被采访人：天融信网关产品市场中心总监 寇增杰

　　一：移动化和社交化使得安全威胁层出不穷，基于社交和应用激增，功能和性能无法兼顾是传统防火墙的遗留问题，贵司NGFW将如何平衡功能和性能?

　　随着各种应用业务的迅猛发展，与传统防火墙不同，融合各种应用防护是下一代防火墙的基本特性，而卓越的性能是保障下一代防火墙能够满足业务应用防护的根本。由此对于下一代防火墙而言，需要采用更加先进的安全系统架构以及需要和多核硬件技术进行完美融合，而这种融合就体现在安全引擎对多核处理器计算资源的使用方面。因此，引擎的设计是实现下一代防火墙2-7层高性能的关键因素，而引擎中的一体化内容检测机制又是实现应用层高性能的关键。

　　二：针对不同移动办公安全架构和安全组件，下一代防火墙会针对不同用户，甚至不同应用场景做出什么具体改变，同时会衍生出何种新技术?

　　新的智能移动设备在现代企业内应用越来越广泛，经常用于关键信息的收集、存储、访问和传输，而这些重要数据往往又混合了个人信息，这对原有的企业安全策略而言无疑是一场噩梦。由于接入的智能终端设备数量也越来越多，这就要求下一代防火墙需要对终端设备在接入访问过程中进行检测与控制，包括识别终端设备、鉴别接入用户身份、检查接入终端设备的健康性、控制接入终端设备的可访问资源、审计终端接入后的访问行为等。

　　三：相对于友商，贵司NGFW的应用用户领域有何不同?未来将针对那些行业有更细化的解决方案?

　　针对当前信息安全的发展态势，国产网络设备和解决方案厂商除了从以往固有的防护思路和防护方法出发，亟需面对和解决的问题便是“面对未知威胁”，其中APT攻击防护是最主要的内容。从当前各个厂商所提供的解决方案来看，沙箱技术目前被认为是确定未知威胁最为有效的技术手段。其中，较为常见的是基于云端(互联网)沙箱技术的未知威胁防护方案。但是对于云端沙箱来说，由于需要防火墙将未知内容通过互联网上传到厂商的云端做检测，这将会带来严重的数据泄露风险。另外，由于从数据还原、上传、检测、反馈再到动作处理，中间经历多个环节，实时性根本无法得到保证，从而势必会影响整体的数据转发效率。当然，最重要的是，某些特殊网络环境并不允许接入互联网，而这些网络环境恰恰又是APT攻击的重要目标。因此，基于云端(互联网)沙箱技术显然在安全性、高效性和适用性方面存在诸多缺陷，而基于内网沙箱技术才是实现未知威胁检测的主要发展方向。

　　四：下一代防火墙特别关注的应用识别和web防护能力么?下一代防火墙如何防范未知威胁?

　　但随着近些年来应用模式的风云突变，特别是出现了大量的云应用、移动应用与WEB应用，而对于P2P、流媒体这些传统应用为了逃避各种检测技术其本身也在不断发生变化，比如有越来越多的应用都采用了加密通讯。这就需要我们的下一代防火墙产品要具有更加精准、精细与响应迅速的应用识别能力。由此，应用识别是下一代防火墙的基础功能。

　　对于SQL注入攻击、XSS等web攻击防护，这些可以属于下一代防火墙的web防护范畴，但是对于网页防篡改、漏洞扫描等WAF功能，则无法将其简单的融入到下一代防火墙中。下一代防火墙与WAF产品有不同部署位置，为了最大程度的保护用户的网络安全，所以不能将WAF作为NGFW的扩展功能部署在边界。

　　当前，如何对APT攻击进行有效防御已经成为业界讨论的热点。正是由于APT攻击中所谓“持续性”这一特点，就意味着我们很难通过某一种安全检测机制，对一次攻击行为进行阻断就能将威胁彻底消除。另外，越来越多的攻击事件采用未知恶意代码、利用未知安全漏洞向目标发起隐形、低调的攻击行为，这类攻击往往具有较高的成功几率，而其后果的严重性也更是无法想象。因此，面对APT攻击，对于部署在网络边界位置的下一代防火墙需要具有一套完整、有效的安全防护解决方案。天融信下一代防火墙采用与天融信APT防御系统进行联动，形成防御APT的整体解决方案，将本地知识库未能匹配的如可执行程序、文档文件与URL等内容同步到APT防御系统具有1.5亿规模的混合威胁特征库中执行进一步检测，全面判断是否为已知威胁。如果此时仍未匹配，APT防御系统还会通过沙箱来模拟操作系统、文档加载或浏览器等虚拟运行环境，对各种可执行程序、文件或URL进行动态行为解析，一旦发现有恶意行为，将提取特征码并与网关端实时同步，再由网关生成动态阻断策略，从而能够对各类未知威胁进行有效识别与控制。

　　五：云安全服务成为了下一代安全服务的趋势，防火墙本身在下一代安全中将扮演什么角色?

　　云计算、虚拟化、移动互联的技术浪潮，改写了现代企业的竞争法则，也带来了全新的网络生态环境。在网络新生态环境中，现代商业企业的边界正变得日益模糊，企业应用早已突破了原有的边界，基于云计算的企业应用正快速迅猛发展;另外企业内部IT资产的概念也同样在发生变化，很多企业正在构建自身的私有云。所有这些应用、服务和资产边界的变化，使得现代企业的边界正变得越来愈模糊，然而与之相对应的是，相关的安全威胁却更加清晰。

　　以企业数据中心为例，首先要面对的就是海量接入的问题，这需要具有高效安全防护性能的下一代防火墙产品来应对大量的南北向流量，由于数据中心集中了大规模运算的核心服务器，并以资源的方式按需提供给接入用户进行访问，这直接对安全设备的性能提出了考验; 其次所谓的东西向流量，云数据中心引入虚拟化技术以实现更好的资源分配， 虚拟机动态迁移提升云数据中心的业务连续性，对应也要求下一代防火墙产品能够更好地支持虚拟化技术，以实现与云数据中心的紧密耦合。

　　六：企业用户对下一代防火墙的应用目前有哪些困惑?

　　1)如何降低企业的运营成本，是企业用户认为NGFW应该具备的最重要特性，由此NGFW必须具备提供多种安全功能灵活组合的能力，以满足企业不同发展时期的不同安全需求;

　　2)NGFW还必须能够给企业提供灵活的部署方案，以满足企业灵活方便的实现安全功能的扩展;

　　3)NGFW应更加专注对应用层业务的控制与保护，以满足企业用户广泛的基于应用的业务需求;同时对应用层性能的关注也应该作为企业用户选择NGFW的重要指标;

　　4)如何更加人性化的实现对NGFW的统一运维管理，以及快速精准的发现及定位业务风险，势必成为企业选择NGFW不可或缺的参考指标;

　　七：下一代防火墙通过硬件本身的性能提升还是功能多来定义下一代安全?

　　随着IT消费化、社交网络、云计算、大数据等新热点的出现，互联网迈向了历史上从未有过的繁华阶段，随之所面临的信息化安全问题日益复杂。面对层出不穷的应用威胁与web威胁， “下一代防火墙(Next Generation Firewall)”应时而生。那么真正的下一代防火墙应该秉承从用户当前面临的实际需求出发，同时结合现阶段防火墙相关技术的发展趋势，天融信公司将下一代防火墙产品特征归纳为如下四个方面：

　　 一套强大的应用识别引擎，实现对各种新型应用流量的精细、准确与高效管控;

　　一套涵盖2-7层安全特性的高性能软、硬件架构，实现大数据环境下的安全处理;

　　一套全面的已知威胁与未知威胁安全防护方案，实现真正的APT攻击检测与防御;

　    一套可视化与智能化的安全管理机制，实现全方位、深层次的网络与安全风险监控;

　　期待您对下一代防火墙更多更鲜明的观点

　　涉及厂商深信服、网康、绿盟、飞塔、山石网科、华为