隨著5年前有人提出NGFW概念，這5年內(nèi)人們經(jīng)過一系列對原有防火墻的改造升級，人們在過熱期創(chuàng)造了UTM。UTM除了提供傳統(tǒng)防火墻、VPN功能基礎(chǔ)上，同時提供病毒防護(hù)、URL過濾、漏洞攻擊防護(hù)、垃圾郵件防護(hù)、P2P/IM應(yīng)用層流量控制和用戶行為審計等安全功能。但是人們在使用中漸漸發(fā)現(xiàn)，UTM更像是一個All In One的一臺設(shè)備，只是單純的把設(shè)備芯片和引擎進(jìn)行疊加，無法滿足大規(guī)模需要高性能客戶的需求。此時人們單純改造原有防火墻，來實(shí)現(xiàn)NGFW的愿望到了破滅期，人們經(jīng)過努力逐漸發(fā)現(xiàn)，與其改造一個部件，不如重新創(chuàng)造出一個部件。

華為推出了Secospace USG6000系列下一代防火墻。通過對應(yīng)用、用戶、內(nèi)容、威脅、時間、位置的全面感知，將網(wǎng)絡(luò)環(huán)境清晰的映射為業(yè)務(wù)環(huán)境，提供基于應(yīng)用、用戶的安全和QoS管理功能。在應(yīng)用識別的基礎(chǔ)上，提供強(qiáng)大的IPS、AV和數(shù)據(jù)防泄漏能力，全面、高性能地防護(hù)企業(yè)信息安全，滿足ICT技術(shù)與網(wǎng)絡(luò)威脅的快速發(fā)展。本文悉數(shù)介紹華為下一代防火墻USG6000系列產(chǎn)品如何應(yīng)對NGFW的發(fā)展方向希望對它賦予更高的能力要求，滿足ICT技術(shù)與網(wǎng)絡(luò)威脅的快速發(fā)展。本文將追溯到重新定義NGFW的源頭，悉數(shù)NGFW面臨的諸多挑戰(zhàn)來看NGFW的發(fā)展方向。

　　簡：

簡，我們這里是指簡潔，客戶網(wǎng)絡(luò)環(huán)境可以利用一臺設(shè)備充當(dāng)3-5臺設(shè)備，簡化網(wǎng)絡(luò)環(huán)境。

隨著云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興技術(shù)被廣泛使用，人們逐漸發(fā)現(xiàn)移動化、社交化、云和大數(shù)據(jù)是未來ICT領(lǐng)域的的發(fā)展趨勢。根據(jù)Dimensional Research的調(diào)查結(jié)果顯示，55%以上的受訪企業(yè)認(rèn)為移動安全是當(dāng)前的TOP安全問題，其中71%的受訪企業(yè)認(rèn)為移動設(shè)備增加了安全事件，47%的受訪企業(yè)有大量客戶數(shù)據(jù)存儲在移動設(shè)備上。隨著安全場景的復(fù)雜化，人們網(wǎng)絡(luò)中的安全產(chǎn)品越來越多，網(wǎng)絡(luò)管理員發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備過多網(wǎng)絡(luò)中可能存在的故障點(diǎn)就越多，對網(wǎng)絡(luò)的穩(wěn)定性會造成威脅。

華為USG6000下一代防火墻，不僅可以利用自身的防火墻、NAT、安全域等功能對網(wǎng)絡(luò)進(jìn)行管理，還兼顧有IPS、AV、VPN、上網(wǎng)行為管理等設(shè)備的特性，滿足一臺設(shè)備解決一個網(wǎng)絡(luò)環(huán)境中所有的安全產(chǎn)品所做的工作，使我們的網(wǎng)絡(luò)環(huán)境變得簡潔明了。

易

易，我們這里是指易于管理，客戶網(wǎng)絡(luò)環(huán)境可以利用一臺設(shè)備充當(dāng)3-5臺設(shè)備，同時兼顧IPS、AV、VPN、上網(wǎng)行為管理等功能，避免出現(xiàn)每臺設(shè)備單一維護(hù)，造成管理上混亂與復(fù)雜。

企業(yè)網(wǎng)管理應(yīng)遵循“最低授權(quán)權(quán)限”原則，每一個控制應(yīng)盡量精確匹配到每一個點(diǎn)位。傳統(tǒng)方式依賴網(wǎng)絡(luò)管理員做大量基于端口或協(xié)議的策略限制，如果后續(xù)需要優(yōu)化，或者增加相應(yīng)策略會顯得混亂不堪，還可能導(dǎo)致策略沖突。

華為USG6000下一代防火墻，不僅提供傳統(tǒng)網(wǎng)關(guān)防火墻手工配置安全防護(hù)策略，還支持Smart Policy技術(shù)，利用智能化手段幫助運(yùn)維人員管理防護(hù)策略，提供基于環(huán)境的模板用于調(diào)用且可以提出安全建議，幫助運(yùn)維人員較容易且有效的管理網(wǎng)絡(luò)。

高

高，我們這里是指智商高，設(shè)備可以自己學(xué)習(xí)特征庫、病毒庫、URL庫來實(shí)現(xiàn)對網(wǎng)絡(luò)未來出現(xiàn)的安全漏洞可防可控。

隨著SDN(軟件定義網(wǎng)絡(luò))的技術(shù)逐漸成熟，對防火墻概念更像是一個安全資源池的概念，隨著人們的需要按需索取，接入網(wǎng)絡(luò)的設(shè)備提供一個既能滿足應(yīng)用與用戶的安全防護(hù)，又能兼顧擁有學(xué)習(xí)能力，可以利用自身不斷更新注入的安全疫苗，為我們搭建起一套可以抵御當(dāng)今乃至未來出現(xiàn)病菌的平臺。

華為USG6000下一代防火墻，不僅支持一虛多防火墻虛擬化技術(shù)，可以對現(xiàn)網(wǎng)形成一個資源池，讓用戶按需索取，利用IPS-AV-URL功能集升級服務(wù)可以對網(wǎng)絡(luò)進(jìn)行不間斷的升級更新，幫助客戶的網(wǎng)絡(luò)形成一個安全可靠可擴(kuò)展的防御盾牌。

效

高，我們這里是指效率高，設(shè)備性能高，處理速度快。設(shè)備同時開啟IPS、AV防病毒功能時，性能衰減不超過50%。

防火墻作為網(wǎng)絡(luò)的安全出口，策略中心，對性能的要求是巨大。傳統(tǒng)UTM疊加式NGFW，我們在同時開啟IPS、AV防病毒等功能時候，通常性能只剩下20%-30%的設(shè)備性能，造成網(wǎng)絡(luò)出口側(cè)瓶頸，對網(wǎng)絡(luò)流量無法做到有效轉(zhuǎn)發(fā);防火墻通常作為網(wǎng)絡(luò)出口或者業(yè)務(wù)出口，對于多鏈路環(huán)境，應(yīng)考慮鏈路負(fù)載均衡方式，避免出現(xiàn)端口流量不均衡的問題、

華為USG6000下一代防火墻，在應(yīng)用識別后，多項(xiàng)安全處理是并行處理，大大降低處理延遲，并且全線下一代防火墻覆蓋從2G吞吐量到T級吞吐量的業(yè)務(wù)需求，同時提供最低8端口配備，滿足3大運(yùn)營商和教育網(wǎng)的多出口環(huán)境接入。