【IT168专稿 文/kaduo】随着IT技术的不断进步，现在企业所面临的网络安全威胁越来越严峻，而下一代防火墙的出现正是恰逢其时。那么下一代防火产生的背景是怎样的?其又都有哪些应用场景?企业如何应用好下一代防火墙等等……带着这些问题，我们采访了深信服技术总监殷浩先生。

▲深信服技术总监殷浩先生

　　下一代防火墙产生背景

　　殷浩认为，目前整个网络安全形势呈现了四个比较显著的发展趋势和变化，这也为下一代防火墙的出现带来了发展机遇和推动：一是目前有75%以上的安全威胁是来自于应用层的;二是黑客会更加关注我们数据的价值进行窃取而非炫耀;第三企业目前的安全架构多是采用串糖葫芦式的多台设备串行部署的安全防护架构;最后一点是目前企业在应用层的安全防护需求传统的安全设备的性能是无法满足企业用户的要求。

　　基于以上四个发展趋势，殷浩具体谈到，“目前75%以上的安全威胁都来自于应用层，而传统的安全设备却无法防御，就好像黑客已经用枪了，而我们还处于冷兵器时代的盾牌。因此，我们需要应用层的防护手段来抵御这些全新的安全威胁。”

　　据调查显示，目前黑客的攻击目的已经不在是简单的炫耀，而是以经济利益为目的攻击。但是面对黑客攻击行为的这样变化，企业传统的安全防护却还未做出有效应对。传统的安全防护只是在企业的网络边界进行防御，可以说是管进不管出。殷浩形象的比喻到：“传统的安全防护就好比一个门卫，当外部的人员进入企业内部时，门卫会对你进行身份的检查然后在放人进去。但是当外来人员从企业内部出去的时候，门卫往往是不会去做检查。如果外来人员携带了企业的敏感资料带走而没有检查，就可能造成泄密。”这种从内往外发送内容的合法性传统防火墙是没有关注的。

　　企业传统的安全防护手段，为了解决这些安全问题，往往会采用防火墙、IPS、IDS、DLP等等多种设备串接，但这样做就带来了一些很明显的问题，一是设备成本高了，二是单点故障也增加了，而且其中任何一台设备性能稍微偏低一点就会成为整个链路当中的一个性能瓶颈。最后一点目前网络已经达到了万兆级的性能，而安全却更多的还处于千兆级。殷浩谈到，“因此，企业需要一种万兆级的安全设备来匹配网络的性能。基于以上的这些趋势，才促进了下一代防火墙的产生。”

　　下一代防火墙的出现，为企业解决了燃眉之急。殷浩介绍到，基于刚刚提到了四个推动下一代防火墙产生的因素，下一代防火墙也具备以下四个特点：一是能提供四到七层的安全防护，二是双向的内容保护，三是具备更加完整的安全防护功能，最后是在提供所有安全功能的同时可以提供万兆级的性能，这也避免了安全设备成为网络的瓶颈。

　　下一代防火墙应用场景

　　1、数据防泄密的应用：目前，数据的价值已被广大企业所认识到，因此数据的防泄密成了企业必须做的工作。而下一代防火墙具备了全面的数据防泄密功能。一方面是针对Web服务器的网页防窜改功能，下一代防火墙可以第一时间检测出网页的异常，即使网站被黑客攻破，下一代防火墙依然可以帮助企业将正确的网页自动替换。二是下一代防火墙的双向内容检测在提高检测精度上做了大量的工作，可以很好的防止在流量外发过程中敏感信息的泄密。

　　2、应用层的全面防护：殷浩谈到，“针对应用层的安全防护，下一代防火墙也做了很多的强化。其防护的理念更强调事前、事中、事后全方位的防护。”事前，如果企业的IT管理人员意识上的疏忽，安全策略没有做好会造成很多的漏洞，下一代防火墙通过自动检测方式，帮助IT管理人员发现目前防护的Web服务器是什么版本、什么类型，以及对应的漏洞存在哪些风险，并给出检测报告，给出一个更好的安全防护策略;事中，下一代防火墙的检测涵盖了黑客入侵的整个过程。从前期的扫描，再到事中的入侵、提权，再到最后破坏这三个阶段，下一代防火墙都有对应的技术手段进行防护;最后是事后的防窜改，万一黑客成功入侵，企业也有一系列的防护手段和措施。

　　3、数据中心、广域网的应用：殷浩表示，数据中心更强调高性能和一体化防护，下一代防火墙通过其万兆级的性能和一体化的部署很好的帮助企业提升了完整的安全防护，同时也降低了安全设备的部署成本;而在广域网则强调的是异常流量的清洗，通过下一代防火墙的异常流量清洗功能，企业可以把广域网的垃圾流量、威胁流量给排除清洗掉，保证了广域网的纯净。

　　企业如何应用下一代防火墙

　　谈到了下一代防火墙在企业的具体应用，殷浩介绍了四种场景可以考虑部署下一代防火墙。一是互联网出口，互联网出口是很有必要的，可以帮助企业解决来自互联网的安全风险。二是互联网业务发展区，如网上营业厅，门户网站等等，也很必要部署下一代防火墙来强化Web防护。三是广域网的边界。最后一点是数据中心安全防护以及数据中心安全域的划分等等，在这种场景下的话都是特别适合的。

　　具体到企业部署或升级下一代防火墙需要注意的问题，殷浩谈到，很多企业目前已经部署了防火墙、IPS等设备，因此建议企业逐步替换，当企业面临比较棘手的安全问题或是安全突发事件时可以采购下一代防火墙帮助进行防护。或是在传统安全设备在性能、功能上出现问题逐步替换。根据Gartner调查显示，50%以上的传统防火墙在未来几年都会被替换，甚至这个数字可能还会放大。

　　下一代防火墙未来趋势

　　谈到下一代防火墙未来的发展趋势，殷浩表示，未来下一代防火墙肯定是朝着更高性能、更智能方向发展。目前，所有下一代防火墙的供应商都在关注20G甚至40G的高性能平台的防火墙的研发。更智能则体现在防火墙部署过程的更加智能、防护效果的智能等等。如企业通过下一代防火墙的部署，经过一段时间的运行，下一代防火墙可以帮助企业自动生成相应的安全策略，甚至不用安全策略也能把网络当中的安全威胁自动分析出来。

　　市场方面殷浩谈到，“去年开始，下一代防火墙应该说是比较火热，而深信服下一代防火墙的增长率就超过了300%以上。它的这种增长速度远远超过了传统防火墙和其他的安全产品。从用户角度来看，特别是高端企业用户也都特别认可下一代防火墙的理念。”