近些年，網絡活動急劇增加，也日趨復雜。安全威脅呈現多樣性，依附于應用的安全威脅越來越多，靠傳統的方式已經無法應對，對防火墻產品提出了新的要求。因此，一款可以提供應用層安全防護與傳統網絡安全防護的設備成為企業目前最需要的產品，用以應對Web 2.0時代來自應用層的安全挑戰。目前，下一代防火墻正以不可阻擋之勢，在逐步替代傳統防火墻和UTM。

那么，究竟什么樣的防火墻才可以真正稱為下一代防火墻(NGFW)?面對產品眾多、紛繁復雜的下一代防火墻市場，我們究竟該如何甄別、采購下一代防火墻?如何部署和管理下一代防火墻?以上問題是諸多企業用戶正在面臨的困惑，為解決廣大用戶的困擾，51CTO記者就上述問題采訪了深信服安全產品運營總監李煥波先生。

51CTO記者：您認為下一代防火墻必須具備哪些功能?

李煥波：下一代防火墻的特點是融合了諸多安全功能，所以說它的安全功能是比較全面的。首先，下一代防火墻必須具備傳統防火墻的功能，在此基礎之上，還需要具備應用識別、應用管控以及流量控制的功能。此外，下一代防火墻還需包含入侵防護、惡意代碼防護、Web攻擊防護、漏洞的主動和被動掃描以及全網監控等功能。

51CTO記者：在您看來，下一代防火墻具備哪些優異的特性?

李煥波：下一代防火墻主要有三個特性，分別是功能的融合、混合包的高性能以及簡潔易懂的風險報表。

功能的融合性：安全產品的功能融合是未來的趨勢。下一代防火墻構建了一個較為完整的防御體系，沒有明顯的安全防護短板。在安全域邊界，包括未來云數據中心的虛擬機邊界，即使單點部署下一代防火墻，也可以實現比較完整的防護。而如果使用傳統的防火墻、IPS、防病毒網關、Web應用防火墻(以下簡稱WAF)串聯部署的方案，在對云數據中心的虛擬機集群進行防護時，需要在每個虛擬機上分別安裝獨立的安全防護產品，這需要消耗大量的虛擬機資源，顯然不符合未來的發展趨勢。因此，融合的安全產品是大勢所趨。

具備混合包的高性能：混合包指的是64KB到1518KB大小的UDP包、21KB大小的網頁，以及p2p、視頻等多種實際應用流量，它們的流量構成更加接近用戶的實際使用環境。在此流量模型下面啟用下一代防火墻的全部功能，性能衰減不能超過30%。這是第二代防火墻標準對性能指標的要求，也是區別于UTM的一個關鍵因素。

簡潔易懂的風險報表：下一代防火墻能夠從用戶業務系統的維度展現用戶網絡面臨的安全風險問題，令用戶可快速完成安全事件的回溯和取證，減少運維工作量。例如，用戶往往重點關注OA、ERP等系統是否存在漏洞、是否遭受攻擊，以及是否有信息被竊取。下一代防火墻能夠通過大數據分析，把所有信息通過生成報表的方式進行展現，用戶通過報表可以清楚了解OA、ERP等應用系統的安全狀況。此外，下一代防火墻能夠清晰地定位內網存在安全隱患的終端、終端所使用的IP地址，甚至是終端的用戶名。所以我們認為這是下一代防火墻的第三個比較具備優異性的特點，它能夠呈現簡潔易懂的風險報表，提升用戶的運維效率，這是傳統的安全產品所不具備的。即使是不具備安全知識的用戶，也能夠通過查看下一代防火墻的風險報表，做好企業的信息安全建設。#p#

51CTO記者：什么樣的下一代防火墻才算是一款優秀的產品?

李煥波：判斷下一代防火墻產品優秀與否，還需要看它是否能夠為用戶帶來更好的安全防護體驗。我們認為一款好的下一代防火墻產品應該能夠形成從檢測到防御再到響應的安全閉環，構建更加安全的模型，而不是像傳統防火墻、IPS或者WAF這類產品，更多關注的是防御。面對當前網絡環境中的各種安全風險，僅僅注重防御是不夠的，因為未知風險的爆發非常快，我們需要加強檢測能力并在檢測和防御之間形成聯動，從而幫助用戶快速響應、應對安全事件。具體而言，主要從以下三個方面進行衡量：

是否具備較全面的威脅檢測能力。威脅檢測能力主要包括對外部攻擊的檢測、對內部網絡流量的檢測，以及對內部業務系統漏洞的實時檢測。通過雙向檢測的機制，設備能夠發現黑客針對某個真實存在的業務系統漏洞的有效攻擊，還能找到內網中外發的異常流量，并及時上報到云端進行未知威脅檢測。

是否具備強大的防御能力。一方面，下一代防火墻要能夠防范網絡中L2-L7層各種已知威脅;另一方面，還要求能夠抵御未知威脅。通過云安全中心檢測出未知威脅后，能夠形成聯動的防御機制，及時對未知威脅進行告警、攔截。

是否具備威脅信息的快速收集、更新、共享以及響應處理的能力。威脅信息包括漏洞和惡意軟件。對于漏洞而言，用戶可以從廠商的漏洞挖掘、收集，以及最新漏洞爆發后的響應等方面衡量廠商的能力。對于惡意軟件，可以從廠商對惡意軟件的發現、分析手段進行評判，特別是針對形成僵尸網絡的惡意木馬的分析能力。這是考驗下一代防火墻產品是否優秀的一個非常關鍵的指標。由于當前網絡環境中威脅層出不窮，下一代防火墻必須具備較好的威脅信息的收集、快速響應和處理的能力。

51CTO記者：面對產品繁多、紛繁復雜的下一代防火墻市場，用戶該如何甄別并采購下一代防火墻?

李煥波：用戶可以采用以下三種方式甄別和采購下一代防火墻。

1、參考國家權威機構的標準或者國際上權威調研機構的分析報告。在下一代防火墻領域，我國目前已經發布了第二代防火墻標準，用戶可以參考該標準中對下一代防火墻功能、技術和性能的定義采購產品。此外，也可以參考國外如Gartner、NSS Labs等調研機構的分析報告，如Gartner的企業防火墻魔力象限報告。

2、若用戶十分重視產品的實際安全防護效果，最好對產品進行安全測試。下一代防火墻產品的好與不好，通過測試能夠很明顯地體現出來。借助上述提到的優秀下一代防火墻產品的評判標準：威脅監測、防御、快速響應，用戶可以安排多個品牌的產品進行橫向測評，這是比較有用的方法。如果用戶沒有測試條件，可以參考國際上如NSS Labs等權威測評機構針對下一代防火墻安全防御能力的測評報告。

3、產品是否成熟。目前市場上的下一代防火墻產品較多，幾乎每家安全廠商都推出了自己的下一代防火墻，然而有的廠商僅僅是將現有的上網行為管理、UTM等安全產品命名為下一代防火墻，其產品并不具備下一代防火墻所定義的功能。所以，用戶在選購下一代防火墻時需要關注產品的成熟度。如產品的正式發布時間、投入市場是否已超過兩年、產品是否被應用于國家的關鍵行業，比如運營商、政府等行業的關鍵業務網。#p#

51CTO記者：用戶根據需求采購下一代防火墻后，該如何部署設備?有哪些注意事項?

李煥波：下一代防火墻的部署模式主要有路由部署、透明部署、旁路部署和混合部署四種模式，其中，旁路部署模式是傳統防火墻所不具備的，這意味著下一代防火墻可以只做流量檢測。這種模式金融用戶用得比較多，他們不想在網銀業務區串聯部署太多設備，而只希望監測業務區內的安全狀況，采用旁路部署的模式就比較適合。

另外，下一代防火墻可以部署在多個網絡邊界，如互聯網出口、數據中心邊界、廣域網邊界等。企業總部內部一般還劃分了很多安全域，如辦公區、內部的業務區和安全運維的管理區等，各個安全域之間也需要部署下一代防火墻進行安全隔離。

有一點需要特別注意，下一代防火墻必須能夠適應虛擬化的部署環境，能夠以軟件的方式部署到虛擬化平臺上，而且不能受制于虛擬化平臺的品牌。下一代防火墻要能夠兼容不同的虛擬化平臺，可在不同的平臺上進行部署，在虛擬化環境中提供安全防護功能。目前已有許多客戶提出了虛擬化需求，需要軟件化的產品。作為代表未來安全發展趨勢的下一代防火墻產品，必須能夠快速跟進、滿足用戶需求。

51CTO記者：您認為企業該如何管理下一代防火墻?有哪些細節需要留意?可以給企業用戶提供一些建議么?

李煥波：談到下一代防火墻的管理，企業要清楚保護的目標對象，并定期查看風險分析報告。設有分支機構的單位，還要在總部設置一個專門負責管理和維護下一代防火墻的運維崗位。

要清楚保護的目標對象：企業用戶需要在下一代防火墻里建立用戶和業務系統列表，便于后續觀察、分析整個安全域和安全日志。

定期查看風險分析報告：企業用戶需要定期查看下一代防火墻的風險分析報告，并及時跟進、處理高風險的安全威脅。我們在跟客戶溝通的過程中了解到，許多單位在部署安全設備后并沒有關注其分析報告，主要是由于以前的報告不夠人性化，基本上是以IP地址、端口的維度展示網絡中的風險，用戶不容易看懂，所以就不愿意去看。而下一代防火墻的風險報表相當直觀，而且清晰易懂，用戶可以直接看到業務系統和用戶終端存在的安全問題，知道該如何去解決問題。

在總部設置專門負責管理和維護下一代防火墻的運維崗位：企業管理者可以利用下一代防火墻的全網安全監控功能，對部署在各個分支的下一代防火墻的實時狀態、防御情況和安全日志做統一的監控和搜集分析。這樣一來，總部運維人員就能實時了解分支節點發生的安全問題，做到及時響應和處理。通過一個人的運維能夠實現全網幾十個甚至上百個節點的安全設備的管理和運維，對每個分支的安全狀態都能夠做到分析可控。#p#

51CTO記者：您認為下一代防火墻是剛需還是彈需?

李煥波：現在看來，下一代防火墻已經是剛需了。

從國家的監管力度來看，近幾年出臺的各種安全監管政策、中央網信辦的成立等各種信息無不給我們傳遞著：信息安全建設是必須的，而且信息安全建設和業務系統的建設是同步的。比如現在的各種云平臺的建設，它也是需要同步做好安全建設的，這是很明確的剛需。

國家監管單位推行等級保護的力度也在加大，等級保護建設被用戶接受的程度也越來越高，很多單位主動提出要參考等保的要求做安全建設需求。在等保建設中，下一代防火墻已經替代傳統防火墻成為最核心的安全產品，它不僅能夠提供傳統防火墻的功能，還能進行入侵防范以及惡意代碼防范。未來，等級保護要想在更多應用場景進行使用，降低等級保護建設成本是迫切需要解決的問題。等級保護建設由于涉及眾多設備，所需投入的費用是相當高的，如為了滿足入侵防范及惡意代碼防范，傳統方案采用傳統防火墻、IPS、防病毒網關等設備串聯部署。然而，通過部署下一代防火墻能夠有效減少傳統防火墻、IPS等設備，使整體建設成本下降。隨著等級保護建設的推動，下一代防火墻已經是剛需了。

51CTO記者：在可預見的未來，您認為下一代防火墻將會沿著怎樣的朝向發展?

李煥波：未來，下一代防火墻肯定會通過云技術實現大威脅情報平臺的建設。如某家安全廠商的下一代防火墻產品部署在成千上萬的用戶網絡中，每個用戶的設備相當于一個安全節點，一個探測未知威脅的節點。當某個用戶的網絡中出現未知的可疑流量，在得到用戶的授權后，設備可以將可疑流量上報到云端的云數據中心里。通過云沙盒技術進行分析，檢測可疑流量里是否真的存在安全問題。如果存在問題，就將其定義為威脅，并給出相應的防護策略，將策略發送到全球所有在線的設備上。下一代防火墻和云是密不可分的，一方面，下一代防火墻必須能夠對云的安全做保護;另一方面，下一代防火墻的安全機制里面也會融入云。

此外，除了通過云來構建威脅情報共享平臺，下一代防火墻將來也一定會與虛擬化以及大數據分析相結合。

在虛擬化方向：首先，下一代防火墻在未來一定會針對虛擬化環境進行部署。其次，下一代防火墻必須能夠防御虛擬化平臺的風險，發現虛擬化軟件自身的漏洞。

在大數據方向：由于下一代防火墻的融合性，它集成了非常全面的流量檢測功能，它有能力并且能夠搜集到大量而全面的業務流量、威脅等信息，并能夠通過云匯集到一個地方進行統一的大數據分析，分析出來的結果將更加簡潔、易懂和可靠。與此同時，這種方式也提高了整個運維管理的效率，而且因為下一代防火墻生成的報表簡單易懂，對運維人員的專業度要求也不再那么高。

總結

專訪中，李煥波在談到如何衡量下一代防火墻產品是否優秀時，還特意強調了下一代防火墻的應急響應處理能力。他表示，2014年Openssl、Shellshock等漏洞曝光后，由于用戶無法找到針對這些緊急漏洞的檢測工具，只能對所有的服務器和業務系統進行一一排查，導致用戶端在漏洞爆光后的響應處理周期相當長。因此，下一代防火墻在未來還應當具備及時的“應急響應處理”能力，能夠做到一旦出現新的威脅、新的熱點漏洞，不僅能夠將威脅的特征迅速更新到設備里，還能夠幫助用戶對內部業務系統進行快速檢測，幫助用戶快速形成防護策略，形成真正的安全閉環。