随着科技的發展和企業文化的進步，深入融合作為當今企業的發展需求，已經超出了傳統防火牆的能力範圍，為了迎合web2.0時代的到來，衆多廠商紛紛發布下一代防火牆産品。然而近年來網絡安全又面臨着各種威脅和挑戰，在這一大背景下，IT168網絡安全頻道邀請到了新華三安全産品線的産品經理陳發明先生，和我們一起從現狀和未來雙向出發，探究用戶對下一代防火牆主要的需求點，探究下一代防火牆的發展規劃，以下為采訪實錄：

▲新華三安全産品線的産品經理陳發明

IT168：能否先為我們簡單介紹一下在您眼中我們的網絡安全所面臨的一些主要挑戰?

陳發明：網絡安全目前面臨三個比較大的挑戰：第一是惡意代碼及病毒防範。惡意代碼及病毒已越來越多的威脅現代IT系統，病毒的制造者和傳播者已不再單單是炫耀自身的技術，更多的是追求經濟利益。通過木馬軟件、釣魚網站、郵件、以及即時通信工具等方式感染計算機，盜取企業商業秘密或個人隐私，許多政府部門、企業單位、銀行、通信等都利用網絡開展工作，給了不法分子有利可圖的機會。下一代防火牆經常作為網絡的邊界設備，作為園區網絡的第一道關卡，應能解析并防範報文載荷中的惡意代碼及病毒，以予以攔截。

第二是防範DDOS攻擊及APT攻擊。網絡攻擊通常由黑客發動，黑客對網絡的攻擊方法已達上千種，黑客通過控制大量僵屍主機幾乎可以發動任意規模的DDOS甚至APT攻擊，成為信息安全的嚴重威脅。

第三點是防止各類非法入侵及信息竊取。1、造成網絡服務中斷;2.竊取國家機密;3.擾亂正常的經濟秩序和管理秩序;4、侵犯個人隐私信息。

第四點是防範垃圾信息污染。垃圾信息包括反動信息、暴力信息、黃色淫穢信息、冗餘信息、虛假信息和廣告信息等等種類。

IT168：根據IDC行業白皮書顯示，下一代防火牆主要特性主要分為四部分，分别為智能化、可視化、虛拟化以及協同。首先請您介紹下貴公司的下一代防火牆的智能化是如何實現的?

陳發明：新華三下一代防火牆，通過單台或多台設備對網絡流量進行分析，判斷訪問者的行為習慣，同時基于行為分析結果構建自适應策略，橫向關聯場景庫、特征庫等功能模塊，能夠有效快速識别網絡中異常的入侵行為，安全防護系數大幅提高。例如，當訪問者所在區域發生變化時，自學習系統可以快速發現并産生相應報警及關聯判斷，最終通過智能分析判斷本次訪問的合理性并決定是否對該訪問予以放行。

IT168：面對新的安全挑戰，下一代防火牆中講求“安全威脅是可視的”，我們的下一代防火牆在可視化上做了哪些工作?

陳發明：新華三下一代防火牆對應用的識别度高，對于IM、遊戲、下載軟件等衆多應用進行深度識别。因此，下一代防火牆可以提供清晰的全局應用流量展現，結合用戶信息、IP信息等因素，綜合展現企業IT系統中流量的具體内容，成為網絡中的“監控攝像頭”，管理員可以通過下一代防火牆的可視化特性，快速實時監控網絡流量信息，設定報警策略，快速發現入侵行為。

IT168：雲計算作為主要的發展趨勢之一，近年來發展非常快，而下一代防火牆是相對比較融合性的産品，那在虛拟化的大場景下，貴公司的NGFW産品都做了哪些努力?

陳發明：雲的快速興起與大規模建設，使得虛拟化技術得到廣泛應用。雲自身的邊界安全與虛拟化環境下的邊界安全正在成為制約雲應用快速發展的阻礙因素，無論是以阿裡巴巴、亞馬遜為代表的公有雲提供商，還是政府、金融、教育等行業私有雲用戶，他們對于雲環境的邊界安全非常關注。新華三下一代防火牆具備可遷移性，能夠以軟件形态遷移到雲環境中，并與雲管理中心形成有效的信息互通，達到彈性的、按需索取的效果，從而為雲中租戶提供快速的、有效的邊界安全防護效果。同時，硬件形态的下一代防火牆所具備虛拟化的特性促進了其與雲平台相結合的技術趨勢，例如，硬件形态的下一代防火牆可以采用專業安全資源池的方式與雲管理中心交互，實現對雲中虛拟化環境下的邊界安全防護。

IT168：協同聯動近年來不斷被提及，而在下一代防火牆中，協同也不再僅僅是一個概念性話題。安全産品已經不再是孤立存在、單打獨鬥的與攻擊抗衡，下一代防火牆通常會與IT系統中的其它安全防禦系統構建協同的工作機制面對，安全系統之間的協同工作又是怎樣實現的呢?

陳發明：新華三下一代防火牆通常會與IT系統中的其它安全防禦系統構建協同的工作機制，确保一旦單點受到攻擊，全網實施策略升級及綜合預警、響應的快速防禦效果。特别是面對當前備受關注的APT攻擊，安全威脅情報系統需要與IT系統全網安全産品協調交互信息，構建“陸海空”立體的防禦效果，對黑客攻擊實施精準打擊。

IT168：威脅情報規模化管理是NGFW的主要功能之一，貴公司的威脅情報主要來源于哪?威脅情報的關聯、獲取、鑒定以及溯源都是怎樣實現的?

陳發明：新華三的威脅情報主要來源兩個方面：其一是新華三攻防團隊的漏洞分析、惡意攻擊特征分析;第二是合作夥伴提供的病毒庫、攻擊特征庫;通過多年經營與積累，新華三擁有業界資深的攻擊特征庫團隊，同時配備有專業的攻防實驗室，緊跟網絡安全領域的最新動态，從而保證特征庫的及時準确更新。

IT168：惡意軟件是近期企業面臨的較大的問題，那我們的NGFW産品在惡意軟件的管控上有怎樣的表現?

陳發明：新華三的NGFW産品在惡意軟件的管控上可以分兩方面來講，首先是在IPS方面，采用新華三自主知識産權的FIRST(Full Inspection with Rigorous State Test，基于精确狀态的全面檢測)引擎：集成了多項檢測技術、基于精确狀态的全面檢測，提高入侵檢測精度;采用并行檢測技術，提高入侵檢測的效率。在實時的病毒防護方面，采用Kaspersky公司的流引擎查毒技術，從而迅速、準确查殺網絡流量中的病毒等惡意代碼。

IT168：貴公司的NGFW産品和公有雲的對接是怎樣完成的?

陳發明：NGFW可以以軟件的形态提供在X86服務器上的靈活布署，雲控制器可以根據用戶需求，生成NGFW的虛拟化實例，定制化安全相關服務，将虛拟牆分配給租戶進行管理使用。

IT168：您認為貴公司的NGFW産品和其他安全廠商的産品相比，最大的殺手特點是什麼?

陳發明：新華三多年的網絡基礎開發保證了NGFW産品的協議的健壯性，出色的硬件設計能力保證産品的穩定性。高端産品連續入圍運營商集采，在運營商場景的規模化開局保證了産品的高性能。多核處理器保證了高速的多業務處理能力。

采訪到最後，陳發明簡單預測了防火牆産品的發展趨勢，他認為未來防火牆的發展必定離不開高性能和可擴展性兩大特性。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!