新技術(shù)浪潮下的邊界安全—IDC對下一代防火墻的解讀

　　下一代防火墻概念于五年前由Gartner首次提出，隨后受到了業(yè)界的大力追捧。然而，近幾年來，諸多IT技術(shù)發(fā)生了巨大的演進(jìn)，新型威脅則更是層出不窮，下一代防火墻已由最初的一個技術(shù)概念蛻變?yōu)榫唧w的功能實現(xiàn)，并得到了用戶的廣泛接納。

　　不久前，業(yè)界權(quán)威咨詢機構(gòu)IDC發(fā)布了《中國下一代防火墻發(fā)展趨勢研究白皮書》，業(yè)內(nèi)專家紛紛評論，這是下一代防火墻概念提出五年來，國際級權(quán)威機構(gòu)對其進(jìn)行的又一次深入研究，為邊界安全技術(shù)注入了新的活力，同時也對未來的技術(shù)趨勢做出了分析和預(yù)測。

　　IDC：中國下一代防火墻發(fā)展趨勢研究白皮書

　　下一代防火墻的技術(shù)延展

　　據(jù)了解，IDC本次發(fā)布的白皮書內(nèi)容涉及對下一代防火墻市場格局、用戶訴求、技術(shù)要素、未來發(fā)展等多方面的分析和研究，尤為引人注目的是，IDC基于其長期研究成果，對下一代防火墻概念進(jìn)行了再次解讀。

　　“從大的功能框架上來講，IDC這次對下一代防火墻的解讀和五年前Gartner的定義是非常相符的，但同時也注意到這本白皮書中頻繁出現(xiàn)了諸如終端、內(nèi)容、一體化、外部智能、數(shù)據(jù)聯(lián)動等關(guān)鍵詞，這充分說明隨著技術(shù)發(fā)展以及運用更加廣泛，業(yè)界對下一代防火墻技術(shù)的理解正在不斷深入”，熊瑛表示，IDC在白皮書中對下一代防火墻的解讀，是Gartner五年前定義的進(jìn)一步延展。

　　IDC本次發(fā)布的白皮書中同樣談到，下一代防火墻應(yīng)具備傳統(tǒng)企業(yè)級防火墻的全部功能，并且具有高性能處理架構(gòu)。同時，白皮書也特別指出，下一代防火墻的訪問控制不應(yīng)僅局限于針對應(yīng)用和用戶的控制，并首次提出要實現(xiàn)基于應(yīng)用、用戶、終端、內(nèi)容多維一體的高精度管控。下一代防火墻應(yīng)融入除入侵防御（IPS）以外更多的安全模塊，如病毒防護(hù)、數(shù)據(jù)泄露防護(hù)等，以提供更全面的安全防護(hù)能力。此外，下一代防火墻還應(yīng)基于云計算、大數(shù)據(jù)技術(shù)的第三方安全智能系統(tǒng)聯(lián)動，進(jìn)一步提升其威脅預(yù)警和對抗能力。

　　熊瑛表示，從這些概念中觀察到的變化，恰恰說明了下一代防火墻自身的技術(shù)進(jìn)化以及未來走向，有關(guān)下一代防火墻的一些技術(shù)指標(biāo)在這本白皮書中得到了更細(xì)致的描述。近日，網(wǎng)康科技產(chǎn)品市場經(jīng)理熊瑛先生對該白皮書進(jìn)行了深度解讀。

　　五大要素對抗新型威脅

　　專家指出，用戶對防火墻產(chǎn)品有著非常明確的功能訴求，即禁止越權(quán)訪問并阻斷惡意連接，而IDC認(rèn)為，在新的技術(shù)背景和威脅環(huán)境下，下一代防火墻應(yīng)具備五大核心要素以滿足用戶的功能預(yù)期。

　　IDC對下一代防火墻的解讀

　　要素一：針對應(yīng)用、用戶終端以及內(nèi)容的高精度管控

　　應(yīng)用管控應(yīng)更加精細(xì)化，能夠控制各類平臺化應(yīng)用的子功能，同時還要基于用戶和終端進(jìn)行控制，能夠?qū)δ承┨囟ㄎ募�的�?nèi)容進(jìn)行深入過濾，以消減信息泄密的風(fēng)險。

　　要素二：一體化引擎多安全模塊智能數(shù)據(jù)聯(lián)動

　　采用一體化引擎不僅能夠提升安全防護(hù)能力，還能大大提升產(chǎn)品性能，令下一代防火墻的各個功能模塊真正發(fā)揮作用。同時，各模塊產(chǎn)生的安全數(shù)據(jù)在一體化引擎中被相互關(guān)聯(lián)，有助于匯聚威脅情報信息，以掌握全局風(fēng)險和威脅全貌。

　　要素三：外部的安全智能

　　下一代防火墻能夠具備與外部云計算聯(lián)動的能力，并利用大數(shù)據(jù)挖掘分析抵御未知威脅。

　　要素四：可視化智能管理

　　在當(dāng)前信息安全專業(yè)人才緊缺、安全設(shè)備應(yīng)用日益廣泛的大環(huán)境下，下一代防火墻應(yīng)當(dāng)簡化配置難度，降低技術(shù)門檻并持續(xù)提升產(chǎn)品易用性（+微信關(guān)注網(wǎng)絡(luò)世界），真正改變用戶對防火墻“不會用”、“不愛用”最終造成其“不管用”的狀況。

　　要素五：高性能處理架構(gòu)

　　下一代防火墻對用戶的使用而言，真正的價值是開啟全部安全功能，保證性能是前提條件。因此，下一代防火墻要滿足大型數(shù)據(jù)中心、運營商網(wǎng)絡(luò)環(huán)境的性能要求，必須持續(xù)提高應(yīng)用層性能以及多威脅安全檢測性能。

　　下一代防火墻的三大價值收益

　　下一代防火墻的三大價值收益

　　部署下一代防火墻究竟能夠為用戶帶來哪些價值收益？

　　熊瑛認(rèn)為，如今下一代防火墻已經(jīng)被廣大用戶認(rèn)可并走向了普及，未來幾年下一代防火墻的運用范圍還將進(jìn)一步擴展，相比傳統(tǒng)的防火墻產(chǎn)品，部署下一代防火墻將會為用戶帶來三方面的價值提升。

　　“其價值首先體現(xiàn)在高性能的安全融合，通過軟件優(yōu)化和硬件架構(gòu)性能的提升，可以保證安全功能全開啟的情況下，設(shè)備提供足夠高的處理性能”，熊瑛表示，依靠單點技術(shù)進(jìn)行防御顯然已經(jīng)落伍，下一代安全必須融合盡可能全面的安全功能，而高性能的交付這些安全功能，則意味著用戶真正具備了相對全面的防護(hù)能力。

　　其次，由于具備了應(yīng)用、用戶、終端、內(nèi)容的識別能力，下一代防火墻將給傳統(tǒng)的訪問控制帶來三大顛覆性變化。第一，傳統(tǒng)基于IP、端口的數(shù)據(jù)流控制將轉(zhuǎn)變?yōu)獒槍�業(yè)務(wù)流的控制，第二，傳統(tǒng)的黑名單控制將轉(zhuǎn)向更加安全的白名單控制，第三，則是由傳統(tǒng)的單純針對流量控制轉(zhuǎn)向針對內(nèi)容控制。

　　最后，“三分技術(shù)，七分管理”是安全領(lǐng)域恒久不變的鐵律，下一代防火墻提供了更加智能化的安全管理，能夠幫助用戶發(fā)現(xiàn)問題、給出處理建議、高效完成響應(yīng)并及時檢驗效果，為用戶構(gòu)建了一個便于持續(xù)運轉(zhuǎn)的安全管理閉環(huán)。

　　下一代防火墻的價值收益

　　據(jù)悉，這本針對下一代防火墻展開深入研究的白皮書由IDC與網(wǎng)康科技聯(lián)合發(fā)布。網(wǎng)康科技作為國內(nèi)新興安全技術(shù)廠商的優(yōu)秀代表，早在2012年便推出了國內(nèi)首款下一代防火墻，目前其產(chǎn)品已廣泛運用于政府、金融、運營商、教育、大型企業(yè)等多個領(lǐng)域。