【IT168 评论】随着科技的发展和企业文化的进步，深入融合作为当今企业的发展需求，已经超出了传统防火墙的能力范围，为了迎合web2.0时代的到来，众多厂商纷纷发布下一代防火墙产品。然而近年来网络安全又面临着各种威胁和挑战，在这一大背景下，IT168网络安全频道邀请到了Palo Alto Networks 大中华区技术总监耿强先生和我们一起从现状和未来双向出发，探究用户对下一代防火墙主要的需求点，探究下一代防火墙的发展规划，从而推测未来下一代防火墙的方向。

▲Palo Alto Networks 大中华区技术总监耿强

　　发展与挑战并存

　　首先耿强为我们简单的介绍了一下在他眼中我们的网络安全所面临的一些主要挑战。他认为当今网络安全所面临的挑战我们可以分为两个方面来看：

　　●一方面是网络环境演变的复杂性所造成的安全风险，如移动应用和社交软件的普及、物联网IoT、虚拟化和云等等，环境的变化造成了网络安全面临多维度的更多的威胁挑战基础;

　　●另一方面是网络攻击和黑客技术的发展，由于互联网的广泛传播性，大量的黑客技术和工具被大肆传播并不断变种演变，如针对性的逃逸技术、零日漏洞挖掘和利用、凭证窃取、专业钓鱼、组织化的定制恶意软件并针对性攻击等，也进一步提升了我们所面临的网络威胁。

　　深析NGFW四大特性

　　根据IDC行业白皮书显示，下一代防火墙主要特性主要分为四部分，分别为智能化、可视化、虚拟化以及协同。耿强分别针对四个方向对NGFW进行了解读：

　　●智能化： 自2005年Palo Alto Networks作为下一代防火墙的创新者成立以来，一直在不断发展自身的技术和创新。智能化，在Palo Alto Networks而言，并不是单指一台下一代防火墙设备，而是一整套综合性的智能数据采集分析和执行体系。

　　●可视化：面对新的安全挑战，下一代防火墙中讲求“安全威胁是可视的”。耿强讲到，从最早的下一代防火墙定义开始，Palo Alto Networks关于“可视化”有3个定义，即应用可视化，用户可视化和内容可视化。应用可视化区别于传统的网络协议的防火墙概念，将识别和管控从网络协议提升到应用层面;用户可视化，针对移动化的网络现状，IP地址动态分配，提出用户识别管控而不是基于IP地址管控;内容可视化，是针对数据内容的检测、威胁识别和防护，又分为已知和未知威胁的防护。从安全角度来看，可视才可控，可视化是后续安全管控的基础，非常重要。

　　●虚拟化：云计算作为主要的发展趋势之一，近年来发展非常快，而下一代防火墙是相对比较融合性的产品。耿强认为， 云和虚拟化是未来网络发展的主方向之一，Palo Alto Networks一直致力于云和虚拟化环境下的安全防护。这里会有一个概念，叫安全一致性，即网络从物理向虚拟化发展，那么物理网络上能实现的安全能力在虚拟网络中同样要实现，不能因为环境不同而降低安全标准。Palo Alto Networks作为全球下一代安全的领导者一直发展云和虚拟化安全，目前所有物理网络中实现的产品安全功能在云和虚拟化环境同样实现没有区别，并支持目前主流公有云和私有云环境，为云和虚拟化环境的用户提供等同传统网络中所能实现的最高等级的安全防护。

　　●协同：协同联动近年来不断被提及，而在下一代防火墙中，协同也不再仅仅是一个概念性话题。安全产品已经不再是孤立存在、单打独斗的与攻击抗衡，下一代防火墙通常会与IT系统中的其它安全防御系统构建协同的工作机制面对，耿强认为，协同联动在网络应用中非常普及，安全也不例外。Palo Alto Networks拥有全球化的安全协同体系，今年初作为全球最大的安全联盟组织之一Cyber Threat Alliance的主导者之一又引入了全球两大知名安全厂商Cisco和Check Point。 协同的前提的是开放， Palo Alto Networks提供有全开放的XML API接口，可以与任何协作的合作商据此进行数据的传输和在操作，比如虚拟化厂商VMware和无线接入设备厂商Aruba等。

　　此外，耿强还为我们介绍了Palo Alto Networks的威胁情报管理系统，根据耿强介绍，Palo Alto Networks拥有全球最大的安全威胁智能分析云之一，在全球数以万计的设备、终端等产品以及第三方的数据中， Palo Alto Networks可以获取分析定位出数以亿万的威胁情报。通过模拟仿真AI建模机器学习等一系列技术手段进行鉴定关联并完善更新，生成判定结果，并将所有这一切的智能分析结果在最快5分钟即分享到全球的各个安全节点。每一安全节点在享有全球化的智能分析基础上，可以很容易就获得威胁的定位、更新、关联和分析溯源。

　　积极迎战恶意软件

　　小编认为，近年来恶意软件肆虐横生给企业和个人带来了非常大的困扰，对此我们也想耿强进行了发问，Palo Alto Networks在防恶意软件方面又有哪些高招呢?耿强回答称：恶意软件是我们面临的主要安全威胁之一，其特点是更新快、危险性大。下一代防火墙NGFW, 或者说更新的定义叫下一代威胁防御NGTP，更加着重在数据传输的内容部分的安全检测和防御，其中包括恶意软件。对已知的恶意软件要在全应用可视可控的基础上进行识别和防御， 对于新型的未知的恶意软件要通过沙箱虚拟仿真等一系列技术手段进行识别和管控防御。

　　Palo Alto Networks两大杀手锏

　　目前市面上有很多NGFW产品，Palo Alto Networks的下一代防火墙产品又有哪些杀手锏使其立于不败之地呢?耿强介绍称，Palo Alto Networks在技术上面的主要特点，主要表现在两个方面：

　　●一个是产品创新性：从最早的下一代防火墙创始者，到高级威胁防御的倡导者，全球电子安全威胁联盟的主创者， 到新型终端安全防御技术等等，Palo Alto Networks一直秉承创新的技术理念并保持全球领先。

　　●另一个是刚刚提到的Palo Alto Networks拥有全球最大的安全威胁智能分析云之一，在全球的覆盖性采样率、商业的可用性和时效性(最快5分钟全球更新最新威胁定义)上，Palo Alto Networks都是当之无愧的全球安全行业领导者。

　　未来安全依托全球安全一体化

　　采访到最后，耿强也向我们简单的分析了一下防火墙产品未来的发展趋势，他认为，防火墙不再是单一的网络安全产品，一方面会向更深层次的数据应用内容安全发展，目前行业中新的下一代威胁防御NGTP定义就很好说明了这一点;另一方面更为广阔的覆盖性，从传统网络到云、到物联网IoT、到移动终端等等，安全产品随着应用无处不在。此外，全球化的智能数据分析能力也是必不可少的，单一的安全节点或技术是不足以面对未来不断复杂的安全威胁，未来安全应是在全球安全一体化基础上实现。