從2007年Palo Alto Networks發布世界第一款下一代防火墻(NGFW)產品至今已經好幾年了，在這期間云計算、大數據、社交網絡、BYOD相繼出現，下一代防火墻開始面臨更多全新的挑戰，這些挑戰來自網絡管控、運維管理、APT攻擊與未知威脅防御等方面。

經過這幾年的發展，市面上的生產下一代防火墻的廠商越來越多，產品的功能不一。這造成有很大一部分企業用戶在選購下一代防火墻時，都會很糾結。不知道誰家的產品比較好，誰家的產品比較適合自己。同時，如何更好的部署、管理下一代防火墻，從而保障企業的安全，也成為企業運維管理者所面臨的問題。

近日，51CTO記者采訪了業內安全專家、山石網科產品市場總監賈彬先生，與大家分享下一代防火墻的采購、部署、管理的經驗。

51CTO記者：您認為下一代防火墻必須具備哪些功能?

賈彬：從Gartner對下一代防火墻的定義來看，除了具備傳統防火墻的功能和基礎攻擊防護功能外，下一代防火墻最大的特點是基于應用的識別和應用的威脅防護。其中，應用識別是指通過特征的方式識別應用，然后對應用進行訪問控制。所以，下一代防火墻主要指的不是網絡層的控制而是應用層的控制。在應用的威脅防護方面，傳統防火墻對攻擊防護和威脅防護能力并沒有強制要求。而下一代防火墻對威脅防護有明確要求，它更加注重應用層的攻擊防護。

此外，下一代防火墻還需要具備可視化管理的功能。現在，安全管理由繁到簡，從復雜的管理模式向簡單的管理模式轉變。如何能讓管理員清晰的掌握到網絡中的狀態、網絡流量的狀態，業務的狀態以及用戶的行為狀態，決定了管理員如何實施管控策略進行管控。通過可視化的管理，可視化的呈現可以幫助管理員有效的實施管控，實施安全防護。

51CTO記者：在您看來，下一代防火墻有哪些優異的特性?

賈彬：在管控方面，因為下一代防火墻是通過應用特征來進行管控識別，所以在管理下載類應用時它更直接有效。

目前，我們對網絡的認知從單純的邏輯的IP和端口，提升到了應用和用戶層面。以前，管理員管理的是192.168.1.1和80端口，而現在管理的是WEB服務器和某個人如何去訪問web服務器。同時，很多的應用不能通過傳統的網絡去管理，比如：像迅雷這類P2P下載的軟件，它的端口是不斷變化的，用傳統的網絡控制方式的時候，它很難通過端口的方式來對應用進行辨識，但是基于應用識別的管控能對其進行有效管理。

在威脅防護方面，傳統防火墻對應用層的攻擊防護能力存在有短板。因為針對應用層的威脅越來越多，特別是基于web的攻擊，基于應用層的攻擊越來越猖獗，所以具備應用層威脅防護功能的下一代防火墻更加適用于當前的互聯網時代，更加適用于當前的應用爆發的時代。#p#

51CTO記者：什么樣的下一代防火墻才算是一款優秀的產品?

賈彬：作為一款優秀的下一代防火墻，應該更能夠適用于客戶需求，并解決用戶所面臨的問題。除了具備上面提到的應用識別、邊界防護以及可視化管理等功能外，下一代防火墻在威脅防護和管控能力方面得到本質的提升，這主要體現在對于APT類新型攻擊的防護方面。目前，在IT圈我們經常會看到某個企業被攻擊，信息被竊取。它遭受了新興的、可持續性的APT類攻擊。面對這種攻擊，單純做邊界防護遠遠不夠。即使有了特征防護以及應用層的攻擊防護，由于變種、掃描以及持續對脆弱點進行檢測等攻擊方式，攻擊者仍舊可以攻擊攻陷目標。所以，APT的攻擊防護對下一代防火墻來說是很大的考驗。

下一代防火墻如何能夠更好的通過各種檢測方式，對新興的APT類攻擊進行防護。特別是能夠不僅體現在邊界防護上，還包括侵入網絡內部的威脅是否能有相應的檢測和防護機制，這可以作為判斷其是否優秀的一個條件。

51CTO記者：面對紛繁復雜的下一代防火墻市場，用戶該如何甄別并采購下一代防火墻?

賈彬：用戶應基于企業自身對業務的要求和安全的特點進行下一代防火墻的甄別采購。比如說：不同的企業對安全的要求程度不同，業務的分布和業務的狀態也不同。例如：如果企業只做一個辦公網絡的出口，采購誰家的產品都可以。但是如果企業是要保護自身的核心業務時，下一代防火墻的威脅檢測和威脅防護能力方面就需要用戶更多的關注。

安裝防火墻不單是做網絡隔離，更重要的是做網絡安全的防護。那么，如果需要保護的是一個企業的業務或者服務器、數據中心等這些關鍵的區域。為防止業務中斷，關鍵信息不被黑客竊取，在選擇下一代防火墻或其他安全防護設備的時候，更看重的是防火墻在威脅防護能力、性能和方式方法上能否有效的去應對它目前面臨的威脅，特別是在網絡中被攻擊的方式，這樣才能保護企業的關鍵業務不被黑客或者不法分子所竊取、破壞。#p#

51CTO記者：根據企業需求采購了下一代防火墻后，該如何部署?有哪些需要注意的地方?

賈彬：第一種場景，是一種典型的部署方式，做互聯網的出口。此時它的重要作用指的是作為整個企業內部網絡對外出口的防護，用來阻止來自于互聯網上的各種攻擊、掃描、入侵，以及實現訪問控制的作用。這種場景，一般是在企業網絡的出口位置串行接入下一代防火墻。

第二種場景，在各個安全域之間做隔離。很多企業有自己的分支機構，有不同的樓宇，不同的區域，不同的部門，不同的體系。例如企業的研發區域和財務區域，它們屬于企業的核心區域。這個區域里的計算機終端以及服務器，都屬于核心的業務，需要進行專門的保護。因此，這些區域與其他的非業務部門或不重要部門的網絡區域需要進行隔離，進行訪問控制，做安全防護。此時，下一代防火墻的作用就是保護重點區域不會受到網絡攻擊和影響。部署時也需串行接入，并在區域中間進行訪問控制配置。

第三種場景，服務器前端的防護控制。我們常說的網站服務器：ERP服務器、OA服務器等服務器前端需要做防護控制，以及防火墻的安全防護。部署下一代防火墻的主要作用就是保護重要的業務和服務器，阻止攻擊，防止信息被竊取。對服務器來說，無論是來自企業內部還是外部的訪問都被認為是不安全的訪問，都需要做身份認證，需要進行權限控制，需要進行網絡防護的攻擊檢測等。

除此之外，還有很多的場景。其實，只要企業里面需要做安全防護的位置，或者重要的業務區域，安全要求不同的區域之間都要做安全的這種防火墻的部署，安全隔離和防護。

需要注意的地方，主要包含：身份認證和網絡私接行為限制。

身份認證：所有的訪問控制都要和企業業務結合起來。人員的訪問控制需要設置OA，與身份認證做聯動，這樣在防火墻上控制時，不是經過IP做控制，而是與企業人員的郵箱認證，身份認證，OA認證等認證后的用戶名去做控制，即使員工在不同的IP接入網絡，也會受到訪問規則的限制，這是需要注意的地方。因為很多的用戶，雖然知道身份認證的好處但是往往使用IP做終端的接入，或說控制方式。這對管理，對未來是有很大隱患的，未來可能被攻擊者通過偽造IP來訪問企業網絡，從而達到信息竊取的目的。所以身份認證是需要注意的一個點。

網絡私接行為限制：對于企業內部的安全性來說，網絡私接行為需要進行限制。因為網絡私接是導致很多威脅接入的一個非常重要的途徑。比如現在流行的，360WiFi，或者京東賣的wifi接入的，插入一個小東西可以當個無線路由器，使每個計算機都成為無線路由器的一個接入點，這樣手機，pad,等其他人設備都會掃描這臺設備從而接入你的網絡，這樣，這些無線私接點就會成為威脅入侵的一個非常便利的途徑，可以輕易繞開企業內部的安全防護機制，繞過防火墻，直接計算機，直接進入到企業網絡中，這種部署，這種企業管理是需要注意的。#p#

51CTO記者：您認為企業該如何管理下一代防火墻?有哪些細節需要留意?可以給企業提供一些建議么?

賈彬：在管理方面，管理員要合理清晰的劃分出每個區域的安全，先要定好安全域，關鍵業務區域與非重要業務區域。進行區域劃分后，把不同的訪問區域的訪問規則和訪問要求通過設備上的管理策略或者配置的方式定義起來。

在日常運維中，需要關注的不是設備的運行狀態，而是網絡的業務的運行狀態，以及整體的風險狀態。舉例來說，假如企業中的一臺機器中了病毒，或者被攻擊，那這臺機器需要第一時間能夠呈現給企業管理人員，而且能夠讓管理員能夠清楚直接的定位這臺機器，從而通過各種的可視化的方式清楚知道這臺機器發生了哪些事情，造成了哪些影響，進而幫助管理員來解決這些問題，這是運維管理中最常見的問題。

還有一種最常見的問題，網絡出現故障，網絡無法訪問或者中斷。這時管理員有很多的手段去排查故障，但是，其實在防火墻里有很多的管理工具，可以幫助管理員很好的定位故障點，加快他的運維效率，節約運維成本。雖然是細小的點，也體現出一個企業在管理上，和管理人員的管理成熟度上的一個重要體現。

51CTO記者：您認為下一代防火墻是剛需還是彈需?

賈彬：下一代防火墻已是剛需。雖然現在聽起來下一代防火墻好像還沒有那么多的客戶，但實際上有很多客戶已經在嘗試使用下一代防火墻。為什么說是剛需呢?我們可以看到，現在無論是互聯網上還是企業內網，對網絡的訪問隔離和訪問防護要求，都已經不再僅僅是在網絡層面了。例如：企業要限制員工下載流量，這時傳統防火墻是無法解決的。因為端口是不斷變化的，通過傳統防火墻的端口控制方式很難限制流量，只有下一代防火墻的應用識別才能起到限制作用。同樣，就威脅防護能力來說，原來只有一些網絡端口掃描，但是現在都是有針對性的攻擊。特別是諸如互聯網公司，移動互聯網公司等業務和網絡結合緊密的企業，它們的知識產權和數據就是生命線。這些數據是競爭對手所關注，不法分子所想要竊取的內容。此時的攻擊威脅防護，僅靠傳統防火墻提供的網絡層攻擊防護和特征攻擊防護是不夠的。更重要的是對APT的攻擊防護，以及其他針對性攻擊的防護。這對企業來說是非常重要的，可以說一個設備決定了一個企業的生死存亡。所以，下一代防火墻是剛需。

51CTO記者：在可見的未來內，您認為下一代防火墻將會沿著怎樣的朝向發展?

賈彬：作為一個從網絡層面升級到應用層面的設備，下一代防火墻已經達到了甚至是體現了它的價值。未來，下一代防火墻將更加關注的是在威脅防護能力上的提升。因為無論是傳統防火墻，入侵檢測，還是下一代防火墻，大部分的下一代墻還都是基于特征的檢測方式。然而現在的新型攻擊，特別是未知威脅、變種威脅，都能很輕易的穿越這種特征檢測方式。因此，如何很有效防護未知威脅，特別是變種威脅，加強下一代防火墻的威脅檢測能力，是未來防火墻持續需要提高的地方。