隨著國家建設網絡強國戰略的出臺，我國信息安全產業已再次迎來蓬勃發展的春天。業內分析人士指出，在快步增長的中國信息安全市場中，安全硬件市場長期占據半壁江山，而扼守網絡邊界的防火墻產品則是安全硬件市場中的頂梁柱。

進不來、拿不走、讀不懂是傳統安全建設的基本原則，讓攻擊者進不來，是需考慮的首要問題。防火墻猶如企業網絡的守門員，幾乎成為安全建設的必選項，調研數據顯示，超過89%的企業在進行信息安全建設時，首選防火墻設備。

從產品演進看防火墻三大核心能力

防火墻技術起步較早，先后經歷了包過濾防火墻、應用代理防火墻、狀態檢測防火墻、統一威脅管理、下一代防火墻等數代進化。防火墻在中國市場的活躍始于90年代末，當時防火墻的進化已進行至第四代，即狀態檢測防火墻。

防火墻用戶對于產品始終有著明確的功能預期，拒絕越權訪問和阻斷非法連接，是其兩項最核心的要務，防火墻技術的歷次升級恰恰是為了在新的安全背景下更好的實現這兩項核心目標和基本功能。基于以上分析，防火墻類產品有三項核心能力，分別是數據通信、訪問控制和特征匹配。

　　▲防火墻的三大核心能力

數據通信指一臺設備的網絡環境適應性、性能、可靠性等，是安全網關產品的一個必要條件，其能力的高低直接決定了防火墻的部署場景及所保護網絡的可用性。訪問控制是一臺防火墻的核心目標，為了提高其精細度，其技術已經從傳統的五元組控制發展至基于應用層的八元組，實現了對網絡用戶、應用和內容的控制。而特征匹配則是防火墻識別攻擊和非法連接的主要技術手段，無論是病毒防護、入侵防御還是惡意網址防護等安全功能都高度依賴相應威脅特征的匹配，隨著威脅的進化，當前不少安全設備還引入了行為特征的匹配技術，通過分析異常行為判別攻擊，某種意義上說特征匹配也是為了進行更好的訪問控制。

　　▲幾代防火墻類產品的進化對比

毫無疑問，防火墻各代級的演進過程也是其三大核心能力持續提升的過程。例如，UTM(統一威脅管理)將AV(病毒防護)、IPS(入侵防御系統)、URL過濾引入了防火墻，增強了特征匹配的能力，從而可以更好的做訪問控制。而下一代防火墻則引入了應用層指標，可以在第七層做訪問控制，提升了訪問控制的精確度，并且通過一體化引擎大幅改善了安全檢測效率低的問題，提升了其數據通信能力。

三問防火墻用戶引深思

根據《信息安全技術防火墻技術要求和測試評價方法》(我國防火墻技術的國家標準，GB/T 20281-2006)中的定義，在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了流經防火墻的數據，保證了內部網絡和DMZ區的安全。

然而，部署了防火墻真的安全嗎?換言之，防火墻真的能夠將攻擊者拒之門外嗎?從實際的使用情況看，由于眾多因素，當前多數在線的防火墻設備并未發揮最大效能，甚至形同雞肋。

您是否還能記得防火墻的管理員賬號和口令?

您是否會使用防火墻建立一條訪問控制策略?

當網絡出現異常時您是否能利用防火墻分析?

三分技術，七分管理，是安全建設不變的鐵律，不僅僅是防火墻，安全產品部署了一大堆，安全運維則始終難以落地，是國內用戶的共性問題。據調查， 75%以上的用戶在最近三個月內沒有登陸過防火墻設備，80%的在線防火墻僅配置了一條“any any any permit all”(防火墻中表示放通所有流量)的策略，更多的IT管理者在網絡出現異常問題后首先想到的是呼叫救火隊員(安全服務商)。長期以來，不會用、不管用、不愛用已然成為防火墻乃至大部分安全產品的代名詞。

安全猶如踢足球，若不能將防線上提，對方前鋒則始終有機會直接面對門將，球門失守在所難免。長期以來，由于從不進行安全管理，缺乏有效的安全配置，防火墻非但沒有發揮隔離器、限制器、分析器應有的作用，反倒成為了虛弱的“最后一道防線”。

洞察力——被長期忽略的第四大能力

究其根因，導致用戶對于安全產品不會用、不管用、不愛用的核心原因是關鍵信息的缺失。用戶在安全決策時缺乏對基本信息的了解，執行安全策略時缺乏合理的建議，而在實施后又缺乏及時的效果反饋。對于現狀、風險、威脅、事件、建議、效果等安全決策資源看不清、看不懂、看不全，是造成用戶幾乎不使用防火墻的根因。

智能威脅時代來臨，我們不能再單純的依賴傳統的病毒庫、威脅特征庫匹配技術進行被動防御。應對復雜性更強、隱蔽性更高的新型威脅，一定要構建起能夠持續運轉的安全管理閉環，而這一切對安全設備的洞察力提出了更高的要求。

洞察力是指深入事物或問題的能力，它并不等同于安全產品傳統意義上的可視化，絕不是指簡單的日志呈現和TOP10統計。傳統安全設備的異常輸出僅能被少數專家關注并理解，面對設備提供的IP地址、端口號、流量統計等信息，并不足以幫助用戶了解網絡異常、及時預見風險。如果說可視化將信息做了基本的整理和呈現，那么洞察力應該在其基礎之上，進行多維的分析和智能的關聯，徹底解決關鍵信息看不清、看不懂、看不全的問題。

舉例來說，在防火墻上僅告知用戶一條連接建立于哪兩個IP之間，用戶很難判斷其是否為惡意流量，但若為IP賦予地理位置屬性，用戶則完全有可能快速注意到頻繁與境外主機建立連接的用戶。

　　▲網康下一代防火墻中的目的國家統計

又如，僅告知用戶當前網絡中各種流量的大小，一般的用戶并不能以此推導出哪些是異常的，但若將此流量大小與先前同一時間點的情況進行對比，用戶則可直接定位出網絡中明顯激增的流量。

　　▲網康下一代防火墻以基線方式對比流量異常變化

基于強大的洞察力，下一代防火墻能夠為用戶呈現網絡的流量、威脅、風險及安全事件，同時用數據給出安全策略調整的建議，并且將實時的安全防御效果反饋給用戶。站在用戶角度而言，下一代防火墻徹底顛覆了傳統安全被動式事件響應的邏輯，重構出發現問題、給出建議、快速響應、檢測效果的安全閉環。

　　▲下一代防火墻重構防火墻的使用邏輯

互聯網化的下一代安全——以用戶的名義重新定義下一代防火墻

用戶需要的并不是一個盒子，而是真正的解決安全問題，安全廠商不能僅關注產品功能的開發，即便產品功能強大，但假若未被正確認識和使用，同樣只是空談。只有充分利用設備才有可能較好的解決安全問題，尤其是今后的安全將更加強調人參與其中。

在當前，互聯網思維正在快速的滲透各行各業、各個領域，并不斷顛覆著傳統行業。傳統安全行業也正處于巨大的歷史變革期，互聯網與安全的結合已經成為當前的主流趨勢。

互聯網思維的精髓在于完全以用戶需求驅動產品發展，強調極致的用戶體驗并追求強大的用戶粘性。從互聯網思維的角度出發來看，傳統安全產品其實僅僅解決了對用戶“有用”的問題，但由于用戶并未真正使用，并沒有達到理想的預期。近年來提出的“下一代”安全產品則通過一系列的技術創新降低了用戶的操作難度，做到了幫用戶“會用”。面對今后更加嚴峻的安全環境，更加強調管理和人的參與，因此應當倡導互聯網化的下一代安全，通過極致的操作體驗，激發用戶的使用欲望，做到讓用戶“愛用”。

　　▲用互聯網思維武裝傳統安全

對于用戶而言，安全產品只有做到有用、會用、愛用才能夠真正發揮最大的價值。因此，以用戶名義定義的下一代防火墻，應當融合必要的安全功能，能夠防御更加復雜、隱蔽的攻擊，能夠用數據支撐用戶建立并持續高效運行安全管理閉環，擁有簡約的人機交互界面和及時的正反饋激勵，具備極致的用戶體驗。