【IT168 资讯】8月31日消息，深信服与IT168共同举办的“深信服下一代防火墙线上发布会”成功举办。本次线上发布会受到了安全业界人士的广泛关注。深信服科技市场技术总监殷浩先生为大家详细解析了下一代防火墙产生的背景和深信服下一代防火墙的技术特点。本次发布会我们同时邀请了5位热心网友现场与我们互动，以下是5位网友与殷浩的精彩问答：

　　问题一：主持人你好，殷浩你好，非常高兴参加深信服下一代应用防火墙的发布会，刚才听您介绍了，下一代防火墙在原有防火墙基础上，有很多新的防护功能，包括了两千多种的黑客的攻击，以及病毒的防护，还有其他的包括灰度的攻击，都有一些检测提升的方案。我想问一下，在管理上是否比原来防火墙更加的复杂，从管理员角度上，它的使用和整体部署上是不是有一些比较复杂困难的地方?

　　殷浩：您的这个问题问的挺专业的，一看就是用过很多安全设备。其实首先一点，我们下一代防火墙在用户的界面上一定要做到更加的简单，能够简化我们的运维，这是我们管理界面时候一个出发点。

　　既然集成这么多功能，如何能够简化，必须有一个关键的链条把这些功能串接起来，这就是用户和应用。我们在进行安全策略制定的时候完全是基于用户和应用。比如说一个用户有什么样的访问控制权限，有什么样的这种过滤的需求，我们可以在一个策略里面进行完整的制定，从而避免了这种传统的串糖葫设备你要打开多个界面进行多次部署，多次制定这个策略的一个过程。

　　问题二：主持人好，殷浩你好，我主要是考虑成本这块，以及以后的运维费用，它是按年收还是按以后怎么收取的方法?

　　殷浩：下一代防火墙一般的费用构成有两种，第一就是硬件，第二就是后续每年需要购买的这种特征库的升级，这好比我们病毒软件一样，如果说我们不去购买病毒库的更新，很难去防御一些及时的最新的安全风险和威胁。目前我们NGAF这种升级的特征库分为三种。第一种是这种基础的漏洞库，第二种是Web应用威胁库。第三种是病毒等等恶意内容的特征库的升级。

　　问题三：下一代防火墙除了你上面说的万兆级，我们中小企业，千兆级或者百兆级有没有不同类型的产品线?

　　殷浩：深信服我们发布的NGAF有十多款不同的产品，可以提供从入门的三百兆级别的防火墙一直到万兆级，根据市场的不同用户的需求我们还会不断的丰富我们产品线，首先比如说很适合中小企业用的一款产品，比如是1720这样一款产品，在开启防火墙功能的时候可以达到七百兆的一个吞吐性能，如果说我开启了所有的应用层安全防护功能，他的吞吐量是在六百兆左右。这样大家可以看到它的性价比是很高的，百兆级设备开启所有功能性能是不会下降的。

　　问题四：我想问一下，下一代防火墙的承载能力会不会有延迟?

　　殷浩：刚才我们也介绍了，我们下一代防火墙它是在应用检测上做到一个整合，通过单次解析架构来做的，所以说这种延时我们可以做到微秒级，好比说原来你要过IPS、防病毒或者外部过滤等等三台设备三次延时，现在我们只需要在内核级做一个整合之后只有一次延时，我们可以做到微秒级的。

　　问题五：第一个问题，刚才你提到下一代防火墙集成了防病毒的功能，我想了解一下，防病毒库是我们深信服自己的，还是说集成第三方公司的?第二个问题，传统的防火墙是基于包过滤的检测技术，NGAF这个产品是采用多核的技术，可以实现应用层数据的检测和管控。我想了解一下，基于应用层的数据检测和管控功能开启的时候，它的这个转发性能和吞吐率以及延时跟没有开启时的一个变化是什么样的?

　　殷浩：先回答您的第一个问题，病毒方面的技术我们是跟第三方一个厂商来进行合作的，但是在这块，我们的合作是一个更加深入的，我们不是简单的把它的这种病毒引擎直接集成过来，而是要求它针对我们引擎所能够支持的特征库的语言进行一种匹配。他只是提供一个特征库，这个特征库完全可以跟我们检测引擎相匹配的，这样可以提高检测的一个效率了。

　　第二个问题，开启性能之后，我刚才举出这个例子，这种1720我们很典型的产品，防火墙的吞吐量是七百兆，如果你开启IPS加上专门的Web服务器防护之后，它的性能可以达到六百兆，损失是只损了大概10%的性能。你可以看到这样一种性能的变化，跟传统的UTM比是有一个天壤之别的，传统的UTM一台千兆设备开启了防病毒之后，它的吞吐量往往只有两三百兆。