【IT168 评论】随着科技的发展和企业文化的进步，深入融合作为当今企业的发展需求，已经超出了传统防火墙的能力范围，为了迎合web2.0时代的到来，众多厂商纷纷发布下一代防火墙产品。然而近年来网络安全又面临着各种威胁和挑战，在这一大背景下，IT168网络安全频道邀请到了Check Point北亚洲区总裁罗杉先生，和我们一起从现状和未来双向出发，探究用户对下一代防火墙主要的需求点，探究下一代防火墙的发展规划，从而推测未来下一代防火墙的方向。

▲Check Point北亚洲区总裁 罗杉

　　网络安全形式分析

　　首先罗杉向我们简单的介绍了一下目前我们的网络安全所面临的一些主要挑战，他谈到，根据Check Point以色列捷邦安全软件科技有限公司预计，2017年将会出现以下五个安全威胁和趋势：

　　●移动设备：针对移动设备的攻击逐渐增长，我们发现源于移动设备的企业泄露将成为最重要的企业安全问题。最近有国家支持的黑客针对记者手机上的数据的事件发生，意味着这些攻击方法已经在全球蔓延，未来我们会看到有组织的犯罪者也会采用这种方法。

　　●工业物联网：在明年，预计网络攻击的范围将扩展至工业物联网。信息技术(IT)和操作技术(OT)的融合使环境变得更加脆弱，特别是操作技术或SCADA环境。这些环境通常运行传统系统，补丁不可用，或者更糟的是不使用补丁。制造业作为一个行业，需要将系统和物理安全控制扩展到合理的平台，并在IT和OT环境中实现威胁防护解决方案。

　　●关键基础设施：关键基础设施极易受到网络攻击。几乎所有的关键基础设施，包括核电站和电信塔，都是在网络攻击的威胁之前设计和建造的。在2016年初，据报道由网络攻击蓄意造成的第一次停电事故发生。关键基础设施的安全规划人员需要为一切可能性做好规划，其网络和系统将会发现与多个潜在威胁因素(包括国家或民族，恐怖主义和有组织犯罪)相一致的攻击方法。

　　●威胁防御：对于企业来说，勒索软件将变得和DDoS攻击一样普遍，如何预防成为企业的成本。鉴于勒索软件的存在，企业需要部署多方面的预防策略包括高级沙盒和威胁净化来有效保护网络。他们也需要考虑其他的方法来应对发起勒索软件活动的人。这些方法包括与行业同行协调起诉和执法，以及建立财政储备以加速付款(如果这是唯一的可以减缓的选择)。

　　●云：随着企业持续在云上储存更多数据，这就为黑客提供后门访问其他企业系统，攻击中断或关闭主要的云提供商将影响其所有的客户业务。这通常具有干扰性，它将被用作影响特定竞争者或组织的手段，他们将是许多受影响者之一，使得难以确定动机。这还会增加勒索软件的攻击，影响基于云的数据中心。随着越来越多的组织采用云，包括公有云和私有云，这些类型的攻击开始寻找新的方法来攻击新的基础设施，通过加密文件从云传播到云或者黑客采用云作为一个载体。

　　NGFW特性分析

　　根据IDC行业白皮书显示，下一代防火墙主要特性主要分为四部分，分别为智能化、可视化、虚拟化以及协同。罗杉认为现在网络攻击日趋复杂，纯粹依靠下一代防火墙并不足够提供应有的安全保护，Check Point 刚刚宣布推出的 Check Point Infinity 未来网络安全架构，就是为了应对这个挑战。这一革命性网络安全架构旨在满足企业组织的关键性需求。Check Point Infinity 是首个跨网络、云端和移动设备的统一安全平台，提供非常好的威胁防护，可保护客户免遭日益增加的网络攻击威胁。

　　根据罗杉介绍，Check Point Infinity 是Check Point力求构建安全架构总体设想的巅峰之作，它能够跨网络、云端和移动设备，将我们可提供的非常好的安全性、非常好的情报水平、非常好的管理能力进行统一。此架构旨在确保组织已备好万全之策，足以应对未来 IT中复杂多变的动态格局。原理非常简单——统一安全架构将会借助提供更有效、更实用的 IT 运营，保证各种环境中的企业安全。

　　Check Point Infinity 通过将三个关键要素独特组合来实现这一设想：

　　· 少有的安全平台：利用通用平台、威胁情报共享和开放式基础设施，跨所有网络、云 端和移动设备提供非常好的安全性;

　　· 先发制人的威胁防护：注重预防，以在最复杂的已知和未知攻击发生之前进行拦截;

　　· 统一整合的系统：通过单一控制台进行单独管理、模块化策略管理与威胁可见性集成，从而有效实现安全集中化。

　　Check Point Infinity 使企业能够掌控自身安全性，并将其整体 IT 运营作为单一内聚架构进行保护和管理，从而为企业自己的业务运营及客户带来益处。

　　威胁情报规模化管理是NGFW的主要功能之一，罗杉认为只有搜集威胁情报，掌握网络犯罪分子的动态，才能更好地提供网络安全防护，Check Point早在2012年就宣布推出了首个防御网络犯罪的协同式网络ThreatCloud。Check Point ThreatCloud基于一个创新、遍布全球的威胁感应器网络，鼓励机构分析威胁数据，因此能进行动态升级，联手打击现今的各种恶意软件。客户可以选择将其各自的威胁数据输入ThreatCloud，通过其安全网关接收更新的威胁情报及防御升级。当新的僵尸病毒或恶意软件威胁在某个机构的网络中得到确认后，该恶意软件的详细信息就会被发送到ThreatCloud，并在数秒钟之内向世界各地的参与机构和客户分发有关的升级包。Check Point ThreatCloud也从公司所部署的安全网关、Check Point的信息搜集结果，及业界恶意软件反馈资料中获取威胁数据。

　　恶意软件是近期企业面临的较大的问题，罗杉介绍Check Point的Check Point Infinity 安全架构希望用一个全方位的态势，比纯粹使用NGFW更有效地抗击各种安全威胁。此外，Check Point能够紧贴安全威胁的发展动态，每半年会发表报告提醒业界及用户关注包括恶意软件在内的各种威胁。

　　两大杀手锏：可靠性+灵活性

　　相比市场上其他安全厂商的NGFW产品，罗杉认为可靠性及灵活性是Check Point NGFW 解决方案的最大优点。并进行了详细的介绍：

　　●可靠性：在NSS实验室公司的2016年下一代防火墙测试报告中，根据其对安全效能和价值的独立评估，再次认可Check Point的解决方案，并给予“推荐”评级。这是自2011年以来Check Point连续第五次获得下一代防火墙类别的“推荐”评级，因安全效能和价值第十一次获得NSS实验室总体“推荐”评级。NSS实验室2016年NGFW报告关于Check Point的主要结果如下：

　　·NSS漏洞库99.8%安全分数

　　·100%抗规避

　　·100%稳定性和可靠性

　　·主要应用领域100%防护

　　·连续第五次NGFW“推荐”评级

　　●灵活性：Check Point 在统一的下一代防火墙平台中，为各种规模客户提供最新的数据和网络安全防护，从而降低复杂性和总体拥有成本。无论数据中心、大型集团、小型企业还是家庭办公室，Check Point 都有适合的NGFW解决方案。

　　面对形形色色的安全威胁和挑战，针对安全产品市场的发展动向，罗杉自信的表示，Check Point Infinity 架构能够很好地应对，是未来网络安全的答案。