對于如今安全威脅變化,很多企業(yè)都已經(jīng)意識到并開始尋找新的解決辦法。傳統(tǒng)安全設(shè)備逐漸失效、技術(shù)門檻高、性能低、成本高昂等問題,讓企業(yè)的IT管理者在進(jìn)行安全運(yùn)維時飽受折磨。企業(yè)IT安全已經(jīng)到了必須進(jìn)化的時候了。
“下一代防火墻的出現(xiàn)讓我們看到了理念上的革新,人們開始真正用新的思維方式來看待安全防御問題。并且開始將這樣的理念貫穿于產(chǎn)品規(guī)劃過程,最終形成落地的功能,這些也將會引領(lǐng)今后安全防御技術(shù)的走向。” 網(wǎng)康科技市場部產(chǎn)品市場經(jīng)理熊瑛在接受我們采訪時這樣表示。
▲網(wǎng)康科技市場部產(chǎn)品市場經(jīng)理熊瑛
熊瑛談到,在國外,由下一代防火墻帶來的安全理念變革正在深入人心,可以說下一代防火墻已經(jīng)走在了普及之路上。但從國內(nèi)市場來看,下一代防火墻的推廣還有一些阻力,受限于意識、資金、技術(shù)等方面的欠缺,用戶對于安全的重視程度以及對先進(jìn)防御理念的接受程度仍將有一個提升的過程。
而企業(yè)用戶對于下一代防火墻為代表的新一代安全設(shè)備最核心的需求則體現(xiàn)在更安全、更簡單、更完整、更經(jīng)濟(jì),這也是下一代防火墻能為用戶帶來的最大價值。熊瑛介紹到,所謂更安全就是指對于新興威脅尤其是未知威脅的防御能力要有所提升,更簡單則指設(shè)備具有更好的操作體驗并且具備智能的分析能力以支撐管理,更完整代表所有安全功能無縫融合的情況下保證較高的整體性能,更經(jīng)濟(jì)則意味著更低的投入成本和管理成本。
針對國內(nèi)企業(yè)IT的實(shí)際需求,熊瑛認(rèn)為,一款優(yōu)秀的下一代防火墻產(chǎn)品應(yīng)該具備的核心功能無外乎訪問控制、威脅防御、高性能以及組網(wǎng)能力幾方面:
1、訪問控制是安全設(shè)備應(yīng)具備的基本功能,在此方面無疑要由傳統(tǒng)的5元組過度到更加符合用戶安全需求的8元組。盡管市場上幾乎所有的安全產(chǎn)品都在持續(xù)改善8元組的應(yīng)用控制能力,但應(yīng)重點(diǎn)關(guān)注兩個技術(shù)難點(diǎn),一是基于用戶控制時的用戶認(rèn)證便捷度,二則是控制應(yīng)用的廣度和深度。
2、威脅防御始終是一款安全設(shè)備應(yīng)該關(guān)注的重點(diǎn),因為傳統(tǒng)基于本地代碼特征比對進(jìn)行威脅識別的技術(shù)在面對新興威脅時已經(jīng)開始失效,所以要想形成更強(qiáng)的安全防御能力,一方面應(yīng)增強(qiáng)代碼特征的檢測能力,另一方面則更應(yīng)關(guān)注到未知威脅的防御。
3、我們主張更加理性的看待安全設(shè)備的性能,我們已經(jīng)注意到近年來大規(guī)模的DDos攻擊真正達(dá)到拒絕服務(wù)的目的,更多的是由于鏈路阻塞造成的,并且在未來對于企業(yè)網(wǎng)來講,破壞性的DDos攻擊將不會是主流,而更多面向企業(yè)的滲透行為,其實(shí)更多時候只需要幾千字節(jié)的流量就足以完成。對于這樣的情況,要求安全設(shè)備有高效的多威脅檢測能力,因此我們應(yīng)看重的是所有檢測功能全開啟情況下的應(yīng)用層高性能。
4、安全設(shè)備首先是一款網(wǎng)絡(luò)設(shè)備,其組網(wǎng)能力不容小視。為了順應(yīng)當(dāng)今用戶的組網(wǎng)需求,一款優(yōu)秀的下一代防火墻應(yīng)具備更加靈活和智能的組網(wǎng)能力,例如應(yīng)具備多鏈路負(fù)載均衡、運(yùn)營商路由智能優(yōu)選、基于應(yīng)用的智能引流等功能。
談到企業(yè)下一代防火墻選型,熊瑛建議到,“根據(jù)下一代防火墻的權(quán)威定義,有幾個比較顯著的標(biāo)簽是:基于應(yīng)用層構(gòu)建安全、主動防御、多威脅檢測機(jī)制智能融合。而與這些標(biāo)簽相對應(yīng)的參數(shù)或考量標(biāo)準(zhǔn)主要體現(xiàn)在以下幾點(diǎn):首先是應(yīng)用識別的廣度和深度以及與本土用戶使用習(xí)慣的契合度,其次是可視化及智能分析的能力和操作體驗,再次是功能全開啟后的性能以及性能衰減趨勢。”因此,企業(yè)用戶在選型下一代防火墻時應(yīng)注意這些點(diǎn)。
最后,熊瑛表示,“防火墻在之前一直以‘執(zhí)行者’的形象出現(xiàn)在網(wǎng)絡(luò)中,在今后,下一代防火墻應(yīng)該成為具有執(zhí)行能力的建議者,因此我們認(rèn)為下一代防火墻在今后變化的一個比較明確的方向應(yīng)當(dāng)是更加智能化,例如對全網(wǎng)數(shù)據(jù)的深入分析能力,對管理運(yùn)維的建議支撐能力等。當(dāng)然,作為一款安全設(shè)備,具有極強(qiáng)威脅防御能力是必須具備的要素,所以在威脅檢測方面,應(yīng)當(dāng)有持續(xù)的技術(shù)創(chuàng)新。如果真正能夠在這幾個方面持續(xù)的改善,無疑將加速下一代防火墻用戶認(rèn)可度的進(jìn)程。”(完)