近日，IDC發布《中國下一代防火墻發展趨勢研究》白皮書，這是自2009年下一代防火墻概念被提出以來，IDC首度就目前國內下一代防火墻的市場格局、用戶訴求進行分析，并重新對其技術定義和未來走向做出深入研究。

道高一尺魔高一丈 防火墻應與時俱進

IDC認為，社交網絡、移動互聯網、大數據和云計算構建的第三平臺加速了互聯網的變革，新的技術浪潮改變了現代企業的競爭法則，同時也帶來了全新的網絡生態環境。當今的新威脅正由小范圍單點攻擊向著有組織、智能化的集團沖鋒演進。

近日，網康科技安全實驗室通過部署于Internet上的蜜罐系統成功捕獲了一次完整的數據庫服務器入侵過程，其攻擊速度之快、手段之豐富、過程之隱蔽令所有技術人員吃驚。

“從最初的掃描探查、到口令破解、再到系統提權，黑客完全控制服務器并開始進行惡意操作只用了短短的32分鐘，整個入侵過程是由多個攻擊源相互配合并按照一定流程共同完成的，至少使用了5種攻擊手段，攻擊者使用FTP、HTTP等多種方法向目標植入了百余個惡意程序，并存儲在了C盤多個系統文件目錄下，攻擊者非常注意隱藏自己的攻擊行為”，據網康科技安全實驗室負責人張永臣介紹，目標一旦受控，黑客往往通過在目標主機上安裝有償推廣的軟件或在搜索引擎中搜索某些特定的關鍵詞(用于提升該關鍵詞的權重)以獲取經濟利益，同時目標自身也自動的加入到了攻擊者的行列，開始向網絡上的其他主機滲透。

安全專家指出，上述案例其實只是當前威脅的一個縮影，當今幾乎所有的網絡攻擊均具有極高的智能程度并以組織化的形式運作。更為嚴重的是，黑客設計一次成功的網絡攻擊，首先會考慮繞過現有的防護手段并隱蔽自己的攻擊行為。面對日趨復雜化、智能化的新型威脅，目前相當多的用戶仍在借助傳統的“老三樣”(防火墻、入侵防御、防毒墻)進行防護，表面上為網絡構筑了銅墻鐵壁，實則成為虛弱的“最后一道防線”。IDC同時指出，企業廣泛采用的傳統防火墻由于其固有缺陷，已經無力應對類似于上述案例中的攻擊，將現有的邊界安全設備升級至下一代防火墻已是大勢所趨。

下一代防火墻必須具備的五大要素

眾所周之，扼守網絡咽喉的防火墻設備，主要通過隔離、限制等手段對網絡流量中的越權訪問以及惡意連接進行識別和阻斷，防火墻產品的歷次演進均是圍繞著這兩大核心目標而展開的。如今，距離下一代防火墻概念首度提出已時隔5年，IDC在白皮書中提出，當今的下一代防火墻必須具備5大核心要素以有力對抗新型威脅。

1) 針對應用、用戶、終端及內容的高精度管控

訪問控制始終是防火墻類產品的核心功能，面對應用爆炸式發展、用戶接入手段多樣化、信息泄密問題突出等多重挑戰，當今的下一代防火墻應持續增強其訪問控制的精細度。

白皮書特別強調，應用控制絕非傳統意義的阻斷應用，出于精細化控制的需求，下一代防火墻應該能夠控制各類平臺化應用的子功能，如QQ的文件傳輸等，同時還要能夠基于用戶和終端進行控制，而非傳統的IP地址，并且能夠對某些特定文件的內容進行深入過濾，以削減信息泄密的風險。

應用識別技術無疑成為滿足上述需求的本質，下一代防火墻在未來仍將持續提升對應用、用戶、終端和內容的識別能力，并對加密流量、隧道封裝的數據進行識別，隨著應用識別技術在廣泛度和精細度等方面的提升，企業將逐步由目前的黑名單訪問控制過渡至安全級別更高的白名單模式。

2) 一體化引擎多安全模塊智能數據聯動

上述攻擊案例已充分證明，當今網絡威脅均為采用多種手段的復合式攻擊，無論是事中的防御還是事后的溯源，都要求下一代防火墻能夠將多種安全檢測技術融合。為此，白皮書中首度提出了下一代防火墻應采用“一體化引擎”架構，使其能夠全方位的防護安全威脅并實現智能的數據聯動。

產品專家認為，采用一體化引擎的優越性諸多，除了提升自身的防御能力外，還體現在其他兩個方面。首先，一體化引擎實現了數據的單路徑匹配，數據包僅需一次解碼即可匹配所有威脅特征，有助于設備性能的大幅提升，讓所有安全功能模塊能夠真正的開啟并發揮作用。

第二，對于隱蔽性極強的新型威脅，單維的分析散落多處的信息對于盡早感知威脅已毫無幫助。多安全模塊的融合，使得各個安全模塊在對數據檢測過程中產生的信息能夠充分關聯，徹底改變傳統安全設備信息割裂的詬病，用戶無需進行人工挖掘和分析即可全面掌握威脅全貌。

3) 外部的安全智能

防火墻本地的運算性能和檢測能力始終是有限的，下一代防火墻應該具備聯動外部安全智能系統的能力。盡管這項要求早在2009年的定義中便有提及，但在當時的技術背景下，除了與用戶認證系統聯動之外，并未明確描述與其他系統的聯動。

隨著云計算、大數據技術的不斷成熟，將云端的海量資源及大數據的高度智能用于判別日趨復雜的威脅，已成為業界公認的技術發展方向。近年來市場上也已經涌現出了不少以云沙箱檢測、病毒云查殺、威脅情報分析等為核心的新技術產品。

鑒于這樣的技術環境，白皮書明確指出，下一代防火墻應當具有與外部云計算聯動的能力，并且能夠利用大數據分析技術應對威脅特征庫中并未收錄的未知威脅。

4) 可視化智能管理

防火墻設備的洞察力往往是廠商和用戶長期忽視的一項能力，然而在更復雜的威脅面前，用戶需要更加及時的掌握網絡現狀、風險、威脅、事件以及防御效果等用于支撐安全決策，下一代防火墻的可視化技術尤為重要。

“智能”一詞對于下一代防火墻而言同樣是一項新的要求，專家認為，下一代防火墻要實現的可視化智能管理，絕非傳統意義上的日志呈現和TOP 10排名，真正的“智能”應該是在多維統計的基礎上加以深入的分析，并將結果呈現出來，以幫助用戶更加快速的了解網絡風險并及時部署防御措施。

白皮書同時指出，安全產品的有效性取決于操作安全產品的人員，在信息安全專業人才緊缺以及安全設備用戶范圍日趨廣泛的大環境下，下一代防火墻應當簡化配置難度、降低技術門檻并持續提升產品易用性。

5) 高性能處理架構

性能是歷代防火墻產品永恒的話題，IDC研究數據表明，當前國內傳統防火墻的市場份額在整體安全硬件中仍占比最高。究其根因，并非用戶對下一代防火墻特有的功能缺乏需求，而是由于很多大型網絡、數據中心出口出于性能的考慮無法開啟所謂的“下一代”安全功能。由此可見，性能的高低決定了下一代防火墻能夠部署的場景和位置，以及能否為更多的網絡和系統提供保護。

白皮書特別強調，今后的網絡安全是應用層安全，所有的流量都要進行應用層的深入分析，因此下一代防火墻已將深度包檢測(DPI，用于應用識別及其它應用層安全功能)作為其架構中的基礎部件，設備開機即處于啟動狀態，并且鼓勵用戶打開全部安全功能。對于下一代防火墻用戶而言，真正有價值的參數是其應用層性能以及開啟全部安全功能后的性能。

因此，IDC認為下一代防火墻要滿足大型數據中心、運營商網絡環境的性能要求，必須持續提高應用層性能及多威脅安全檢測性能。

強強聯合 首度發布下一代防火墻白皮書

IDC分析師認為，由于下一代防火墻有力并極大的提升了用戶應對新威脅的能力，無疑已經成為順應趨勢并且廣受用戶認可的產品，同時也注意到當前無論是國內還是國外，幾乎所有的傳統防火墻和UTM廠商均紛紛將其產品向下一代防火墻轉型。

縱觀整個信息安全行業，在最近10年發生了天翻地覆的變化，從最早的國外廠商大行其道，到當今國內產品漸成主流，從早先的“玩概念”，到如今的“重體驗”，都充分說明信息安全已經從專業領域走向了全民關注，這要求安全產品更加貼近用戶并更加清晰的呈現價值。IDC認為，網康科技作為國內新興安全技術廠商的優秀代表，在這場傳統安全顛覆性大變革中正在發揮積極的作用。

據悉，網康科技于2012年10月發布了國內首款真正的下一代防火墻產品，迅速得到了來自市場和用戶的積極反饋，如今產品上市已兩年時間，其在同類產品中的多項指標始終保持領先。今年7月，網康科技榮獲Frost&Sullivan頒發的“2014 中國區下一代防火墻市場增長領導獎”，向業界證明了其產品在市場上的增長潛力和競爭力。本次與IDC聯合發布業界首個針對下一代防火墻展開深入研究的白皮書，再一次體現了其在下一代防火墻領域的領導地位。

　　IDC、網康聯合發布《中國下一代防火墻發展趨勢研究》白皮書

(左：IDC中國助理副總裁要剛 右：網康科技研發副總裁梁志勇)

IDC中國助理副總裁要剛先生表明“IDC作為一家國際性的市場研究咨詢公司，在市場上可以幫助大家定義一些新型的技術，當前的防火墻技術在市場的發展沒有一個整體的標準，我相信網康公司很了解，所以IDC第一個站出來對這個技術進行一些我們的分析與研究。在我們的研究過程中發現，我們對于下一代防火墻的理解和定義，和網康的下一代防火墻解決方案有著很高的契合度，所以我們選擇和網康科技共同發布這本白皮書”。