【IT168 应用】引言：皇帝的新装

　　“他实在没穿什么衣服呀!”最后所有的百姓都说。皇帝有点儿发抖，因为他觉得百姓们所讲的话似乎是真的。不过他心里却这样想：“我必须把这游行大典举行完毕。”因此他摆出一副更骄傲的神气。他的内臣们跟在他后面走，手中托着一条并不存在的后裙。——安徒生《皇帝的新装》

　　安徒生有一个著名的童话，叫做《皇帝的新装》。大意是说一位皇帝非常喜欢漂亮的衣服，为了漂亮的衣服不惜把所有的钱都花掉。偏偏遇上了两个骗子，行骗手法很直接，他们为皇帝做了一套“任何不称职和蠢的不可救药的人都看不见”的衣服，最终皇帝穿着这套衣服上街。然而尽管大家都知道这样的衣服是不存在的，却又不好意思公开承认自己是蠢的不可救药的人，于是两个骗子就这样堂而皇之的得逞。

▲  “下一代防火墙”已经有产品，但用户的安全意识亟须跟进

　　现实生活中，我们已经越来越离不开网络。现在每个人的手中除了电脑之外，还有手机、平板电脑等设备都可以接入网络中。接入网络的设备越来越多，各种各样的新设备几乎彻底改变了互联网的使用方式，也改变了很多人的生活。但在享受丰富多彩的网络生活的同时，有些很重要的事情似乎被忽略了，网络安全就是其中之一。

　　被掩盖的网络安全真相

　　实际上，根据CNNIC的《2012年中国网民信息安全状况研究报告》显示，在整个2012年，我国遭遇过网络信息安全事件的网民达到4亿5600万，占到了网民总数量的84.8%。但在遇到信息安全事件的网民中，高达47.5%的网民不做任何处理，网民对信息安全事件的危害并不了解或不在意。这样一个庞大的受害者群体上，滋生出了一条条黑色产业链，组织严密分工细致。

　　在操作手法和危害上，对于个人用户而言是各种重要信息被盗取，直接导致财物损失。对于企业用户而言，一方面，受害者的电脑会成为受黑客操控的“肉鸡”，受害者会不自觉的对公司内部或者互联网上的其他电脑发动攻击，大幅消耗网络资源;另一方面也会导致黑客通过“肉鸡”进一步入侵公司的网络系统，造成公司的机密信息和重要数据泄露，甚至直接被竞争对手获取，损失难以估量。

　　从成分来看，目前的网民结构分布，除了学生占据了大约30%之外，其余都是在各个行业工作的人员，这样就暴露出一个问题，如果说有将近85%的网民遇到过网络信息安全事件，那么各种网络安全问题其实也通过受攻击的网民被带入了各行各业。同时在《2012年中国网民信息安全状况研究报告》中显示，只有不足半数的人意识到如果自己上网设备遇到安全事件会影响到其他人(网龄4年的网民中比例为45.4%，网龄不足4年的人群中比例更低)。

　　此前很多网络上的恶意攻击动机比较单纯，然而目前各种互联网犯罪的目标十分明确，即以牟利为目的，有针对性的锁定企业或者个人的敏感信息、私人信息，导致网络安全事件一旦发生，受害者造成的财产损失会比此前更加严重。面对这样的现状，目前许多企业都已经有针对性的部署了网络防火墙产品，希望通过网络防火墙能够有效遏制各种网络攻击，努力把企业的损失减小到最低。

　　自欺欺人的安防体系

　　但是与飞速发展的互联网相比，防火墙的发展却十分滞后。目前虽然各种网络安全事件层出不穷，但硬件防火墙发展，依旧沿用一套固定模式，先有新的网络攻击行为出现，然后安全厂商对攻击行为进行分析，设立拦截规则进行专门的拦截，整体发展滞后于网络攻击的发展。

　　以著名的ARP欺骗攻击为例，最早提出这种攻击理念的论文形成于1997年，在ARP欺骗攻击被黑客广泛利用，并且逐步发展壮大之后，硬件防火墙才渐渐跟进、拦截，并且导致一些用户不得不额外花钱对防火墙进行软硬件升级。这期间经历了数年时间，ARP欺骗攻击已经造成了大量财产损失。

　　从方式上看，传统防火墙所谓拦截规则也不外乎数据包检测、端口检测等几种固定的手段进行综合使用，这种针对攻击特征和特定网络端口的拦截方式，很容易将一些原本正常的网络应用错误拦截，给用户带来不必要的麻烦。并且一旦攻击行为有所改变，拦截成功率就会大大降低，高价买来的防火墙变得有名无实。如今更是有大量的攻击行为摒弃了从外部进攻的方式，改变为引诱用户安装木马，让网络安全体系从内部被瓦解。

　　前文说过目前网络犯罪的目标十分明确，完全以谋取利益为主，因此也表现的更加隐蔽，甚至是在受害者完全不知情的情况下完成。以此前中关村二小的一个应用案例来说，学校配备了100M互联网出口，用户大约500人。在去年11月部署了来自网康科技的下一代防火墙产品之后，工程师从网络中成功找到了一台受攻击的服务器，而根据相关信息显示，这台服务器在很久之前就已经沦为“肉鸡”，但是运维人员和传统的防护设备能力有限，导致很长时间未被发现，成为潜伏在网络中的巨大隐患。

　　所以说，目前的网络安全领域，就如同《皇帝的新装》中的情形，一方面是制造商宣称自己的防火墙产品有多好，一方面是用户也愿意购买价格昂贵的防火墙产品以保障自己的网络安全，然而现状却是买了防火墙产品的用户本质上与全裸上网没什么区别，却一直没有人揭露这个现状。终于最后有人忍不住揭露了，这个不能忍受现状的人，名字叫做Gartner。

　　下一代防火墙从理论到落实

　　其实转变的契机早已出现。早在2009年，著名的信息技术研究和分析的公司Gartner就提出了一个新的概念，叫做“Defining the Next-Generation Firewall”，中文叫做重新定义下一代防火墙。根据网络安全的现状，Gartner把网络防火墙定义为在线安全控制措施。同时使用了“下一代防火墙(Next-Generation Firewall)”这个术语来进行描述。

　　近两年，互联网、云计算、大数据处理的兴起，在造成网络攻击不断兴起的同时，也为防火墙的发展提供了优势。Gartner描述的“下一代防火墙(Next-Generation Firewall)”正好可以结合云计算与大数据的优势，将高性能硬件系统与云端的数据分析相结合，从多个维度对网络中的数据进行分析判断，而不再机械性的依赖于一些固定规则，这样就提升了网络的安全性，同时对于正常的网络使用不但不会造成拥堵，还可以动态的进行分配和调节网络资源，优化网络结构。

▲基于Gartner的理论，厂商根据当前实际环境自主完善了下一代防火墙体系

　　当然Gartner的理念以现在来看也有不足的地方，比如目前移动终端的兴起让网络攻击蔓延到了一些新的设备上，这是那个时代难以预料的。不过下一代防火墙的制造商会在产品端进行完善，以弥补规则方面的不足。比如几个下一代防火墙制造商之一的网康，就在传统防护、新型防护机制相融合的基础上，进一步增加了对各种移动终端的支持，将能够联网的设备全部纳入到下一代防火墙的监控体系内，这样就能够最大程度确保企业网络环境的安全。

　　根据Gartner的预测，在2014年，60%用户所购买的防火墙产品都将是下一代防火墙，可见下一代防火墙产品有巨大的发展潜力，并且用户也很乐于接受下一代防火墙产品，经历多年沉寂之后，网络安全市场终于要迎来一个新的时代。