如何定义真正的下一代防火墙?

　　下一代防火墙由Gartner定义于2009年，5年后重新审视其最初的概念，不难发现当时报告中提到的几个必须满足的硬性条件其实仅仅是一个最小化的功能集合。换言之，从某种意义上说，当前市场上不少所谓的集成防火墙、多功能防火墙甚至Web应用防火墙等均可以与此概念扯上关系。

　　“我们始终认为下一代防火墙应该有两个标准，Gartner提出的属于技术上的定义，但站在用户角度来看，解决上一代问题的，才可以称之为下一代”，熊瑛表示，在网康的理解中，下一代防火墙同样是一款边界安全设备，甚至可以说仍然是一款防火墙，和传统防火墙一样应当具备访问控制、攻击防御、安全管理等功能，只是在技术实现上要高出一个层面。

　　同时，熊瑛特别强调，先前的经验已经证明，只有人充分利用设备才有可能较好的解决安全问题，下一代安全更加强调人参与其中。因此，对于用户而言，下一代防火墙应当是一款“控得准”、“看得懂”、“易操作”的设备，必须具备精准、智能、高效的特点，这是改变先前用户使用习惯，帮助用户通过使用防火墙提升安全防护水平的前提条件。

　　企业CSO选型“新五条”

　　那么是不是国内厂商就一定值得我们信赖呢?当然不是，我们强调的是“自主可控”，除了“自主”还得“可控”。什么叫可控呢?就是说这个产品及其供应商还得满足一系列的评判标准。这里我们列出几条标准供各位CSO来参考。

　　一) 时间

　　所谓路遥知马力，日久见人心。我们人生中的一些重要角色都只能通过时间来判断其真伪优劣，比如朋友，比如合作伙伴，比如爱人等等。其实对供应商的评价，时间也是最为重要的也是最为准确的一个维度。一个历史悠久广为人知的企业，其信誉、其能力，与其合作的成功几率都远远高于一般企业。所以首先要选择那些有一定创建时间，在市场上被广泛认知，并有较高美誉度的企业。

　　二) 资质

　　资质不是功能较多的，但没有资质也是万万不行的。“资质”这个事其实也不是什么太有中国特色的东西，全世界对于企业级产品，尤其是安全产品都会有各种各样的资质。就中国而言，资质大概可以分为企业资质和产品资质两类。企业资质包括一些诸如“高新技术企业”，“ISO90001”一类的资质。产品资质要更多一些，有一些是优异别的，比如3C认证，EAL3认证。有一些是行业内的，比如“军B”资质，以及一些行业的“入围”评测。

　　安全产品对于资质的要求尤其高。一个信息系统部署安全产品，核心的驱动有二：一个是为了解决自身的信息安全问题，封堵网络风险，提高网络可靠性，另一个是为了符合国家和行业的法律法规要求。从第一个需求看，资质实际上帮我们做了很好的把关工作。我们都知道对于一个安全产品的评估往往需要很高的技术水平和较长的时间，而在绝大多数安全项目中，这都是难以实现的。因此，产品是否具备某些资质，就成为一个CSO评估产品能力的一个重要依据。而从第二个需求看，资质的重要性就更加凸显了。机构组织部署的安全产品是否满足国家和行业的相关要求只能通过是否拥有相对应的资质来评价。否则，即使部署了安全产品，“有关部门”也未必认账。合不合理，见仁见智，但是规则就是如此，对于这一点，CSO们都懂的。

　　三) 案例

　　案例是评价一个供应商及其方案最有效的手段之一，该供应商是否服务过和本机构类似的客户，该方案是否在类似的场景中有过成功部署，成为绝大多数CSO进行产品选择的首要评判标准。事实上，很多CSO不仅仅要求供应商提供本行业内成功案例，还会主动打电话进行核实(行业内的CSO们往往联系紧密)，更有甚者，还会要求参观成功案例。

　　所以，很多领先企业都会主动打造一些标杆案例，以帮助打开一个行业的市场空间。当然，这其实是个先有蛋还是先有鸡的问题，不会有哪个企业天生就拥有标杆案例，第一个标杆案例的打造一定是在没有参考案例的情况下完成的。这个时候，CSO确实要背负更多的风险，但如果该供应商在我们前面谈到的两条标准中有较好表现(历史悠久，品牌卓越，资质齐全),那么CSO也可以考虑和该企业合作，并且可以要求更低的价格和更好的服务以平抑所承受的风险(如果您的机构在业内有足够代表性，很多企业在这个时候都是愿意以极低价格甚至免费的形式为您服务的：))。

　　四) 产品

　　产品要满足CSO需求，能够真正解决客户问题，这是一个基本原则，但这不是本文要讨论的。本文要讨论的是一些相对更实用，更接地气，并且在CSO中被广为实用的一些方法。

　　首先是产品是否为该厂商原厂产品，这很重要。众所周知在国内存在OEM这么一种产业生态，也就是说，厂商销售的产品可能不是自己研发设计的，而只是贴了自己的牌子的，事实上由其他厂商生产设计的产品。对于这样的产品，在需求定制、上线实施、乃至后期维护过程中往往存在这样那样的问题。

　　其次是产品是否为该厂商的当家产品。很多国内安全厂商都会有很长的产品线，但是一部分是OEM来的，一部分虽然是自己做的，但是也做得并不好。往往一个安全厂商只能做好很有限的几款产品。至于哪个厂商的哪款产品属于当家花旦，那就需要CSO们进行详尽的调查了，好在这往往并不困难，群众的眼睛是雪亮的，谁家的什么东西是好东西，还是有公论的。

　　五)合作伙伴

　　还有一点很重要，那就是该厂商的渠道合作伙伴。安全厂商的能力在于研发和设计产品，而在全国范围内进行产品交付和服务，往往不是厂商所能具备的能力。目前比较成熟的产业形态是，厂商会选择在一个行业或者区域内领先的服务供应商作为合作伙伴，共同为客户提供服务。相对于厂商而言， SI往往会更加关注客户利益，更加理解客户需求。他们在项目中往往需要承担各种风险和资金压力，他们对供应商的了解会更客观更准确。所以，是否能够和当地或本行业内领先的SI取得合作，也是CSO判断一个厂商及其产品非常重要的标准。

　　下一代防火墙选型指导

　　对于下一代防火墙的选择，网康科技产品专家建议，“防火墙产品部署位置关键，对网络联通性、应用交付质量均会有较大影响，其自身的稳定性和性能尤为重要，尤其是下一代防火墙定位应用层深度检测，较传统防火墙性能开销要高出很多，用户在选择下一代防火墙时应注意安全功能全开启后的性能表现。此外，应用识别和威胁检测的能力直接影响到设备应对应用层威胁的有效性，这些同样是下一代防火墙应具备的基本能力”。

　　还有专家指出，随着互联网思维的日益深入，传统IT产品已经进入体验为王的时代，对于安全产品亦是如此，其颠覆意义并不亚于技术的演进。技术创新可以帮助用户解决更多安全问题，使安全产品更加“有用”，但对于用户而言，一款好的产品还应解决“好用”的问题，尤其是对于安全防护类产品，日常操作的便捷、智能程度将直接影响到用户安全管理的效率，甚至关乎安全管理工作是否能够切实落地。

　　当然，网络安全在当今仍然属于技术门槛较高的领域，未来的安全将是高度依赖于专业服务的一种产品形态，通过服务能够在空间维度上将厂商与用户真正连接起来，并在时间维度上帮助用户更迅速的跟上威胁形式的新变化，厂商是否具备健全的产品销售和技术服务渠道体系显得尤为重要。