自2009年,Gartner發(fā)布了對(duì)于下一代防火墻NGFW的定義，自此之后，安全市場(chǎng)上的NGFW市場(chǎng)掀起了一股熱潮。發(fā)展至今， “下一代”、“新一代”、“智能”等等名詞紛紛冠以NGFW產(chǎn)品名稱之上，難免讓人眼花繚亂、無所適從。

NGFW的定義誕生至今業(yè)已過去五年，五年間，諸多IT技術(shù)的發(fā)展都發(fā)生著巨大的演進(jìn)與變化，而一系列新型的威脅更是讓企業(yè)防不勝防;此外，隨著云計(jì)算、大數(shù)據(jù)等技術(shù)在企業(yè)間的廣泛應(yīng)用，傳統(tǒng)NGFW產(chǎn)品未能如同在加載其名稱之上的各種新鮮名詞一樣在技術(shù)上實(shí)現(xiàn)關(guān)鍵性突破，而對(duì)于用戶在實(shí)際應(yīng)用中的諸多實(shí)際問題也沒有更好的解決方案。

前不久，網(wǎng)御星云在北京舉辦了“NGFW-phase2發(fā)布會(huì)”，發(fā)布了新一代網(wǎng)關(guān)產(chǎn)品。新發(fā)布的NGFW產(chǎn)品彌補(bǔ)了對(duì)傳統(tǒng)NGFW的技術(shù)缺陷以及對(duì)用戶需求的不足之處，在結(jié)合傳統(tǒng)NGFW的技術(shù)基礎(chǔ)上，網(wǎng)御星云的這一產(chǎn)品成功實(shí)現(xiàn)了從NGFW到NGFW Phase2的進(jìn)化過程。

網(wǎng)御星云產(chǎn)品總監(jiān)劉建軍表示，傳統(tǒng)NGFW 產(chǎn)品面臨幾方面的缺失：在網(wǎng)絡(luò)安全方面， 缺乏網(wǎng)絡(luò)可用性的判定，對(duì)統(tǒng)一引擎和全開防護(hù)能力無尺度界定，忽略網(wǎng)絡(luò)適應(yīng)性要求，強(qiáng)調(diào)為大企業(yè)設(shè)計(jì)，對(duì)中國國情水土不服;在應(yīng)用安全方面，傳統(tǒng)NGFW重視對(duì)應(yīng)用的識(shí)別，缺失對(duì)用戶業(yè)務(wù)應(yīng)用服務(wù)的支撐能力要求;在用戶安全方面，傳統(tǒng)NGFW對(duì)用戶之于網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)沒有建立系統(tǒng)化實(shí)現(xiàn)體系，并忽略了用戶終端帶來的安全威脅;在數(shù)據(jù)安全方面，傳統(tǒng)NGFW則對(duì)用戶敏感數(shù)據(jù)防泄漏以及篡改沒有攔截能力，缺少對(duì)虛擬化應(yīng)用服務(wù)器及數(shù)據(jù)庫集成環(huán)境實(shí)現(xiàn)支撐。

基于此，網(wǎng)御星云認(rèn)為，NGFW概念已經(jīng)到了必須被升級(jí)換代的時(shí)候了。而此次網(wǎng)御星云所發(fā)布的升級(jí)后的NGFW Phase2產(chǎn)品，在傳統(tǒng)NGFW產(chǎn)品三級(jí)功能定義的基礎(chǔ)上，還實(shí)現(xiàn)了諸多方面的突破：首先，新的NGFW Phase2產(chǎn)品實(shí)現(xiàn)了對(duì)多種形態(tài)部署環(huán)境的支撐;為數(shù)據(jù)庫訪問、應(yīng)用威脅、云計(jì)算提供足夠的控制能力，并且和防火墻策略必須是緊耦合同時(shí)生效;支持高吞吐、低延遲，明確什么樣的設(shè)計(jì)是實(shí)現(xiàn)高性能的必備條件;在確保應(yīng)用服務(wù)支撐力的前提下，實(shí)現(xiàn)用戶和網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)的集成控制。

網(wǎng)御星云網(wǎng)關(guān)產(chǎn)線副總經(jīng)理沈穎在訪談中也表示：NGFW可以說在此之前僅僅還只是模糊的概念，而現(xiàn)在，NGFW的概念到了該明確的時(shí)候了。一款適應(yīng)當(dāng)前企業(yè)安全防護(hù)現(xiàn)狀的NGFW產(chǎn)品，應(yīng)該能夠快速、準(zhǔn)確識(shí)別不同應(yīng)用，而這也要求NGFW產(chǎn)品本身要能達(dá)到對(duì)性能和協(xié)議有效識(shí)別的保障; NGFW產(chǎn)品還應(yīng)滿足不同場(chǎng)景下用戶的不同需求，能夠?qū)崿F(xiàn)設(shè)備的技術(shù)能力與應(yīng)用場(chǎng)景的實(shí)時(shí)對(duì)接。除此之外，傳統(tǒng)的NGFW 產(chǎn)品對(duì)應(yīng)用的識(shí)別多為針對(duì)個(gè)人應(yīng)用，而現(xiàn)在，NGFW的目標(biāo)應(yīng)進(jìn)階到對(duì)企業(yè)業(yè)務(wù)應(yīng)用的識(shí)別。

據(jù)悉，NGFW Phase2產(chǎn)品在策略管理、地址管理方面進(jìn)行了重構(gòu)，使單一地址對(duì)象可以支持多種復(fù)合類型的屬性，同時(shí)一條策略支持多個(gè)不同組合的地址對(duì)象，全局策略沖突、刪除、移動(dòng)動(dòng)態(tài)提示用戶，從而實(shí)現(xiàn)對(duì)多種形態(tài)部署環(huán)境的支撐。

而基于網(wǎng)御星云多年來攻防技術(shù)方面的研究積累，NGFW Phase 2產(chǎn)品融入了數(shù)據(jù)庫訪問控制技術(shù)，從而實(shí)現(xiàn)了對(duì)數(shù)據(jù)庫進(jìn)行的敏感操作，如查詢數(shù)據(jù)、刪除數(shù)據(jù)、修改權(quán)限等動(dòng)作的識(shí)別，而通過和IP、用戶等多種過濾條件的結(jié)合，又使其具有豐富的數(shù)據(jù)庫訪問組合控制條件。

此外，NGFW Phase 2產(chǎn)品還考慮了用戶在部署應(yīng)用中的易用性，采用了統(tǒng)一集成引擎設(shè)計(jì)，從而使得在部署中可以在一條策略里實(shí)現(xiàn)所有功能，進(jìn)而實(shí)現(xiàn)了64字節(jié)小包萬兆線速吞吐，功能全開時(shí)的應(yīng)用層吞吐也能達(dá)到10Gbps以上，而標(biāo)準(zhǔn)防火墻吞吐更是可以達(dá)到160G的水平。

對(duì)虛擬機(jī)的流量進(jìn)行標(biāo)準(zhǔn)的訪問控制也是此次NGFW Phase 2產(chǎn)品的一大亮點(diǎn)。據(jù)介紹，NGFW Phase 2能夠同時(shí)執(zhí)行全部的安全過濾動(dòng)作，解決了虛擬機(jī)安全防護(hù)、物理的安全網(wǎng)關(guān)無法對(duì)虛擬機(jī)的流量進(jìn)行控制、軟件的安全網(wǎng)關(guān)無法達(dá)到大規(guī)模部署的性能要求等一系列難題。

隨著安全威脅與防護(hù)之間的不斷升級(jí)與演進(jìn)，如今的用戶已對(duì)NGFW的關(guān)注點(diǎn)已放在了在安全、性能、易用性、實(shí)用性等諸多方面，而不再熱衷于一系列“標(biāo)簽化”的產(chǎn)品概念。此次網(wǎng)御星云對(duì)NGFW概念的清晰定義與實(shí)踐無疑是安全發(fā)展過程中一次極具意義的里程碑。安全在演進(jìn)，用戶的需求以及對(duì)安全的理解也在逐漸變化和深入，基于此，不斷審視安全產(chǎn)品的進(jìn)化過程，讓安全產(chǎn)品緊跟安全發(fā)展及用戶需求的步伐，將成為整個(gè)安全體系的發(fā)展之道。