下一代防火墙 用户的深度感知

　　关于下一代防火墙的优势用户最直观的感知有以下几点：1、 支持在线BITW(线缆中的块)配置，同时不会干扰网络运行;2、 可作为网络流量检测与网络安全策略执行的平台，在第一代防火墙产品的基础上集成式而非托管式网络入侵防御。业务识别与安全可视性：识别应用程序并在应用层执行网络安全策略。3、 支持新信息流与新技术的集成路径升级，以应对未来可能出现的各种威胁

　　针对《信息安全技术 第二代防火墙安全技术要求》，是由公安部3所主持，邀请深信服、绿盟、网神三家厂商共同讨论编写的，是一个新的国家标准，与国际上的下一代防火墙的概念有所区别。从用户角度看要求指出：第一，新增应用层控制功能。第二，入侵防御、恶意代码防护与国际接轨。第三，web攻击防护、信息泄露防护符合用户业务安全需求。有用户表示，如果公司有布局需求的话，应该会考虑这些要求，因为这算是一个很好的选择标准了。

　　在功能方面，异常流量监控、Web攻击防护、细粒度安全策略和日志这几个方面要重点关注。异常流量监控是为了防止数据的流逝安全性能比较重要。。这几个都是侧重于信息安全数据安全的，未来的战争是信息战，所以信息安全是第一位的。

　　下一代防火墙是用户需求和厂商技术的碰撞

　　大量调研表明，企业网络管理员最大的困惑是下一代防火墙的管理变得复杂多了，在大型企业中，大量防火墙策略的管理和优化是个难题。以华为为例，从运营商级别到企业级安全，其Smart Policy技术能够智能的优化、精简下一代防火墙策略。帮助企业简化管理，TCO降低30%。这些都是下一代防火墙根据场景衍生出的新技术。基于移动用户地址位置的访问控制，NGFW为移动办公安全量身定制的体贴特性之一。

　　云安全服务日渐流行，很多专业的安全厂商都在做。从厂商角度看，下一代安全服务是大数据和云服务的结合。作为防火墙市场占有率第一的天融信认为，更加先进的安全系统架构以及需要和多核硬件技术进行完美融合，而这种融合就体现在安全引擎对多核处理器计算资源的使用方面。因此，引擎的设计是实现下一代防火墙2-7层高性能的关键因素，而引擎中的一体化内容检测机制又是实现应用层高性能的关键。下一代防火墙产品来应对大量的南北向流量，虚拟化功能则有助于支持云数据中心的耦合。

　　由此看起，运营商级别的安全还是比较注重下一代防火墙的策略，移动安全打破了原有的安全边界。企业用户对安全和云服务的双重需求促使解决方案供应商要双管齐下，推动下一代防火墙衍生更多的新功能。

　　编辑观点：下一代防火墙需要解决的是安全本质上的攻防身份的互换，传统安全防护时代的结束让防御本身更具主动性，针对个人端设备的攻击已经成为很低级的攻击行为，时有发生的安全事件往往在移动端泛滥并很容易被发现，而企业用户所面临的未知威胁甚至是无感知的。下一代防火墙主要优势在于主动防御，是把病毒和入侵扼杀在萌芽阶段。

　　对于未知威胁的防护和APT防护业界恐难在解决方案层面一蹴而就，潜在的安全需求让企业用户对安全硬件提出了更高的标准，产品本身的性能和可靠性必然是丰富功能的保障，checkpoint、飞塔、juniper等老牌国外厂商的解决方案必然有其优势存在，天融信、华为、深信服、网康、网神、启明星辰、绿盟等国内厂商也在不断角逐市场，下一代防火墙的功能在短期内还会有增无减，在不影响性能的基础上功能的增加将是短期趋势，防火墙和云端的联动也将成为互联网公司和传统安全厂商的一个契合点。