防火墻時安全硬件市場的重要組成部分，在企業安全領域扮演著重要角色。下一代防火墻的提出一度引起業內熱議，安全向云端的遷移以及互聯網公司與企業安全的碰撞也讓安全行業迸發出新的火花，而硬件市場的活力也進一步被激發。據IDC數據統計，2014 年,防火墻硬件市場的規模為 US$ 415.9M,同比增長 24.1%，2014 年上、下半年的市場規模占比分別為 40.2%和 59.8%。可以看出，防火墻市場的需求還在與日劇增，而位居市場前列的領軍廠商對于自身的解決方案都有持續提升。

下一代防火墻無論是噱頭還是傳統安全硬件的本質提升都將在企業安全市場占據了不俗的市場份額，而下一代防火墻與統一威脅管理之間的界線也越來越模糊，下一代防火墻將會更精簡還是更復雜，用戶和解決方案供應商將如何看待防火墻硬件本身的發展，下一代防火墻如何解決功能性能無法兼顧的遺留問題?這些針對產品的問題一直存在。移動化和社交化使得安全威脅層出不窮，針對不同移動辦公安全架構和安全組件，下一代防火墻會針對不同用戶，甚至不同應用場景做出什么具體改變，同時會衍生出何種新技術?

帶著這些問題，筆者采訪了市場占有率位居行業前列的天融信、華為，還有國外知名安全廠商Fortinet，國內更有深信服、網康、山石網科、綠盟。各大安全廠商對下一代防火墻各有見解，下面我們就看各大廠商各抒己見，共論下一代防火墻的未來。

華為下一代防火墻如何迎合未來趨勢?

位居國內防火墻市場占有率前列的華為對下一代防火墻有獨到的看法，華為認為，作為提供云安全服務的載體，下一代防火墻必須具備全面的虛擬化能力，滿足為多租戶提供服務的需求。這種虛擬化不僅是基本防火墻功能的虛擬化，還包括入侵防御、防病毒、VPN等全部安全能力的虛擬化。澳大利亞知名的云服務提供商ICITA、東南亞知名的MSSP(托管安全服務提供商)Cenfinity公司，都在使用華為USG6000防火墻為他們的客戶提供云安全服務。

從華為解決方案上看，基于傳統防火墻的修修補補不足以滿足用戶的需求，也無法從根本上平衡性能與功能不可兼顧的尷尬境地，因此華為重新設計了新的硬件平臺和軟件體系，并采用全新設計理念和管理邏輯設計用戶體檢，推出了華為USG6000系列下一代防火墻。為了讓USG6000真正成為“性能可用”的下一代防火墻，華為主要做了兩點全新設計：第一，推出IAE智能感知引擎，一次流量解析多個業務模塊并行處理，避免傳統防火墻重復對同一報文的多次解析、重復匹配與響應。采用這種架構，能夠大幅度提高多個業務功能開啟的檢測性能;第二，硬件平臺采用“多核MIPS”+“硬件協處理加速”+“高速SwitchFabric”的架構，通過高速總線實現多核CPU與業務處理模塊、接口擴展模塊的通信。專用硬件加速內容層流量處理，并把特征匹配、摘要計算、加解碼等消耗大量CPU資源的操作，交由Cavium多核CPU的專用協處理器處理。結合這兩種方法，即使開啟全部安全防護功能，華為USG6000系列下一代防火墻的性能下降也不會超過50%，這一兼顧功能和性能的特性在業界也是罕有。

對于NGFW的防御能力，華為不僅僅專注于盒子之內，通過NGFW與沙箱、大數據安全分析系統的實時聯動，華為防火墻意在為企業提供幾乎具有無限擴展性的威脅感知與協同防御能力。在產品特性上，華為USG6000系列下一代防火墻覆蓋了從百兆到Tbps級別的廣泛范圍，可用于各行業的應用場景。除了傳統的應用場景，還對行業的特定場景進行了細化。例如，針對金融行業推出分支上網安全解決方案，針對企業大型數據中心推出數據中心安全解決方案，對教育城域網的安全建設也有相關的方案。

如何應對日益猖獗的位置威脅

應用層防護無疑是下一代防火墻的核心，應用識別能力尤為重要。華為USG6000系列下一代防火墻能識別業界最多的6000+應用。利用這一優勢，可以進行非常細致的訪問管控、應用流量加速以及基于應用的策略路由。

Web防護則不是下一代防火墻的重點，目前web服務器的防護主要靠WAF。下一代防火墻防護的目標是整個網絡，保護的是一個面，而不是具體的某個點。通俗點講，它更像一個門衛，而不是保鏢。NGFW是門衛，專門保護Web服務器的WAF設備是保鏢。NGFW可以針對web的入侵型流量進行防護，但這不意味著它可以取代WAF。兩者保護的對象不同，決定了它們需要的資源類型和使用方式都不同。如果把功能強行捏合在一起，要么會犧牲性能，要么會犧牲檢測的準確性。

對未知威脅的防護是當前大家都很關注的問題。華為USG6000系列下一代防火墻是未知威脅防護整體方案的重要組成，并主要從以下方面解決強化下一代防火墻的核心防御能力：

更精細訪問管控，縮小未知威脅的攻擊面;

管控員工對惡意網站的防護，防止釣魚型的攻擊;

協同華為的沙箱產品、大數據分析產品檢測出未知威脅，并進行阻斷;

檢測流量中是否有包含敏感信息的文件，防止通過未知威脅非法外傳。

用戶需求在何方?

華為前期對企業用戶的大量調研表明，企業網絡管理員最大的困惑是下一代防火墻的管理變得復雜多了。傳統防火墻基于IP和端口定義安全策略，端口其實代表了他們使用的業務，常見的端口數量并不多。而下一代防火墻是基于用戶和應用進行管理的，管理的粒度更細。舉個例子，同樣的80端口對應的應用會有多少?如果說之前只需要用80端口定義一條策略，映射出來的下一代防火墻應用管控策略可能會有成百上千條。所以華為USG6000系列下一代防火墻才會推出解決這個問題的Smart Policy技術，它能夠智能的優化、精簡下一代防火墻策略。幫助企業簡化管理，TCO降低30%。

舉例來說，在企業分支遠程互聯的場景，由于廣域網不穩定而引發VPN上遠程業務的不穩定。華為推出VPN智能選路技術，在一組VPN加密隧道中進行流量負載均衡，當VPN故障時可以使用質量最優的備選作為替代。既能優化了體驗，又降低了租用專線的需求。這個技術在京東商城遍及全國的物流系統中用的非常成功。在大型企業中，大量防火墻策略的管理和優化是個難題。華為推出的Smart Policy技術能夠智能的優化、精簡下一代防火墻策略。幫助企業簡化管理，TCO降低30%。這些都是華為USG6000下一代防火墻根據場景衍生出的新技術。基于移動用戶地址位置的訪問控制，也是華為NGFW為移動辦公安全量身定制的體貼特性之一。

[page]

性能和功能按需平衡，山石網科解決方案

山石網科認為，針對移動應用場景，下一代防火墻將會加強“場景感知”的技術能力。NGFW能夠感知到用戶當前的所在網絡環境，例如終端類型、接入方式、用戶角色，從而自動將安全策略匹配至該場景，包括認證方式、訪問權限、審計內容等。這個過程需要下一代防火墻具備場景感知與自動的策略分發能力，因此提出以下兩種解決方案策略。

1、用組合式解決方案滿足用戶對功能和性能的需求：在數據中心出口需要大流量的應用場景，提供X系列全分布架構的高端防火墻，滿足海量吞吐。在性能要求不高的區域，提供E/T等智能下一代防火墻滿足更多安全功能的需求

2、在單品上采用異構方式兼顧性能和功能。例如智能下一代防火墻采用了多核網絡處理架構以及X86架構，兼顧網絡處理效率以及智能分析功能。

近年來，山石網科下一代防火墻在金融、互聯網行業得到了大量用戶的認可，在農行、建行、國泰君安、中國人壽等大型金融客戶中，山石網科下一代防火墻得到了大規模部署或是應用于客戶網絡的核心位置，這得益于山石網科在產品技術領域的多年積累，高穩定性是這些金融客戶對我們產品的一致評價。未來，我們將繼續深挖客戶需求，根據業務需求以及威脅攻擊鏈，為客戶提供更細化的解決方案

不同廠商的下一代防火墻側重點不同，有的側重于應用識別，有的側重于WEB防護，但是總體思路都是要解決業務應用上的安全問題，而不是像傳統防火墻一樣，僅關注網絡層的安全問題。

從安全技術發展角度看，現有依賴特征庫的檢測技術已經發展到了瓶頸了，跟不上威脅的快速變化了，一是威脅數量越來越多，二是威脅變種越來越快，這也是為什么現在未知威脅廣受關注，同時難于防范的原因。山石網科在這個問題上另辟蹊徑，在國內最早在防火墻上采用基于行為分析的技術進行威脅發現，不論未知威脅如何變化，但從行為上總是可以辨識的。這種基于行為分析的安全理念，以及在國際上成為防范未知威脅的主流趨勢。

越來越多的廠商推出自己的下一代防火墻產品，不同產品功能性能差異較大，客戶在選擇時，往往缺乏標準，不知道該如何去選擇。這是客戶當前面臨的一個問題。我們的建議是：首先，確認自身的安全需求是什么，在現有產品中選擇最匹配的。其次，參考國際權威咨詢機構的評價，例如Gartnar，這些機構通常對各個廠商的產品技術以及安全趨勢有較深入的了解，通過他們的評價可以更客觀的了解安全廠商的產品和技術。

山石網科對安全趨勢的看法

云安全服務是在云應用的新形式下，為保障云安全而產生的一種新的安全形態，它是現有安全技術的補充，但不是替代。在未來的安全中，這兩種安全形態將日趨融合，互為補充。例如威脅情報共享以及安全聯動。防火墻利用云安全服務，防火墻在情報分析、威脅感知上得到顯著增強。

安全的本質是防御威脅。定義下一代安全，更主要的是要關注什么是“下一代威脅”，要從威脅的傳播途徑、感染機制、破壞形式上去考慮，幫助用戶解決安全問題。用戶并不關注究竟什么是“下一代”，用戶關注的是我現在面臨什么威脅，如何解決?性能提升或是功能增強，都是下一代安全的表象，而非定義。

[page]

UTM締造者Fortinet解讀下一代防火墻

首先，并不是說傳統防火墻無法兼顧功能和性能，而是傳統防火墻只是基于傳統五元組的過濾方式，并無法基于應用進行識別和過濾，所以才有了下一代防火墻。所謂的功能與性能無法兼顧這一個“遺留”問題是NGFW上市的時候提出的說辭，并且現在已經解決。比如Fortinet的NGFW就能夠很好地平衡功能與性能，主要原因就是Fortinet的FortiGate下一代防火墻采用了混合架構的處理方式，使用多塊FortiASIC芯片來幫助核心CPU來卸載網絡和應用流量。一顆FortiASIC NP6網絡處理器可以處理40Gbps的網絡流量，并且對于流量中的數據包大小不敏感，并且處理IPv6網絡流量的性能與IPv4的網絡流量性能相同。這樣就能夠保證即使在很高流量負載的情況下，CPU的使用率仍然很低，這樣就能夠保障CPU還有能力處理突發的業務請求。FortiASIC CP8內容處理器能夠對加密流量進行解密，還可以對應用流量，IPS性能進行加速。通過全方位的流量卸載與加速，FortiGate足以保障用戶在開啟多功能時依然可以讓我們的下一代防火墻不成為網絡瓶頸。

我們需要明確兩點：純粹的邊界安全是不足夠的，安全性不足的無線網絡是巨大隱患。

傳統的防火墻或NGFW部署在企業和互聯網的邊界處，雖然表面上看可以過濾全部的流量，但也只是流出的流量，對于企業網內部不上到邊界網關的流量，比如無線網絡流量，傳統邊界網關+無線AC的獨立部署模式。但是FortiGate下一代防火墻集成了無線控制器功能，可以在FortiGate上面直接管理由FortiAP組成的無線網絡。由于FortiGate把無線網絡和有線網絡無縫地整合到了一起，在管理方面對于用戶來說就是一張網絡，因此可以對無線網絡部署IPS，IDS，應用控制，DLP，URL過濾等等NGFW的功能。

所以，FortiGate下一代防火墻將有線網絡的安全性完美地移植到了無線網絡中，而且還是通過一個管理窗口進行管理，極大地提升了安全性。

飛塔防火墻優勢所在

Fortinet的FortiGate下一代防火墻廣泛應用在我們日常能見到的各種行業領域，比如金融行業，互聯網行業，制造業等等。未來Fortinet將針對廣大的互聯網客戶進行分業務場景的解決方案定制。

行業應用廣泛的原因在于Fortinet提供的NGFW是無處不在的，從傳統部署的邊界網關部署模式，到內網隔離使用的NGFW，再到虛擬化環境，SDN環境的NGFW，甚至還在NGFW中集成了交換和無線功能。在數據中心場景，Fortinet提供完備的虛擬化和SDN解決方案，比如在Vmware NSX環境中，OpenStack環境中以及Cisco ACI架構中幫助數據中心解決內部東西向流量的安全問題。未來在云計算、虛擬化和SDN領域也將繼續擴大生態系統，為用戶提供更強大的安全解決方案。

下一代防火墻關注應用識別是必須的，但是Web防護能力則不必須

主流NGFW技術應與WAF配合，而非集成。因為從部署位置上，NGFW可以部署在任何地方，WAF定位于Web服務器前端;從技術原理上，NGFW是狀態檢測+深度包檢測，WAF是應用層代理。下一代防火墻部署的位置應該是在企業內網的業務組之間進行內網隔離，或者在企業與互聯網邊界進行整體企業網絡的安全隔離。而Web服務器的防護是有專門的WAF設備放在Web服務器前面進行基于Web的威脅防御的。雖然NGFW和WAF都是以應用層為主進行安全保護，但是NGFW具有防火墻的基因，能夠進行網絡層安全保護，這個是WAF無法做到的，雖然WAF對于應用的理解更細，能夠到參數級，但是只能針對Web應用，特點十分鮮明，而NGFW則是對全流量應用給予可視化及細粒度管控的。

對于未知威脅的防御，目前主流的的做法都是基于行為進行判定。FortiGate的其中一個功能就是基于行為打分。首先定義威脅權重，開啟后系統將自動開啟所有策略的流量日志。管理員可以調配每一個威脅項的權重值，以適配企業網絡的流量特點。然后可以根據每個用戶的具體分數進行重點控制，比如施加額外的應用控制、Web過濾等等。這也是一種實現幫助用戶針對性進行策略配置的方式。此外，隨著網絡攻擊越來越復雜，很多傳統的方式以及無法抵御目前的高級復雜攻擊，但是管理員通過FortiGate可以對網絡流量中的行為進行威脅權重定義，通過行為的蛛絲馬跡來發現攻擊和被攻擊對象。另外，FortiGate可以與FortiSandbox沙盒產品集成，通過將未知文件上傳到沙盒去進行虛擬執行，來進行基于行為的判定。對于大型企業網絡或者服務提供商網絡，FortiGate可以作為探針部署在網絡內部的很多地方，做細致的內網隔離的同時，為FortiSIEM提供內網多位置的安全情報，交由FortiSIEM進行統一分析，通過資產關聯，交叉關聯和清單關聯后確定風險等級。

下一代安全趨勢下防火墻主要角色依然是網絡隔離

防火墻的主要角色肯定還是網絡隔離，隨著威脅的演進，只在內外網之間放置防火墻進行隔離已經不夠，內網的安全隔離也要使用下一代防火墻，這樣可以提供內網全流量可視化。只有讓用戶看清楚自己網絡內的流量情況，才能進行更好的防御。

云時代，防火墻的重要性更加不可動搖。我們需要微分段、零信任、無處不在的NGFW來防御APT攻擊。遠在天邊的云安全服務只是安全體系的一部分，而不是全部。

企業用戶對下一代防火墻的應用目前有哪些困惑?

首先是用戶的投資過于集中在企業網絡邊界，實際上內網安全更重要。現在很多第三方咨詢公司和調研公司都講“零信任”網絡，就是說內網也不安全，必須把每個內網組、段、域當成做外網隔離一樣進行下一代安全過濾，最好也要部署NGFW，但實際上用戶并沒有這么想和這么做。

其次就是用戶把NGFW 當成傳統防火墻或VPN網關來使用。原因在于設備自身功能過多，配置復雜，報表展示不友好等等。雖然在NGFW的經典定義中功能只包含：防火墻、IPS、應用控制這三個主要功能，但是實際上業界所有的NGFW全都是有至少5個以上的安全功能，比如多了URL過濾，反病毒等等。功能多了之后，一旦配置不友好，改動不方便，用戶可能就會放棄使用這個功能，然后時間長了就變成了只當成普通防火墻來使用。另外就是功能做的不細致，導致實際使用效果不好，用途不大。

最后是實際性能與廠商聲稱的有時差距很大，比如企業網絡1Gbps出口帶寬，很難說拿一臺1Gbps性能的NGFW就能搞定，甚至有的廠商拿2Gbps，3Gbps的都不一定能搞定。如何選型是用戶采購的時候比較困惑的。

下一代防火墻性能、功能、服務缺一不可。

不管是企業內網還是數據中心網絡，帶寬都在迅速增加。尤其是在內網，由于接入設備多，長連接應用多，導致對于網絡設備的需求不論是新建，并發還是吞吐量方面都要求更高。作為網絡基礎設施設備的下一代防火墻肯定不能成為網絡的瓶頸。其處理性能要能夠跟得上網絡的發展，比如內網高性能交換的高密10G接口，以及40G、100G接口等等都要支持，當然性能也要能跟上。

功能方面，寄希望于一臺設備實現功能大一統其實并不現實。因為所處的網絡位置決定了這臺設備需要處理的流量特性。比如說NGFW，WAF，郵件網關之間肯定是不能相互替代的。NGFW需要解決的問題還是如何能夠提供給用戶更好的易用性。讓用戶充分將NGFW的功能發揮到最大化，這樣才能夠幫助用戶提升安全水平，如果這一代的安全都做不好，何談下一代安全呢。

另外就是服務，安全是一個動態的過程，攻防雙方都是持續不斷地進行較量，因此，作為防守方必須要能夠持續不斷地輸出最新的安全威脅情報。Fortinet在安全行業有十余年的積累，而且FortiGuard安全威脅研究與響應實驗室在歐洲，亞洲，和北美有200余位安全研究專家，為Fortinet的客戶提供24x7x365的安全威脅情報的更新。

[page]

下一代安全倡導者網康談下一代防火墻

網康NGFW采用高性能多核硬件架構及單路徑異構并行處理引擎，網絡流量平均分配于多個處理核心并行處理，所有數據包一次解碼即可進行全部威脅特征檢測。大幅優化了安全檢測和數據轉發效率，可有效保障高性能應用層處理，并降低多安全功能全開啟后的性能衰減。單路徑異構并行處理有別于傳統統一威脅管理(UTM)將多安全引擎簡單堆砌的方式。安全模塊間可開展有機聯動，各安全模塊產生的信息可實現全維度關聯，使網康NGFW具備強大的模塊間安全協同能力和威脅情報(Threat Intelligence)聚合能力。

此外，NGFW可以與網康云聯動，這樣大量的特征匹配工作量可以在網康云上完成，也就是業內常說的云查殺技術，并將云端的決策下發到NGFW端。本地+云端的模式可以在保證應用識別/檢測率的同時最大程度的保證單機性能。

下一代防火墻衍生新技術

當前市場上已經出現了很多下一代防火墻產品，根據不同公司對產品的不同理解以及不同的技術積累，在產品實現過程中就出現了很多差異性。網康科技在做具體實現的時候，也做出了很多差異性的實現。

云查殺技術

Gartner定義下一代防火墻的時候,云計算并沒得到普及，然而今天，“云”已經成為了眾多安全廠商競相采用的一種技術。結合防火墻產品，云主要表現出了兩方面的優勢。首先是特征數量更大和特征更新更快。受限于本地存儲空間大小和cpu運算能力，一般的獨立防毒墻，或者UTM、防火墻產品中嵌入的殺毒引擎所具備的特征庫數量基本上都是10萬級的，而云端的病毒庫由于不受計算能力和存儲能力的限制，因此擁有多達500萬以上的特征庫。而且云端安全引擎不會出現擴展性問題，隨著樣本庫的增長我們只需要調整云中心的硬件配置就可以了。需要指出的是，木馬的危害性遠遠超過病毒和蠕蟲，它是僵尸網絡、數據泄露的重要途徑，是對企業安全的巨大威脅。云安全技術是應對木馬的有力武器，事實上，由于木馬具有快速變種的特點，可以認為這種解決方案對于木馬是唯一有效的檢測方案。根據我們的測試，在和幾款主流的安全硬件的對比中，同樣的樣本數據，網康下一代防火墻的檢出率高達90%而其他設備的檢出率不超過60%。

數據防泄漏技術

DLP的要求同樣沒有出現在Gartner的定義中，然而隨著大數據時代的來臨，數據已經成為了企業的核心資產，在國家對公共信息保護日益嚴格的情況下，數據泄露在給企業帶來巨大損失的同時，還會為企業帶來法律風險。所以，下一代安全技術中有必要針對數據泄露設計專門的防范措施。當前的許多數據檢測都是發生在協議層的，例如FTP，HTTP等。而實際上，數據泄露卻有著很多的渠道，許多網絡應用都可以進行數據傳輸，例如網盤、P2P、IM等等，這些應用都有自己獨特的數據傳輸機制，這不是從協議層可以檢測出來的。所以要進行有效的數據泄露檢測，必須能夠針對具體應用來進行。而這恰恰是下一代防火墻的核心能力所在。網康科技針對300種能夠進行數據傳輸的應用進行了檢測，并支持66種文件類型的檢查。而且還支持通過正則表達式的形式來進行關鍵字規則限定，并且預定義了許多數據類型例如“身份證號”、“銀行卡號”、“信用卡號”等。

鏈路負載均衡與應用引流

除了在下一代安全技術的進一步加強外，網康還針對一些客戶的實際需求做出了一些極具實用價值的新功能。比如，網康科技觀察到很多客戶都具有多鏈路出口的場景，負載均衡對這些客戶有著明顯的價值，于是引入了鏈路負載均衡功能，這對于提升我們客戶的網絡吞吐有著很好的幫助。除了傳統的鏈路負載均衡功能，網康還將其獨有技術“應用引流”引入到了下一代防火墻平臺上，用戶可以根據應用類型來決定選擇哪條鏈路，這可以讓客戶將核心業務分布到優質高價鏈路上，將無關業務分布到劣質低價鏈路上，更好的發揮IT投資的價值。

更精細的解決方案防范未知威脅

網康下一代防火墻已成功部署在了遍布全國及各行業的企事業單位。在政府機構,網康下一代防火墻以其極高的安全性助力等級保護建設;在高校，以其強大的性能和可靠性保障數字化校園;在中小學，以其領先的應用控制能力保障三通兩平臺運行并構建綠色上網環境;在中小企業，以其多功能融合的設計帶來一專多能、安全可靠、簡單經濟的價值提升;在大型企業，以其卓越的全網可視、智能分析構筑技術支撐管理、技術管理并重的安全體系。

對于下一代防火墻來講，一旦具備了對人、應用、內容的識別能力，則意味著訪問控制能力由原先的五元組擴充至了八元組，控制一個數據包的訪問和轉發，可基于傳統五元組外加應用類型以及數據內容進行更加精細的過濾。同時，對于日益普遍的應用層威脅的防御，同樣需要建立在應用識別的基礎之上，不識別應用則根本談不上應用層威脅的防御。

在防范未知威脅方面，網康NGFW內建僵尸主機行為模型，并引入行為特征分析技術，將針對主機行為的統計分析結果與威脅模型進行關聯對比，根據其符合程度判別可疑的僵尸主機并及時預警，為管理者提早做出人工干預提供數據支撐。主動式防御還包括單位周期流量異常變化監控，可以應用、IP為維度對比出單位周期內的流量激增和驟減變化，幫助管理者預判風險。

迎合下一代安全趨勢

網康安全云收錄病毒文件樣本數量已達億級，惡意網址數量超20萬條，并由專業安全團隊保持實時分析和更新。網康NGFW實現了與網康安全云的智能聯動，在業界率先采用病毒和惡意網址云查殺技術。

云查殺技術由網康安全云負責病毒、惡意網址等威脅特征的匹配，并由網康NGFW快速執行云端下發的決策，云查殺技術在威脅檢出率、檢測性能及新威脅響應速度方面領先傳統本地檢測技術數十倍。簡單講，在下一代網絡安全防護體系架構中，NGFW既是云上大數據的采集者，同時也是云端決策的執行者。

大數據情報分析在終端的落地

目前企業用戶對防火墻的最大困惑，就是傳統的安全設備如何應對現代網絡環境中的高級威脅， 尤其是未知威脅。因為傳統安全設備的檢測方式十分依賴于病毒庫、特征庫等技術手段，而這類技術無法應對未知威脅。網康科技在研發NGFW之始就看到了傳統檢測方式的局限性，因此始終將主動式防御和風險預判作為應對現代高級威脅的解決之道，通過用戶行為特征分析判斷異常行為并及時預警，為管理者提早做出人工干預提供數據支撐。

此外，本地設備與云技術的結合也是用戶的另一個困惑。NGFW的一個熱點功能就是安全可視化，這種可視化并不是應用、用戶的可視化，而是全網范圍內的安全態勢感知，這是單一設備無法實現的。而云計算技術可以將海量數據關聯起來，動態搜集情報、智能解決威脅。在這方面網康可以做了一些嘗試，通過”云管端“安全架構模式解決了本地防火墻與云端的聯動問題，實現了大數據情報分析通過防火墻在受管控的終端上落地，防火墻的防護模式也由之前的孤島模式演進為協同模式。

功能和性能有如驅動之雙輪，要協同發展，缺一不可。防火墻部署于內網和外網連接的咽喉要道，肩負著流量控制、病毒檢測、入侵監測、內容過濾等多種功能，因此開啟全部功能后可能會導致處理性能大幅度下降。盡管這個問題無法完全避免，但通過高性能多核硬件架構及單路徑異構并行處理引擎，報文經過一次解包后由多個模塊并行檢測，是可以有效降低性能衰減的。

[page]

深信服安全專家王淮談下一代防火墻

現在是移動互聯網時代，隨著移動應用的激增，不僅導致了我們對帶寬需求的提升，也引入了更多新的威脅。和過去相比，更多的業務由C/S架構轉向B/S架構，我們網絡面臨的安全威脅也從過去簡單的網絡層攻擊，變為了應用層的攻擊，而且新型威脅的出現頻率也更高，可以說我們的網絡環境和安全需求發生了很大的變化，這也能從今年的RSA大會主題“change”看得出來。這些變化，是傳統防火墻無法有效應對的，所以下一代防火墻應運而生。

深信服是國內最早發布下一代防火墻產品的廠商，深信服深刻的認識到了傳統防火墻在新的安全形勢下的不足，因此在設計之初就充分考慮了安全防御功能和性能的需求。

深信服下一代防火墻(Next-Generation Application Firewall)NGAF提供了更精細的應用層安全控制，能夠有效識別并控制2000多種應用，包括數百種移動應用;NGAF還提供了全面的內容級安全防護，如Web應用安全防護，漏洞防護，入侵防護，病毒防護，應用層DDoS攻擊防護，網頁篡改防護，內網信息泄露防護等;NGAF同樣也提供了完備的傳統安全功能，如傳統防火墻的接入控制、NAT、VPN等。

為了實現強勁的應用層處理能力，NGAF拋棄了傳統防火墻NP、ASIC等適合執行網絡層重復計算工作的硬件設計，采用了更加適合應用層靈活計算能力的多核并行處理技術;在系統架構上，NGAF也放棄了UTM多引擎，多次解析的架構，而采用了更為先進的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應用層威脅統一進行檢測匹配，從而提升了檢測效率，實現了萬兆級的應用層安全防護能力。

針對不同移動辦公安全架構和安全組件，下一代防火墻會針對不同用戶，甚至不同應用場景做出什么具體改變，同時會衍生出何種新技術?

考慮到移動辦公的安全需求，深信服下一代防火墻集成了IPSec和SSL VPN功能，員工在外出差或者在家里，無論手機或者電腦都能利用VPN技術安全連接到工作網絡。但是，開展移動業務的設備(PC、手機、pad)和方式(開發App、虛擬化)多種多樣，需要部署多種系統接入平臺和安全設備，會帶來用戶體驗不佳以及IT管理困難等問題。并且，由于員工手機被盜、不安全的Wi-Fi連接、以及企業與個人數據混合等因素，都給移動化帶來安全風險，極易導致企業敏感數據泄露。為了更好地適應移動終端多樣化的特點，更好的管控移動終端的安全威脅，深信服還將推出EasyConnect應用發布、EasyApp安全加固、EMM企業移動管理等多套組件，幫助用戶在任何時間、任何地點，使用任何終端都能安全地接入業務系統。

相對于友商，貴司NGFW的應用用戶領域有何不同?未來將針對那些行業有更細化的解決方案?

深信服NGAF產品面向應用層設計，能夠精確識別用戶、應用和內容，具備完整的L2-L7層安全防護體系，強化了在Web層面的應用防護能力，不僅在開啟全部安全功能的情況下還保持有強勁的應用層處理能力，還能全面替代傳統防火墻等安全設備。因此，對于深信服來說，我們并沒有刻意界定客戶群體，我們希望NGAF產品能夠保護更多用戶的網絡安全。經過最近幾年的拓展和推廣，深信服NGAF產品已經獲得了非常多的客戶認可和使用，截止2015年6月，已經有超過一萬家客戶部署了深信服NGAF產品，其中包括100多家部委省廳級單位，200多家大型企業集團，80家運營商和金融單位，以及90多家知名教育單位。

現階段我們針對大部分行業都有相應的NGAF解決方案，未來我們打算針對廣域網全網安全監測、虛擬化云數據中心安全防護、安全咨詢和加固等方面推出更加細化的解決方案。

借助于深信服的云安全平臺、第三方安全情況共享和威脅情報預警與處置機制，能夠快速幫助客戶建立全網安全監測體系，實現全網安全狀況實時動態感知、威脅快速定位、安全快速響應等目標;虛擬化技術已經成熟，云數據中心正逐步實現，但針對虛擬網絡卻沒有有效的安全管控手段，深信服虛擬化軟件防火墻專為虛擬化云環境而設計，其擁有和物理設備一樣的功能，并能以虛機的形式存在于虛擬網絡中，提供了虛擬環境下完美的邊界控制、流量檢測、威脅防御、集中管理及行為審計等功能;深信服也組建了專業的安全咨詢服務團隊，依托深厚的安全知識體系和豐富的行業經驗，綜合國際國內標準、政策要求和實踐優化經驗，深信服能夠為客戶搭建全面的、無縫整合的動態信息安全保障體系，保障客戶網絡的持續安全，并為客戶提供未來3-5年的安全建設規劃。

保障網絡安全，維護網絡空間主權和國家安全已上升到國家戰略，而全球多個國家都把網絡空間看作是第五大國家主權空間，未來網絡空間戰爭CyberWar可能一觸即發。深信服也力爭能為國家和民族的網絡安全事業做出更大的貢獻!

下一代防火墻特別關注的應用識別和web防護能力么?下一代防火墻如何防范未知威脅?

下一代防火墻提倡的是二到七層全面的安全防護，既能起到傳統安全產品的作用，又能識別網絡中的用戶、理解網絡中的應用和內容、防御網絡內容中的威脅，因此應用識別是下一代防火墻全面的威脅識別和防護技術的基礎和必備要求。

Garnter報告顯示，當前網絡中超過75%的攻擊來自于應用層。互聯網技術的高速發展，使得Web業務成為當前互聯網應用最為廣泛的業務。大量的在線應用業務都依托于Web服務進行，Web業務不斷更新，大量web應用快速上線。因此，如果下一代防火墻產品不能提供Web應用防護功能，將是一個很大的安全缺陷，甚至可以說，是否具備Web安全防護功能，是衡量一款下一代防火墻產品優越與否的重要標志。

深信服NGAF產品主要通過兩種方式來防范未知威脅，分別是設備上的灰度威脅關聯分析引擎檢測和云端的云安全引擎平臺檢測。

NGAF的灰度威脅關聯分析引擎對威脅行為建模，在灰度威脅樣本庫中，形成木馬行為庫、SQL攻擊行為庫、病毒蠕蟲行為庫等數十個大類行為樣本，根據他們的風險性初始化一個行為權重。設備進行單次解析后，若發現異常行為，立即將相關信息反饋給灰度威脅樣本庫，基于已有威脅樣本庫，將特定用戶的此次行為及樣本庫中的行為組合，進行權值計算和閥值比較，如果某個用戶行為超過了預設的閥值，就會判定此類事件為威脅事件。深信服通過不斷的循環驗證和權重微調，形成了準確的權重知識庫，為檢測未知威脅奠定了基礎。

深信服云安全引擎平臺，主要是收集NGAF設備發現的可疑流量，在云平臺執行多維度的沙盒檢測，進而確認是否是威脅行為，如果是威脅行為，將快速生成威脅防御特征，并同步下發到全球所有在線的深信服NGAF上，從而實現快速應對未知威脅和僵尸網絡的能力。

云安全服務成為了下一代安全服務的趨勢，防火墻本身在下一代安全中將扮演什么角色?

最近，云安全服務日漸流行，很多專業的安全廠商都在做。在深信服看來，下一代安全服務是大數據和云服務的結合。深信服也基于自身對客戶的需求和安全服務的深刻理解，推出了自己的云安全服務。深信服云安全服務主要包含三個部分，分別是：云安全引擎平臺、威脅情報預警與處置中心、云端安全掃描中心。

深信服云安全引擎平臺在客戶許可的情況下，可以實時收集部署在用戶網絡中的NGAF設備發現的可疑流量。在云安全引擎平臺中，首先進行海量樣本分揀，然后將分揀后的樣本放入相應的沙盒執行檢測，如果通過沙盒檢測確認是威脅行為，將生成新的威脅防御特征，并更新云安全引擎平臺的威脅防護特征庫，同時將此安全防護特征下發到全球所有在線的NGAF設備。由于該系統是一個生態的自循環系統，因此可以在最短的時間內發現和防御未知威脅。

威脅情報預警與處置中心是深信服云安全引擎與NGAF設備聯動的又一完美體現。云安全引擎能夠自動收集最受業界關注的熱點安全事件，在安全事件爆發后的48小時內提供完整的0Day漏洞檢測和防護方案，并推送到全球所有在線的NGAF設備上，設備上的威脅處置中心模塊在用戶確認許可的情況下將自動對被保護的對象進行掃描檢測，并對掃描發現的威脅提供一鍵防護，用戶只需點擊一鍵防護按鈕，設備即可自動生成針對所有被發現的威脅的防護策略。

云掃描平臺是深信服結合多年web應用安全研究成果和大量信息安全事件應急響應經驗之下開發出的一款安全掃描平臺，該平臺旨在幫助廣大用戶進行遠程深度web網站安全掃描、指紋識別、漏洞驗證，全面預知web應用系統安全現狀，并提供專業的安全加固建議。

在深信服看來，NGAF不僅僅是網絡中一道堅實的安全防護長城，還充當著安全風險感知、威脅探測、大數據提取、信息上報、防護落地的重要角色，是實現下一代安全的必不可少的重要一環。

企業用戶對下一代防火墻的應用目前有哪些困惑?

實際上，下一代防火墻替換傳統安全設備已經是大勢所趨。自2011年深信服發布國內第一款下一代防火墻之后，國內幾乎所有的主流安全廠商都陸續發布了下一代防火墻產品，并作為其公司戰略主推的產品。經過幾年的發展，大部分客戶已經認可了下一代防火墻的價值，下一代防火墻已真正成為最主流的安全產品。

近期，我們深信服也做了一個調研統計，我們對近一年所做的項目進行了分析梳理，發現有超過60%的項目是以下一代防火墻立項的，這其中就包括很多的企業客戶。進一步對我們的企業客戶進行跟蹤回訪，發現他們對于下一代防火墻的認知度很高，而且他們確實面臨著很多的應用層安全威脅，所以選擇用NGAF來替換傳統安全設備，進而加固網絡安全。很多的企業客戶也非常注重測試效果，到底NGAF怎么樣，測一測就知道。另外一些企業客戶比較關注性價比，不過得益于國產廠商的崛起，他們大部分也表示承擔得起。

下一代防火墻通過硬件本身的性能提升還是功能多來定義下一代安全?

在深信服看來，無論是性能還是功能都應該是下一代防火墻關注的重點，下一代防火墻應該兼具應用層高性能和全面的安全防護功能。

從處理性能來看，下一代防火墻著眼于應用層安全保護，而應用層的安全核查，就需要對數據包進行重組、還原、匹配等操作，因此對于硬件資源的消耗比較大，并且人們對于帶寬需求是不斷提升的， 這就要求下一代防火墻設備在防護性能上能夠不斷滿足需求。采用高性能硬件平臺，或者在產品設計上采用更先進的架構，都是提升設備處理性能的一種選擇。

從功能上來看，我們知道安全建設有一個木桶原則，即安全防御體系建設的好壞取決于最短的那塊板，安全防御上不能存在短板，存在短板可能會被繞過，導致原有安全建設形同虛設。因此，涵蓋安全功能的全面性，也是衡量下一代防火墻優劣的重要標準。

事實上，無論是Garnter下一代防火墻的定義，還是我國的第二代防火墻標準，里面都強調了高性能和功能全面性。

[page]

綠盟科技：NGFW作為一個網關類的產品，最重要的是穩定性，然后是功能和性能。

在穩定性方面綠盟科技下一代防火墻采用首創疏通安全雙引擎。綠盟科技下一代防火墻將處理4-7層安全的處理引擎和2-3層安全的處理引擎做了分離，分別叫做安全引擎和數通引擎，安全引擎可能需要經常性的更新，在可靠性上低于數通引擎。而數通引擎由于其處理的業務屬于較為穩定和基礎的業務，所以在可靠性上更高。分離上的好處就是當安全引擎升級或故障時，數通引擎仍然可以順暢的進行轉發工作，保障業務不會中斷，這樣很好的解決了下一代防火墻的穩定性的問題。

在性能方面，硬件上采用了64位多核CPU并配以高速多核并發處理技術，軟件上采用了國際領先的一體化引擎技術，各個安全模塊并行處理，使性能有了一個質的飛升。

在功能方面，打造云、管、端的防護體系，在云端對數據進行分析;在管道方面，融合了應用識別、入侵防護、URL過濾、內容過濾、防病毒、帶寬管理等功能，來保障管道的暢通;在終端方面，通過資產識別功能，被動識別內網資產屬性，對于有風險的資產進行預警，將威脅扼殺于搖籃之中;

下一代防火墻會特別關注應用識別，我們知道現在的網絡中超過75%的流量來自于應用層，而現在應用通過端口和協議已經無法定位，如果不能精準識別應用，防火墻就如同虛設。對于web防護，下一代防火墻主要是輔助。

對于未知威脅的防范，應該打造一個生態環境，而不僅僅是靠下一代防火墻一個產品，應該是多個專業產品的組合，從而達到最佳防護效果。下一代防火墻除了本身具備一些防范能力，還應該能夠與云聯動，這樣才能及時而全面的達到最佳防護效果。綠盟科技下一代防火墻支持與云聯動，并且支持與綠盟科技綠盟威脅分析系統聯動，形成一套完整的未知威脅防護方案。

NGFW的本身性能和功能都重要的因素，還有一個重要的因素是本身的安全性，另外還需要與多個專業的安全產品相組合來定義下一代安全。至少要有云、大數據分析、ATP防御等，這些靠下一代防火墻是無法完成。