2013年6月6日，網絡世界百家講堂欄目第31期——“下一代防火墻，安全可以很簡單”如約與廣大技術愛好者見面。本期欄目備受關注的原因在于邀請到了國內最早研究下一代防火墻的專家之一，網康科技高級市場經理嚴雷先生為大家解讀下一代防火墻的方方面面。

下一代防火墻的技術背景

應用大爆炸與下一代防火墻

嚴雷先生首先就下一代防火墻產品提出的背景做了講解。他談到，網絡應用的爆炸式發展以及當代企業業務與互聯網的緊密結合是下一代防火墻誕生的一個最主要背景。傳統防火墻從網絡協議棧的角度來說主要工作在第三層第四層也就是地址層和傳輸層，然而這種設計卻對第七層應用無法進行很好的安全管控。為了解決這個問題，傳統防火墻上出現了ALG技術，類似于在防火墻上開一個洞，以硬編碼(hard code)的形式針對特殊的應用進行開發。然而隨著網絡應用的爆炸式發展，ALG方式就完全跟不上了，目前一般來說防火墻上的ALG總數都在10個以內，而單單蘋果AppStore上就有100萬以上的應用。這迫切要求防火墻產品能夠在應用層上重新構建安全體系，這種體系不是圍繞哪種具體應用，而是針對所有應用設計一個全新的安全管控框架。下一代防火墻便是這樣一款產品，網絡流量在下一代防火墻上被從“人、內容、應用”三個角度進行解析，然后再進行相應的安全監測和控制。在這種全新的框架下，應用得以被準確的識別、精細的檢測和嚴格的控制。

快速變種的惡意代碼

網絡威脅的發展趨勢則是另一個重要的技術背景。惡意代碼正在變得越來越復雜越來越隱蔽越來越難于被識別。首先惡意代碼的復雜度越來越高，“火焰病毒”的代碼量是之前名噪一時的“震網病毒”的20倍，是普通病毒的100倍。而且惡意代碼的傳播變得越來越有針對性，往往是為攻擊目標量身定制的，這使得惡意代碼特征很難在其他地方被捕獲進而令被攻擊者獲得防御能力。同時，惡意代碼的變種速度也非常快，通過“代碼特征”來進行識別變得越來越困難。針對惡意代碼的這些發展趨勢，下一代防火墻采用了一條截然不同的道路來進行安全防護——那就是從“代碼特征”走向“行為特征”。下一代防火墻通過對應用的準確識別，以及對加密流量的識別，使得網絡上的各種細節被清晰地展現在管理員面前，從而使得管理員可以識別到高風險和異常的網絡行為。無論惡意代碼如何變形，它總是要進行一些惡意的網絡行為，相對于代碼自身來說，行為特征很少改變，通過對行為的分析，就可以有效地發現惡意代碼。

傳統安全模式和下一代安全模式的對比

復雜的安全體系結構

越來越復雜的安全體系架構同樣是催生下一代防火墻的重要原因。網絡上的安全產品越來越多，包括殺毒、IPS、IDS、網址過濾、惡意代碼掃描等，從安全的角度看這些產品都有其獨特的產品價值。但如果一個組織全部采購這些產品，那么就必然要面臨著高昂的購置成本、維護成本和管理配置成本。更為嚴重的是，這些設備彼此獨立，他們產生的報告彼此之間也沒有關系，這就使得管理者無法或者很困難從這些報告中獲得對網絡安全的整體了解。UTM產品雖然將不同的安全引擎放置在了一個盒子里，但是這只能解決購置成本問題。即使不考慮性能上的巨大下降，分散的安全引擎在配置管理上和安全分析上同樣是非常困難的，這直接導致了UTM在市場上的表現不佳。下一代防火墻是圍繞著應用層對安全框架進行了重新搭建，同樣是多引擎結構，但是這些是圍繞著應用層進行了重新的架構，安全配置是統一進行的，安全日志也是集成關聯分析的。這使得多安全引擎被有機整合為一個整體，相互關聯相互配合的多安全引擎，直接推動網絡安全走向了一個新的臺階。

“人民安全”——網康眼中的下一代安全理念

下一代安全的本質究竟是什么?嚴雷認為，下一代防火墻對于防火墻的貢獻，類似于蘋果對手機的貢獻，一方面在安全技術上下一代防火墻有新的建樹——主要集中在多安全引擎集成分析和行為分析方面。但更重要的是下一代防火墻改變了“安全”的管理方式，降低了安全的“門檻”，真正將安全技術變為一種人人都可以理解和掌握的技術，把安全從專家的專屬領域變為了人民的領域，這也就是網康科技主張的“人民安全”的含義。

更簡單的安全

下一代安全首先是更簡單的安全。下一代安全的一個基本特征就是所謂的“可視化”，意指對網絡信息進行分析整理并以圖形的方式進行直觀展現。這種產品設計給安全管理帶來的改變要比人們想象得還要深刻。以一個案例為例：

在這個案例中，網康的下一代防火墻架設在客戶網絡中后，我們的客戶從主界面一眼就發現網絡中的流量構成不正常，并利用設備提供的關聯鉆取功能，和IP地址國家展示功能很快的定位到問題主機和問題原因。這使得我們的客戶非常興奮，第一次我們讓客戶有了一種對安全的理解和信心。這就是下一代防火墻的魅力所在。由于下一代防火墻對網絡信息的洞察能力和生動地呈現方式，使得網絡管理者可以很容易地發現網絡中的問題，并利用防火墻進行追蹤定位進而進行應用級安全策略配置來解決問題。在下一代防火墻的幫助下，每一個IT管理人員都可以變成安全專家，都可以主動地對網絡進行觀察，探索，和控制，這就是一款“人民安全”產品的價值!

更完整的安全

其次，下一代防火墻還是更加完整的安全產品。對于中小企業來說，無論是從購置成本來考慮，還是從復雜的部署、管理、維護對人力成本的巨大要求來考慮，都不太可能部署所有的主流安全設備到網絡中。而下一代防火墻一體化多威脅檢測引擎的產品設計，使得用戶可以擁有完整的安全能力，而且區別于UTM之處在于，下一代防火墻是圍繞應用層重新構建的安全架構，多安全引擎通過應用層進行統一配置，安全日志通過應用關聯進行統一分析，讓管理人員能夠真正以管理一臺設備的方式工作，而不是像UTM那樣在一個界面中管理多臺無關設備。這使得用戶可以真正將所有主流的安全技術輕松地應用在自己的網絡中，隨著下一代防火墻在普及，整個中國的安全防護水準將得到極大的提升，從這里我們又能理解到“人民安全”更深一層次的含義!

下一代防火墻的具體實現

當前市場上已經出現了很多下一代防火墻產品，根據不同公司對產品的不同理解以及不同的技術積累，在產品實現過程中就出現了很多差異性。網康科技在做具體實現的時候，也做出了很多差異性的實現。

云查殺技術

Gartner定義下一代防火墻的時候,云計算并沒得到普及，然而今天，“云”已經成為了眾多安全廠商競相采用的一種技術。結合防火墻產品，云主要表現出了兩方面的優勢。首先是特征數量更大和特征更新更快。受限于本地存儲空間大小和cpu運算能力，一般的獨立防毒墻，或者UTM、防火墻產品中嵌入的殺毒引擎所具備的特征庫數量基本上都是10萬級的，而云端的病毒庫由于不受計算能力和存儲能力的限制，因此擁有多達500萬以上的特征庫。而且云端安全引擎不會出現擴展性問題，隨著樣本庫的增長我們只需要調整云中心的硬件配置就可以了。需要指出的是，木馬的危害性遠遠超過病毒和蠕蟲，它是僵尸網絡、數據泄露的重要途徑，是對企業安全的巨大威脅。云安全技術是應對木馬的有力武器，事實上，由于木馬具有快速變種的特點，可以認為這種解決方案對于木馬是唯一有效的檢測方案。根據我們的測試，在和幾款主流的安全硬件的對比中，同樣的樣本數據，網康下一代防火墻的檢出率高達90%而其他設備的檢出率不超過60%。

數據防泄漏技術

DLP的要求同樣沒有出現在Gartner的定義中，然而隨著大數據時代的來臨，數據已經成為了企業的核心資產，在國家對公共信息保護日益嚴格的情況下，數據泄露在給企業帶來巨大損失的同時，還會為企業帶來法律風險。所以，下一代安全技術中有必要針對數據泄露設計專門的防范措施。當前的許多數據檢測都是發生在協議層的，例如FTP，HTTP等。而實際上，數據泄露卻有著很多的渠道，許多網絡應用都可以進行數據傳輸，例如網盤、P2P、IM等等，這些應用都有自己獨特的數據傳輸機制，這不是從協議層可以檢測出來的。所以要進行有效的數據泄露檢測，必須能夠針對具體應用來進行。而這恰恰是下一代防火墻的核心能力所在。網康科技針對300種能夠進行數據傳輸的應用進行了檢測，并支持66種文件類型的檢查。而且還支持通過正則表達式的形式來進行關鍵字規則限定，并且預定義了許多數據類型例如“身份證號”、“銀行卡號”、“信用卡號”等。

鏈路負載均衡與應用引流

除了在下一代安全技術的進一步加強外，網康還針對一些客戶的實際需求做出了一些極具實用價值的新功能。比如，網康科技觀察到很多客戶都具有多鏈路出口的場景，負載均衡對這些客戶有著明顯的價值，于是引入了鏈路負載均衡功能，這對于提升我們客戶的網絡吞吐有著很好的幫助。除了傳統的鏈路負載均衡功能，網康還將其獨有技術“應用引流”引入到了下一代防火墻平臺上，用戶可以根據應用類型來決定選擇哪條鏈路，這可以讓客戶將核心業務分布到優質高價鏈路上，將無關業務分布到劣質低價鏈路上，更好的發揮IT投資的價值。

如何選擇下一代防火墻

如果用戶希望選購下一代防火墻，那么在選型過程中應該如何評估不同的產品呢?嚴雷針對這個問題給出了幾點建議。

應用層吞吐

首先從性能方面來看，用戶一定要注意區分“網絡層性能”和“應用層性能”以及“安全能力全開啟性能”這三個指標的差異。傳統防火墻往往會以網絡層性能作為參數。然而網絡層性能對于下一代防火墻而言基本沒有意義。因為下一代防火墻是在應用層上工作的防火墻，因此，客戶應該考察的是“應用性能”，也就是在應用識別能力開啟條件下的防火墻性能。另外，下一代防火墻的核心特征之一就是多安全引擎開啟不會導致嚴重的性能下降情況。因此客戶還必須要考察在多安全引擎全部開啟的情況下，防火墻的性能表現。

應用識別能力

第二點就是從應用識別能力來考量。下一代防火墻是工作在應用層基礎上的防火墻，因此應用識別能力成為下一代防火墻的核心能力。首先要考察防火墻的應用庫有多大，比如說網康的應用識別數為3000，網址為2600萬，這在國內是領先的。其次是應用識別的細粒度，比如應用是否有足夠多的分類，以便于客戶管理，平臺型應用是否還支持子應用識別等。另外，應用庫的更新速度也很重要。

可視化能力

除了以上兩點之外，還有一點比較重要那就是產品的可視化能力。下一代防火墻是一款“人民安全”產品，他最大的價值在于通過可視化方式，讓安全變得簡單生動。因此，可視化能力是決定下一代防火墻能否真正發揮作用的關鍵所在。當然這一點很難量化衡量，需要用戶自己親自動手比較過才能得出結論。網康產品中一些可視化的點，可以作為大家的參考，比如“基線對比”功能可以幫助用戶發現網絡中的異常情況，“ip國家屬性”可以幫助用戶了解來自其他國家的流量(這往往是異常流量)，應用風險評分可以幫助用戶了解網絡中應用的可能風險。

安全能力

從安全的角度看，下一代防火墻的主要貢獻在于多安全引擎的深度整合。用戶首先可以考察產品中集成了哪些安全引擎?不同安全引擎的配置是一次完成還是分別完成?安全日志是分散的和一體的?日志數據是否支持相關性跳轉?這些問題都可以判斷這是一款真正的下一代防火墻還是一款UTM產品。