【51CTO.com 獨家特稿】在過去的十年中，以防火墻為主的安全防御體系得到了廣泛的應用，但是，歷史曾無數次證明，隨著企業合理安全規劃的失誤和缺失，即便是部署了傳統防火墻，CSO和IT經理們驚訝的發現，入侵依然時有發生，這不僅是因為受到多方的攻擊，更重要的是黑客越來越傾向于針對應用程序的攻擊。

事實上，那些認為通過防火墻進行訪問控制就可以抵御絕大部分攻擊的想法，已經不適合如今的網絡安全現狀了。越來越多的黑客不在乎防火墻關閉了多少端口，他們的目標直指防火墻一般都打開的端口——80和443等，比如通過HTTP攜帶惡意數據進行跨站腳本攻擊等，或者將P2P通信應用在80端口上或干脆直接封包在HTTP協議中，而黑客完全可以通過未經授權的P2P通信進入企業網絡內部。

留給CSO們的問題也再清楚不過了，是淘汰防火墻更換其他邊界安全防護設備呢？還是改進傳統的防火墻，使之能夠不斷應對新的安全威脅？

為了解答上述疑惑，我們不妨先來看是否淘汰防火墻的問題，目前業內普遍認為，防火墻不會消失，只會性能提升，功能改進。事實是最好的真理，下面兩個案例就能充分說明防火墻為什么不會消失：

圖1

這是一種常用的安全組網方式，把內部網絡和外部網絡通過防火墻隔離開，通過在防火墻上采用各種技術，來防止外部網絡的不安全因素進入內部網絡。在這種組網中，內部網絡是不對外開放的區域，它不對外提供任何服務，所以外部用戶檢測不到它的IP地址，也難以對其進行攻擊。通過防火墻的代理功能，內部網絡用戶可以正常訪問Internet。

圖中的DMZ區，對外提供各種服務，如網頁瀏覽、郵件、FTP……等，換句話說，DMZ區的系統是對外開發的信息平臺，正因為這樣，才使這個區域成為黑客攻擊的首要目標，但由于它與內部網絡是隔離的，所以即使受到了攻擊，也不會危及內部網絡的安全。

圖2的這種組網比較適用于有跨地域業務的企業，其中內網和Internet的互訪與圖1一樣，只是增加了內部網絡與外界的聯系。除了經由防火墻訪問外部網絡外，內部網絡不與Internet發生任何聯系，通過和路由器采取的安全技術相配合，就保證了內網的安全，相比之下，這種組網方式要比圖1的安全性更強。

由此可見，防火墻的應用不僅僅是抵御網絡層的攻擊，更重要的是整個安全策略中的一個非常重要的環節，因此，防火墻不可或缺。

但CSO們面臨的問題還是沒有解決。這也給新一代防火墻，或者說新一代安全網關的發展提出了嚴峻挑戰。在防火墻技術的演進中，作為擁有我國自主知識產權的天融信公司，給我們提出了新的防火墻概念：X3-CyberSecX。

所謂X3-CyberSec是指：X-Service、X-Management、以及X-Wall。天融信認為，安全防御應該是立體的，不應單靠某一產品，強調在三個維度上的能力的打造，塑造業務系統的防護能力、管理能力和運維能力。通過對安全防護技術的整合和部署、全局化的安全態勢感知、以及安全策略的統一制定，借助集中統一的安全管理和策略下發、以及各種安全部件對策略的執行，實現防護能力和管理能力的提升，借助業務生命周期的系列服務，保持業務系統的持續安全和持續優化。

在經歷了單CPU、到NP技術、到ASIC與FPGA協處理技術、到多核技術的探索之后，采用多核多級處理器的超百G安全網關——“擎天”，在天融信安全研發團隊的努力下，即將面市。

據天融信公司介紹，“擎天”繼承了網絡衛士防火墻系統的功能優勢，采用業界領先的TMC架構，可以實現性能上的多級擴展，隨需擴展安全動力，整機性能超100G，真正實現安全網關處理性能從超萬兆到超百G的跨越。再加上動態自適應負載均衡保障服務的連續性，完備的全網安全控制功能構建完整可信的網絡平臺，通暢的無縫切換降低斷網幾率和故障恢復時間，綠色、節能、可持續應用等特點更節省數據中心空間，真正實現了低成本購買產品高回報反饋用戶的設計思路。“擎天”自身的高性能特點將為云計算中心或大型數據中心撐起一片安全的天空。“擎天”將會為您的網絡和業務帶來真正可靠、可信、全方位的保障服務。

網絡衛士防火墻系統集成了防火墻、IPSEC VPN、SSL VPN、帶寬管理、防病毒、入侵防御、內容過濾等多種安全功能；用戶可根據實際需求靈活選擇針對行業應用特點及不同性能的產品。據天融信公司統計：遍布全國兩萬九千多個主干網和業務網在天融信TOPSEC平臺保護下平穩運行。

“擎天”采用采用真正模塊化設計思路，TMC架構中的各模塊卡相互獨立，可以隨業務流量的需要任意擴展，而且擁有多項國家重點專利技術。而整機的三個層面：管理控制層面、數據轉發層面、安全動力層面構成了全面的“一機三層面”立體防護系統。再加上自我保護能力極強的安全處理卡，以及具有完全自主知識產權的TOS (Topsec Operating System)安全操作系統，擺脫以往的直接處理理念，更多使用中間層架構，減少了系統對硬件的依賴性。同時，多種安全引擎有效保障了訪問控制、內容過濾、帶寬管理、抗攻擊等功能的安全性。
 
擎天的的很多亮點中，有幾個值得我們注意：
●多核多級，整機超百G
“擎天”安全處理卡具有8個處理內核，每個處理內核支持4個硬件線程，相當于4×8=32個單線程CPU，擁有高速的數據傳輸和轉發能力。整機多個安全處理卡即可實現多級多核的處理能力，性能遠遠超越其他單一多核產品。同時，擁有高速的交換背板，可以提供超100G的吞吐量，支持所有端口L2/L3線速轉發，完成安全網關處理性能從超萬兆到超百G的跨越。

正是這一點，完全可以滿足運營商級別安全需求。也奠定了擎天系列新一代防火墻的用戶市場，一定是大型或超大型機構。

●性能擴展滿足可持續應用需求
“擎天”各模塊卡均相互獨立，且均支持熱插拔。整機性能、端口密度、安全功能等模塊均可擴展，并且所有的擴展可以簡單的通過增加模塊卡的方式進行，對網絡結構幾乎沒有影響，也無須對系統進行徹底的升級，如此一來就可以滿足用戶不斷變化的需求。

由于良好的可擴展性設計，使得X-Firewall的理念得以實現，真正做到了“我一顆螺絲釘，哪里需要往哪里擰”。

●動態自適應負載均衡，保障服務的連續性
當多安全處理卡運行時，可自動實現多安全處理卡安全應用的負載均衡功能。系統如果檢測到有備份的安全處理卡，會將會話自動同步到備份安全處理卡上，實現會話備份。如果主安全處理卡出現故障，備份安全處理卡能夠接替主安全處理卡繼續工作且保證流量不中斷，為用戶提供高可用性和可靠性。

在大型數據中心環境中，能夠利用集群技術和負載技術提供安全服務的產品，在市場中并不多見，這對數據中心架構變革也產生了重要意義。

●綠色低碳節能
“擎天”可以在不增加設備的情況下，通過增加接口卡，整機多接口卡，單安全處理卡等端口輸出，既節省了交換投入，又在不增加設備的同時，構建綠色環保網絡，達到節省電耗、空間、節省投資及冷卻等IT成本，滿足節能減排的政策要求。

現在CSO面前的迷霧終于有了曙光。不過，或許有人還是會問一下，究竟什么事下一代防火墻？在記者看來，所謂下一代防火墻技術，或者說新一代安全網關的發展，一定是走統一平臺，模塊化、智能防護之路。

不過，在目前云計算和虛擬化大興其道的情況下，防火墻技術還有很大的發展空間，云內的安全、云間的安全、云外的安全，都需要致力于保護企業安全的商家們花心思仔細研究。雖然在記者采訪結束后，天融信公司依然沒有透露了擎天——新一代防火墻的上市具體日期，但也表示，將在今年7月份，擎天或許會與大家見面。