從2007年Palo Alto Networks發(fā)布世界第一款下一代防火墻(NGFW)產(chǎn)品至今已經(jīng)好幾年了，在這期間云計算、大數(shù)據(jù)、社交網(wǎng)絡、BYOD相繼出現(xiàn)，下一代防火墻開始面臨更多全新的挑戰(zhàn)，這些挑戰(zhàn)來自網(wǎng)絡管控、運維管理、APT攻擊與未知威脅防御等方面。

經(jīng)過這幾年的發(fā)展，市面上的生產(chǎn)下一代防火墻的廠商越來越多，產(chǎn)品的功能不一。這造成有很大一部分企業(yè)用戶在選購下一代防火墻時，都會很糾結。不知道誰家的產(chǎn)品比較好，誰家的產(chǎn)品比較適合自己。同時，如何更好的部署、管理下一代防火墻，從而保障企業(yè)的安全，也成為企業(yè)運維管理者所面臨的問題。

近日，51CTO記者采訪了業(yè)內(nèi)安全專家、山石網(wǎng)科產(chǎn)品市場總監(jiān)賈彬先生，與大家分享下一代防火墻的采購、部署、管理的經(jīng)驗。

51CTO記者：您認為下一代防火墻必須具備哪些功能?

賈彬：從Gartner對下一代防火墻的定義來看，除了具備傳統(tǒng)防火墻的功能和基礎攻擊防護功能外，下一代防火墻最大的特點是基于應用的識別和應用的威脅防護。其中，應用識別是指通過特征的方式識別應用，然后對應用進行訪問控制。所以，下一代防火墻主要指的不是網(wǎng)絡層的控制而是應用層的控制。在應用的威脅防護方面，傳統(tǒng)防火墻對攻擊防護和威脅防護能力并沒有強制要求。而下一代防火墻對威脅防護有明確要求，它更加注重應用層的攻擊防護。

此外，下一代防火墻還需要具備可視化管理的功能?，F(xiàn)在，安全管理由繁到簡，從復雜的管理模式向簡單的管理模式轉變。如何能讓管理員清晰的掌握到網(wǎng)絡中的狀態(tài)、網(wǎng)絡流量的狀態(tài)，業(yè)務的狀態(tài)以及用戶的行為狀態(tài)，決定了管理員如何實施管控策略進行管控。通過可視化的管理，可視化的呈現(xiàn)可以幫助管理員有效的實施管控，實施安全防護。

51CTO記者：在您看來，下一代防火墻有哪些優(yōu)異的特性?

賈彬：在管控方面，因為下一代防火墻是通過應用特征來進行管控識別，所以在管理下載類應用時它更直接有效。

目前，我們對網(wǎng)絡的認知從單純的邏輯的IP和端口，提升到了應用和用戶層面。以前，管理員管理的是192.168.1.1和80端口，而現(xiàn)在管理的是WEB服務器和某個人如何去訪問web服務器。同時，很多的應用不能通過傳統(tǒng)的網(wǎng)絡去管理，比如：像迅雷這類P2P下載的軟件，它的端口是不斷變化的，用傳統(tǒng)的網(wǎng)絡控制方式的時候，它很難通過端口的方式來對應用進行辨識，但是基于應用識別的管控能對其進行有效管理。

在威脅防護方面，傳統(tǒng)防火墻對應用層的攻擊防護能力存在有短板。因為針對應用層的威脅越來越多，特別是基于web的攻擊，基于應用層的攻擊越來越猖獗，所以具備應用層威脅防護功能的下一代防火墻更加適用于當前的互聯(lián)網(wǎng)時代，更加適用于當前的應用爆發(fā)的時代。#p#

51CTO記者：什么樣的下一代防火墻才算是一款優(yōu)秀的產(chǎn)品?

賈彬：作為一款優(yōu)秀的下一代防火墻，應該更能夠適用于客戶需求，并解決用戶所面臨的問題。除了具備上面提到的應用識別、邊界防護以及可視化管理等功能外，下一代防火墻在威脅防護和管控能力方面得到本質(zhì)的提升，這主要體現(xiàn)在對于APT類新型攻擊的防護方面。目前，在IT圈我們經(jīng)常會看到某個企業(yè)被攻擊，信息被竊取。它遭受了新興的、可持續(xù)性的APT類攻擊。面對這種攻擊，單純做邊界防護遠遠不夠。即使有了特征防護以及應用層的攻擊防護，由于變種、掃描以及持續(xù)對脆弱點進行檢測等攻擊方式，攻擊者仍舊可以攻擊攻陷目標。所以，APT的攻擊防護對下一代防火墻來說是很大的考驗。

下一代防火墻如何能夠更好的通過各種檢測方式，對新興的APT類攻擊進行防護。特別是能夠不僅體現(xiàn)在邊界防護上，還包括侵入網(wǎng)絡內(nèi)部的威脅是否能有相應的檢測和防護機制，這可以作為判斷其是否優(yōu)秀的一個條件。

51CTO記者：面對紛繁復雜的下一代防火墻市場，用戶該如何甄別并采購下一代防火墻?

賈彬：用戶應基于企業(yè)自身對業(yè)務的要求和安全的特點進行下一代防火墻的甄別采購。比如說：不同的企業(yè)對安全的要求程度不同，業(yè)務的分布和業(yè)務的狀態(tài)也不同。例如：如果企業(yè)只做一個辦公網(wǎng)絡的出口，采購誰家的產(chǎn)品都可以。但是如果企業(yè)是要保護自身的核心業(yè)務時，下一代防火墻的威脅檢測和威脅防護能力方面就需要用戶更多的關注。

安裝防火墻不單是做網(wǎng)絡隔離，更重要的是做網(wǎng)絡安全的防護。那么，如果需要保護的是一個企業(yè)的業(yè)務或者服務器、數(shù)據(jù)中心等這些關鍵的區(qū)域。為防止業(yè)務中斷，關鍵信息不被黑客竊取，在選擇下一代防火墻或其他安全防護設備的時候，更看重的是防火墻在威脅防護能力、性能和方式方法上能否有效的去應對它目前面臨的威脅，特別是在網(wǎng)絡中被攻擊的方式，這樣才能保護企業(yè)的關鍵業(yè)務不被黑客或者不法分子所竊取、破壞。#p#

51CTO記者：根據(jù)企業(yè)需求采購了下一代防火墻后，該如何部署?有哪些需要注意的地方?

賈彬：第一種場景，是一種典型的部署方式，做互聯(lián)網(wǎng)的出口。此時它的重要作用指的是作為整個企業(yè)內(nèi)部網(wǎng)絡對外出口的防護，用來阻止來自于互聯(lián)網(wǎng)上的各種攻擊、掃描、入侵，以及實現(xiàn)訪問控制的作用。這種場景，一般是在企業(yè)網(wǎng)絡的出口位置串行接入下一代防火墻。

第二種場景，在各個安全域之間做隔離。很多企業(yè)有自己的分支機構，有不同的樓宇，不同的區(qū)域，不同的部門，不同的體系。例如企業(yè)的研發(fā)區(qū)域和財務區(qū)域，它們屬于企業(yè)的核心區(qū)域。這個區(qū)域里的計算機終端以及服務器，都屬于核心的業(yè)務，需要進行專門的保護。因此，這些區(qū)域與其他的非業(yè)務部門或不重要部門的網(wǎng)絡區(qū)域需要進行隔離，進行訪問控制，做安全防護。此時，下一代防火墻的作用就是保護重點區(qū)域不會受到網(wǎng)絡攻擊和影響。部署時也需串行接入，并在區(qū)域中間進行訪問控制配置。

第三種場景，服務器前端的防護控制。我們常說的網(wǎng)站服務器：ERP服務器、OA服務器等服務器前端需要做防護控制，以及防火墻的安全防護。部署下一代防火墻的主要作用就是保護重要的業(yè)務和服務器，阻止攻擊，防止信息被竊取。對服務器來說，無論是來自企業(yè)內(nèi)部還是外部的訪問都被認為是不安全的訪問，都需要做身份認證，需要進行權限控制，需要進行網(wǎng)絡防護的攻擊檢測等。

除此之外，還有很多的場景。其實，只要企業(yè)里面需要做安全防護的位置，或者重要的業(yè)務區(qū)域，安全要求不同的區(qū)域之間都要做安全的這種防火墻的部署，安全隔離和防護。

需要注意的地方，主要包含：身份認證和網(wǎng)絡私接行為限制。

身份認證：所有的訪問控制都要和企業(yè)業(yè)務結合起來。人員的訪問控制需要設置OA，與身份認證做聯(lián)動，這樣在防火墻上控制時，不是經(jīng)過IP做控制，而是與企業(yè)人員的郵箱認證，身份認證，OA認證等認證后的用戶名去做控制，即使員工在不同的IP接入網(wǎng)絡，也會受到訪問規(guī)則的限制，這是需要注意的地方。因為很多的用戶，雖然知道身份認證的好處但是往往使用IP做終端的接入，或說控制方式。這對管理，對未來是有很大隱患的，未來可能被攻擊者通過偽造IP來訪問企業(yè)網(wǎng)絡，從而達到信息竊取的目的。所以身份認證是需要注意的一個點。

網(wǎng)絡私接行為限制：對于企業(yè)內(nèi)部的安全性來說，網(wǎng)絡私接行為需要進行限制。因為網(wǎng)絡私接是導致很多威脅接入的一個非常重要的途徑。比如現(xiàn)在流行的，360WiFi，或者京東賣的wifi接入的，插入一個小東西可以當個無線路由器，使每個計算機都成為無線路由器的一個接入點，這樣手機，pad,等其他人設備都會掃描這臺設備從而接入你的網(wǎng)絡，這樣，這些無線私接點就會成為威脅入侵的一個非常便利的途徑，可以輕易繞開企業(yè)內(nèi)部的安全防護機制，繞過防火墻，直接計算機，直接進入到企業(yè)網(wǎng)絡中，這種部署，這種企業(yè)管理是需要注意的。#p#

51CTO記者：您認為企業(yè)該如何管理下一代防火墻?有哪些細節(jié)需要留意?可以給企業(yè)提供一些建議么?

賈彬：在管理方面，管理員要合理清晰的劃分出每個區(qū)域的安全，先要定好安全域，關鍵業(yè)務區(qū)域與非重要業(yè)務區(qū)域。進行區(qū)域劃分后，把不同的訪問區(qū)域的訪問規(guī)則和訪問要求通過設備上的管理策略或者配置的方式定義起來。

在日常運維中，需要關注的不是設備的運行狀態(tài)，而是網(wǎng)絡的業(yè)務的運行狀態(tài)，以及整體的風險狀態(tài)。舉例來說，假如企業(yè)中的一臺機器中了病毒，或者被攻擊，那這臺機器需要第一時間能夠呈現(xiàn)給企業(yè)管理人員，而且能夠讓管理員能夠清楚直接的定位這臺機器，從而通過各種的可視化的方式清楚知道這臺機器發(fā)生了哪些事情，造成了哪些影響，進而幫助管理員來解決這些問題，這是運維管理中最常見的問題。

還有一種最常見的問題，網(wǎng)絡出現(xiàn)故障，網(wǎng)絡無法訪問或者中斷。這時管理員有很多的手段去排查故障，但是，其實在防火墻里有很多的管理工具，可以幫助管理員很好的定位故障點，加快他的運維效率，節(jié)約運維成本。雖然是細小的點，也體現(xiàn)出一個企業(yè)在管理上，和管理人員的管理成熟度上的一個重要體現(xiàn)。

51CTO記者：您認為下一代防火墻是剛需還是彈需?

賈彬：下一代防火墻已是剛需。雖然現(xiàn)在聽起來下一代防火墻好像還沒有那么多的客戶，但實際上有很多客戶已經(jīng)在嘗試使用下一代防火墻。為什么說是剛需呢?我們可以看到，現(xiàn)在無論是互聯(lián)網(wǎng)上還是企業(yè)內(nèi)網(wǎng)，對網(wǎng)絡的訪問隔離和訪問防護要求，都已經(jīng)不再僅僅是在網(wǎng)絡層面了。例如：企業(yè)要限制員工下載流量，這時傳統(tǒng)防火墻是無法解決的。因為端口是不斷變化的，通過傳統(tǒng)防火墻的端口控制方式很難限制流量，只有下一代防火墻的應用識別才能起到限制作用。同樣，就威脅防護能力來說，原來只有一些網(wǎng)絡端口掃描，但是現(xiàn)在都是有針對性的攻擊。特別是諸如互聯(lián)網(wǎng)公司，移動互聯(lián)網(wǎng)公司等業(yè)務和網(wǎng)絡結合緊密的企業(yè)，它們的知識產(chǎn)權和數(shù)據(jù)就是生命線。這些數(shù)據(jù)是競爭對手所關注，不法分子所想要竊取的內(nèi)容。此時的攻擊威脅防護，僅靠傳統(tǒng)防火墻提供的網(wǎng)絡層攻擊防護和特征攻擊防護是不夠的。更重要的是對APT的攻擊防護，以及其他針對性攻擊的防護。這對企業(yè)來說是非常重要的，可以說一個設備決定了一個企業(yè)的生死存亡。所以，下一代防火墻是剛需。

51CTO記者：在可見的未來內(nèi)，您認為下一代防火墻將會沿著怎樣的朝向發(fā)展?

賈彬：作為一個從網(wǎng)絡層面升級到應用層面的設備，下一代防火墻已經(jīng)達到了甚至是體現(xiàn)了它的價值。未來，下一代防火墻將更加關注的是在威脅防護能力上的提升。因為無論是傳統(tǒng)防火墻，入侵檢測，還是下一代防火墻，大部分的下一代墻還都是基于特征的檢測方式。然而現(xiàn)在的新型攻擊，特別是未知威脅、變種威脅，都能很輕易的穿越這種特征檢測方式。因此，如何很有效防護未知威脅，特別是變種威脅，加強下一代防火墻的威脅檢測能力，是未來防火墻持續(xù)需要提高的地方。