)于風(fēng)險(xiǎn)的展示并沒(méi)有按照傳統(tǒng)功能模塊方式展現(xiàn)，而是按照攻擊對(duì)用戶(hù)造成的實(shí)際危害效果展現(xiàn);此外我們對(duì)于安全事件判斷，不以單次攻擊行為來(lái)判斷，而是以是否帶來(lái)真正危害來(lái)判定，進(jìn)而提出了“有效攻擊”的概念，并將其做成了產(chǎn)品的一個(gè)功能，大大提高了用戶(hù)在安全運(yùn)維方面的效率。

那么深信服的安全理念與看得懂之間的關(guān)系是怎樣?李煥波表示“深信服希望提供看得懂的安全，看得懂的安全能夠更好地幫助用戶(hù)了解自身真實(shí)的系統(tǒng)安全情況” 。而企業(yè)安全事件中最常見(jiàn)的三種情況是：

1、企業(yè)缺乏專(zhuān)業(yè)安全運(yùn)維人員，安全防護(hù)能力薄弱，而應(yīng)用層攻擊多樣且不斷變化，企業(yè)用戶(hù)難以防范;

2、企業(yè)部署防火墻、IPS、WAF等安全產(chǎn)品，由于傳統(tǒng)安全日志的展現(xiàn)方式過(guò)于技術(shù)化，企業(yè)用戶(hù)難以通過(guò)日志判斷面臨的安全問(wèn)題;

3、傳統(tǒng)安全設(shè)備缺乏對(duì)安全事件的閉環(huán)管理，用戶(hù)無(wú)法了解整個(gè)安全事件的來(lái)龍去脈，更無(wú)法判斷該如何防護(hù)。

綜上所述，其共性問(wèn)題在于用戶(hù)自身的安全能力有限，而安全問(wèn)題本身比較復(fù)雜，一般用戶(hù)難以短時(shí)間內(nèi)掌握，深信服希望通過(guò)不斷對(duì)產(chǎn)品進(jìn)行創(chuàng)新和開(kāi)發(fā)，把原本高深的安全問(wèn)題經(jīng)過(guò)技術(shù)處理，轉(zhuǎn)化為客戶(hù)很容易理解和掌握的東西，讓用戶(hù)看得懂安全，再通過(guò)簡(jiǎn)單的處理機(jī)制，讓用戶(hù)在看得懂的基礎(chǔ)上輕松解決安全問(wèn)題。

未來(lái)下一代防火墻發(fā)展

而在談及下一代防火墻未來(lái)的發(fā)展態(tài)勢(shì)，李煥波表示，現(xiàn)在的下一代防火墻不僅擁有傳統(tǒng)防火墻、IPS和WAF等專(zhuān)業(yè)安全產(chǎn)品的防護(hù)能力，而且還可以利用云和大數(shù)據(jù)等創(chuàng)新技術(shù)來(lái)應(yīng)對(duì)APT攻擊和其他未知安全威脅。

深信服建設(shè)了威脅情報(bào)共享云平臺(tái)，將近5000多臺(tái)部署在全球各地的深信服下一代防火墻可以自動(dòng)(在獲得用戶(hù)授權(quán)的前提下)上傳可疑的應(yīng)用流量到安全中心，安全中心將該部分流量放到虛擬沙盒中進(jìn)行運(yùn)行，通過(guò)分析異常網(wǎng)絡(luò)行為，對(duì)流量進(jìn)行判斷。若上傳流量存在安全威脅，安全中心將生成安全防護(hù)規(guī)則并實(shí)時(shí)下發(fā)到全球所有在線(xiàn)的下一代防火墻，令其能夠有效抵御各類(lèi)互聯(lián)網(wǎng)攻擊。

隨著云時(shí)代的到來(lái)，深信服在整體的IT架構(gòu)中還推出云架構(gòu)和云組件產(chǎn)品，李煥波指出，云組件主要應(yīng)用于用戶(hù)在公有云、私有云、混合云等場(chǎng)景下的各種安全需求，深信服所有安全產(chǎn)品已經(jīng)完成了轉(zhuǎn)化，能夠以軟件形態(tài)部署在云端。此外深信服還自主研發(fā)了超融合架構(gòu)，包含了計(jì)算虛擬化、網(wǎng)絡(luò)虛擬化、存儲(chǔ)虛擬化，其中底層軟件層面(OS層及以上)做到了自主研發(fā)，底層硬件平臺(tái)與浪潮等國(guó)內(nèi)廠(chǎng)商戰(zhàn)略合作，因此可為用戶(hù)提供整體解決方案，確保從底層硬件到上層軟件真正的安全自主可控。

那么在云時(shí)代，現(xiàn)有的安全設(shè)備是否面臨取代呢?“現(xiàn)有安全產(chǎn)品可以繼續(xù)部署在云的物理邊界，可以實(shí)現(xiàn)對(duì)云平臺(tái)底層的防護(hù)，”李煥波表示，“同時(shí)可以對(duì)南北向進(jìn)出云的流量進(jìn)行防護(hù)，若是在深信服的安全體系下依然可以接入安全云中心，用戶(hù)可以統(tǒng)一管理，為企業(yè)云安全共享力量。”

李煥波最后表示，明年將會(huì)重磅推出一個(gè)具有顛覆意義的創(chuàng)新型安全解決方案，會(huì)進(jìn)一步幫助用戶(hù)，更好地看懂安全，把安全問(wèn)題處理好，提升自身的安全感，提升組織有效應(yīng)對(duì)安全事件的能力。

總結(jié)：深信服下一代防火墻的“看得懂”的安全理念可謂是觸碰到企業(yè)用戶(hù)在安全方面的G點(diǎn)，把困難留給自己，把便捷留給用戶(hù)，在后端通過(guò)威脅情報(bào)共享平臺(tái)及安全中心、有效攻擊等復(fù)雜技術(shù)進(jìn)行轉(zhuǎn)化，只為在前端為用戶(hù)提供簡(jiǎn)單易懂地展示，實(shí)現(xiàn)用戶(hù)看得懂的安全，幫助用戶(hù)了解了自身網(wǎng)絡(luò)和業(yè)務(wù)的真實(shí)安全情況，進(jìn)而降低企業(yè)信息化系統(tǒng)的運(yùn)維成本。