根据Gartner的调查数据，目前有超过75%的安全攻击都是针对各类应用的，而不是系统底层和网络。下一代防火墙关注的重点正是应用层的安全，作为紧跟时代潮流的一款安全产品，它在企业的应用现状如何?企业如何选型NGFW?企业对于下一代防火墙更多的期待是什么?为此，我们专门采访了迈克菲相关领域的安全专家。

迈克菲是在2013年5月开始踏入下一代防火墙领域，于当月宣布开始对下一代防火墙厂商Stonesoft进行收购，7月正式完成收购计划。而本次针对下一代防火墙选题我们采访了McAfee Stonesoft高级售前顾问刘权峰。

▲McAfee Stonesoft高级售前顾问刘权峰

下一代防火墙定位

刘权峰首先谈到，面对目前日趋严峻的安全威胁和企业业务的不断变化,企业对NGFW产品的需求爆发式增长，NGFW将是未来安全市场的宠儿。目前NGFW市场正面临着巨大的变革,一方面推出NGFW产品的厂商越来越多,鱼目混杂需要重新进行洗牌；另一方面对于下一代安全每个厂商的定义不同,安全厂商和用户都需要清楚的认识到什么产品技术才是真正代表下一代安全。

那么怎样才算是一款优秀的NGFW产品呢?刘权峰介绍到，一款优秀的NGFW产品要能够在保证稳定、安全和高性能的前提下完全可以支持企业业务的动态变化，无论您的业务系统是部署在物理环境、虚拟环境还是云平台，是部署在单一地点还是多个分支机构环境，NGFW都需要能够去适应企业业务的环境变化，实现威胁的主动防御。

1、弹性部署和灵活的自适应性：NGFW应该具备可以根据用户业务环境变化实现自适应性。例如：要能够适应物理环境架构部署，虚拟化环境部署以及云环境部署；

2、可以任意转换角色：一定是围绕用户业务的需求，用户需要NGFW产品扮演什么角色，NGFW就可以转换成需要的角色，例如可以转换成下一代IPS，下一代VPN，下一代防火墙，L2FW，这需要NGFW要有自由灵活的统一的安全引擎；

3、面向未来的安全威胁防护能力：NGFW系统应该是具有对于目前和未来安全威胁的感知和主动防御能力，例如：对于组合数量级庞大的高级逃逸技术要具备完全防护能力，要能够持续性的进行动态库更新。

4、上下文感知能力：应用感知/内容感知/身份感知都属于上下文感知，NGFW要能够精准的识别应用及应用参数。例如：HTTP POST，HTTP GET ，以及还要能够识别应用中植入的其它数据。上下文感知是NGFW核心要求，它能够帮助用户制订出更加完善的安全策略，因为NGFW可以清楚的了解到用户访问的是哪些应用，用户访问的信息是否包含敏感信息，上下文感知能力考验的是NGFW 深度检测技术的能力。

5、稳定和高性能：高性能前提是NGFW对于安全的防护能力不能削减，这要求NGFW产品软件系统要能够充分激发硬件的性能潜力，要能够实现可以通过软件优化版本升级提升NGFW性能。

6、实现下一代集中管理：NGFW要能够实现集中管理，无论NGFW部署在数据中心，还是网络边界和远端站点，通过集中管理平台要能够实现对NGFW智能监控和日志的关联分析。 对于传统FW，Web GUI管理非常容易出现人为的错误以及由于日志缺乏关联性而导致报告不可用情况的发生。

[page]

下一代防火墙选型

部署NGFW对于企业用户来说最大价值体现在可以保证企业关键业务系统稳定、安全、可管理。刘权峰谈到，企业用户在进行产品选型时也要结合这三方面来进行产品的选型。

1、稳定特性

对于企业用户NGFW设备的稳定性是需要首要考虑的，选型方面要充分考虑产品自身架构的稳定。例如是否采用专用的操作系统，是否通过国际认可的EAL4+ 认证(国际上认可的最高等级的稳定安全方面的认证)。

在产品功能上也需要具备能够满足稳定要求功能，例如是否采用自己的专利集群技术;是否可以支持全Active部署;是否可以支持不同软件版本不同型号的产品的集群。由于NGFW产品需要部署在网络边界直接连接不同的链路类型，如 3G 专线 ADSL，因此要求NGFW需要内置链路负载均衡的技术，保证链路的稳定。在多分支机构VPN互连的架构里，要能够确保在某条链路失效的情况下，业务数据通信要能够平滑迁移到其它链路上来，保证业务绝对不会中断。

2、安全特性

面对不断出现新的安全威胁，NGFW要能够对这些威胁实现主动地防御。这需要用户在选择NGFW时候要考虑NGFW产品深度检测技术的能力，可以参考第三方机构的报告。 目前比较权威的是NSSLabs，每年对NGFW都会有综合性的测评，包括近三年的攻击防护率测试/在采用默认策略防护率测试/攻击环境下设备稳定性测试/高级逃逸攻击测试。

刘权峰强调到，一定要考虑NGFW对于高级逃逸技术的防护能力，多数用户都使用IPS、UTM或防火墙来防护关键业务系统和敏感数据。逃逸技术，就是以穿透这类安全设备为目的的黑客技术。逃逸技术很古老，防范手段也很简单，我们市场上现有的所有安全品牌，对这些传统的逃逸都有很好的防御能力。但是与其他攻击不同的是，逃逸技术可以进行一系列变种和组合，组合之后的变化会达到上亿种，远远大于任何厂家的特征库数量，所以对于传统的安全设备根本不可能检测和拦截这类的攻击，高级逃逸技术对于客户数据安全的威胁是明显的。它有两个最致命特点：一是现有的网络安全设备对其完全无法检测，不起作用；二是用户被高级逃逸攻击后，在安全设备上是不留任何日志的，也就是用户不会知道自己丢了资料，所谓亡羊补牢都难以实现。

3、可管理

NGFW必须具备下一代集中管理平台，集中管理平台可以作为安全信息和事件管理平台(SIEM)，管理平台同时还要能够实现对NGFW智能监控和日志的关联分析。

[page]

下一代防火墙趋势展望

企业员工的移动性、数据中心的虚拟化以及云计算已经是大势所趋，这些趋势会逐渐导致企业对IT系统丧失控制权，NGFW技术发展可以帮助企业解决所面临的这些问题。刘权峰讲到，其中需要注意的是NGFW的未来发展一定不再是基于静态的产品和模型，取而代之的是基于软件的动态的产品架构，需要具有动态的，自适应的和不断演化的特性。NGFW的产品发展不应该像瑞士军刀一样的产品，不应该是安全功能的简单叠加， 拼凑，堆叠。这种松散的安全架构不是真正意义上的下一代安全产品。

此外，每个安全厂商对于NGFW产品技术定义不同，有的厂商认为下一代的安全是对高性能的支持，有些认为下一代安全应坚定走上下文感知这条路，有些则认为下一代安全技术是虚拟化平台的支持……刘权峰认为，下一代安全产品一定要遵循N-Line理论，也就是说NGFW的发展需要同时满足高性能，统一安全引擎软件，支持高级逃逸技术防护，支持上下文感知，支持虚拟化环境部署，支持更简单快速的配置同时需要经济性，保护用户投资。