梭子魚(yú)中國(guó)區(qū)產(chǎn)品經(jīng)理潘淵

企業(yè)為什么需要下一代防火墻?

隨著互聯(lián)網(wǎng)的飛速發(fā)展， WEB 2.0, 3G/4G移動(dòng)平臺(tái)，虛擬應(yīng)用/云計(jì)算等新技術(shù)的廣泛應(yīng)用，它們?yōu)槠髽I(yè)帶來(lái)業(yè)務(wù)便捷的同時(shí)，也帶來(lái)了更多的安全威脅。在信息安全建設(shè)過(guò)程中，企業(yè)面臨新一輪的挑戰(zhàn)：

1) 傳統(tǒng)的防火墻面對(duì)日益復(fù)雜的應(yīng)用安全威脅已經(jīng)顯得力不從心;

2) 防火墻的部署、管理需要專(zhuān)業(yè)技術(shù)人員，小型企業(yè)或者企業(yè)分支機(jī)構(gòu)難以維護(hù);

3) 而防火墻/IPS/病毒墻…這種“羊肉串式”的解決方案正變得日益復(fù)雜，IT投資性?xún)r(jià)比越來(lái)越低;

企業(yè)需要全面的考慮企業(yè)真實(shí)網(wǎng)絡(luò)環(huán)境下的安全性和實(shí)用性，需要在網(wǎng)絡(luò)防火墻具備的端口/協(xié)議/包過(guò)濾的基礎(chǔ)上，增加應(yīng)用識(shí)別控制以及用戶(hù)識(shí)別控制，不僅如此，在真實(shí)的應(yīng)用網(wǎng)環(huán)境下，自適應(yīng)的路由功能，帶寬管理，全面的網(wǎng)絡(luò)接入控制(包括遠(yuǎn)程接入)，以及便捷的網(wǎng)絡(luò)擴(kuò)展性和方便的網(wǎng)絡(luò)管理性也是企業(yè)需要考慮的內(nèi)容。

企業(yè)在選擇下一代防火墻時(shí)的注意事項(xiàng)

潘淵認(rèn)為，市場(chǎng)上有著大量的下一代防火墻產(chǎn)品,提供的安全功能看似也大致相仿,在這個(gè)前提下,企業(yè)可以將網(wǎng)絡(luò)管理的便捷性和企業(yè)網(wǎng)絡(luò)的可延展性作為重點(diǎn)注意事項(xiàng).

從網(wǎng)絡(luò)延展性的角度講，他談到，隨著B(niǎo)YOD的普及,企業(yè)辦公地點(diǎn)的延伸,異地辦公,遠(yuǎn)程接入變得非常普及,企業(yè)網(wǎng)絡(luò)正變得異常龐大,企業(yè)選擇的下一代防火墻產(chǎn)品需要具備良好的可操作性，為多樣化的網(wǎng)絡(luò)接入設(shè)備提供安全防護(hù),比如識(shí)別接入設(shè)備的MAC地址,提供更清晰的網(wǎng)絡(luò)可識(shí)別性.

他認(rèn)為，在選擇防火墻的時(shí)候不僅僅是設(shè)備功能性的問(wèn)題，設(shè)備提供的可管理性才是企業(yè)安全管理的基石,統(tǒng)一的安全防護(hù)策略,快速便捷的網(wǎng)絡(luò)部署,中后期的設(shè)備維護(hù),需要綜合考慮，牽扯到大量的人力成本及投資成本,這些都是選擇防火墻的重要注意事項(xiàng)。

梭子魚(yú)下一代防火墻的分類(lèi)和定位

潘淵介紹說(shuō)，梭子魚(yú)下一代防火墻是專(zhuān)為分布式網(wǎng)絡(luò)設(shè)計(jì)產(chǎn)品,由防火墻產(chǎn)品和集中管理平臺(tái)組成,提供硬件設(shè)備和虛擬應(yīng)用兩種交付形式,十多款硬件型號(hào)中,從專(zhuān)為辦事處/分店等小型機(jī)構(gòu)設(shè)計(jì)的F10/F100設(shè)備,到適合企業(yè)總部/大型數(shù)據(jù)中心使用, 吞吐量達(dá)到超過(guò)20Gbps的F900設(shè)備,可以應(yīng)對(duì)企業(yè)搭建整體網(wǎng)絡(luò)的需求。梭子魚(yú)下一代防火墻 體現(xiàn)在以下幾個(gè)方面：

1) 智能識(shí)別，已識(shí)別超過(guò)800個(gè)應(yīng)用程序和超過(guò)100，000，000條URL地址庫(kù)

2) 智能流量控制，在多條鏈路間提供高智能化的應(yīng)用智能路由，策略路由等功能，并且可應(yīng)用在VPN通道間。

3) 智能集中管理理念，以推送的方式，進(jìn)行配置&版本&安全庫(kù)的同步，通過(guò)U盤(pán)實(shí)現(xiàn)一鍵式快速恢復(fù)。

梭子魚(yú)防火墻的優(yōu)勢(shì)核心技術(shù)以及如何減少成本

梭子魚(yú)下一代防火墻采用獨(dú)特的三層引擎架構(gòu)，除了傳統(tǒng)的防火墻功能外，在應(yīng)用安全，應(yīng)用路由，VPN組網(wǎng)，WAN流量?jī)?yōu)化，集中管理方面都進(jìn)行了專(zhuān)門(mén)的設(shè)計(jì)，獨(dú)具特色。

一方面，它非常適合于幫助用戶(hù)組建大型分布式網(wǎng)絡(luò)。例如：歐洲某金融企業(yè)部署了超過(guò)2500臺(tái)NG防火墻，并建立VPN網(wǎng)絡(luò)，全球只需4個(gè)IT管理員便可支撐系統(tǒng)的穩(wěn)定運(yùn)行。

另一方面，它部署便捷，管理簡(jiǎn)單。 例如：對(duì)于小型企業(yè)或者分支機(jī)構(gòu)，只需要把預(yù)配置U盤(pán)插入全新的NG設(shè)備，啟動(dòng)設(shè)備，即可運(yùn)行。不需要現(xiàn)場(chǎng)人員具備任何的專(zhuān)業(yè)知識(shí)。管理員可以通過(guò)管理平臺(tái)對(duì)設(shè)備進(jìn)行所有操作。

梭子魚(yú)下一代防火墻集成了IPS 功能，擁有實(shí)時(shí)更新的攻擊庫(kù)和病毒庫(kù)。下一代防火墻很重要一點(diǎn)是集很多個(gè)安全功能為一身的產(chǎn)品。梭子魚(yú)后臺(tái)在國(guó)外有個(gè)實(shí)驗(yàn)室，時(shí)刻關(guān)注互聯(lián)網(wǎng)的發(fā)展，通過(guò)實(shí)驗(yàn)室的內(nèi)容發(fā)布，隨時(shí)提供更新攻擊庫(kù)的服務(wù)。

梭子魚(yú)的全圖形化操作界面直觀且全面，比如防火墻日志會(huì)清晰記錄每一個(gè)訪問(wèn)記錄，無(wú)論是成功的訪問(wèn)還是失敗的訪問(wèn)，而梭子魚(yú)的策略配置獨(dú)具特色，開(kāi) 創(chuàng)性的將訪問(wèn)者，業(yè)務(wù)類(lèi)型，目的地，認(rèn)證，出口鏈路等信息在同一個(gè)配置界面中呈現(xiàn)，非常簡(jiǎn)潔，而策略測(cè)試是非常有用的一個(gè)排障工具，在策略正式生效前可以 進(jìn)行各種模擬測(cè)試，避免可能導(dǎo)致的網(wǎng)絡(luò)故障。

配置中央管理平臺(tái)減少維護(hù)成本。潘淵表示，梭子魚(yú)下一代防火墻除具備傳統(tǒng)防火墻功能以外，還具有應(yīng)用安全，應(yīng)用路由，BPM網(wǎng)絡(luò)搭建，智能流量管 理，集中管理方面的特色，產(chǎn)品適合用戶(hù)組建大型分布式網(wǎng)絡(luò)。管理員可以通過(guò)中央管理平臺(tái)遠(yuǎn)程管理所有設(shè)備。節(jié)約了后期維護(hù)的成本。

企業(yè)選擇梭子魚(yú)防火墻的技術(shù)支持

梭子魚(yú)在上海建立了技術(shù)支持中心，有專(zhuān)業(yè)的技術(shù)支持專(zhuān)家，為客戶(hù)提供專(zhuān)業(yè)的技術(shù)支持和技術(shù)問(wèn)題解決。潘淵介紹說(shuō)，客戶(hù)通過(guò)定制的服務(wù)條款，可獲得一系列的產(chǎn)品服務(wù)。比如實(shí)時(shí)的文件更新。又或者，只要在服務(wù)期內(nèi)，設(shè)備發(fā)生任何問(wèn)題，都可以享受硬件立即更換的服務(wù)。

梭子魚(yú)防火墻給客戶(hù)帶來(lái)的價(jià)值

通過(guò)梭子魚(yú)下一代防火墻的集中管理界面，可以提供三維立體的NG EARTH工具，潘淵表示，可以對(duì)3D 地圖上的一個(gè)防火墻設(shè)備進(jìn)行管理，也可以對(duì)某兩個(gè)防火墻點(diǎn)之間進(jìn)行拖和拉以建立VPN通道，隨時(shí)對(duì)通道進(jìn)行管理或者刪除/新建，通過(guò)圖形化界面我們既可以 管理全網(wǎng)設(shè)備又可以管理設(shè)備間的數(shù)據(jù)傳輸。操作界面可以涵蓋所有的命令和操作，進(jìn)行故障分析和和問(wèn)題診斷的時(shí)候，通過(guò)中央管理平臺(tái)統(tǒng)一操作，節(jié)約了大量的 管理成本。

以梭子魚(yú)下一代防火墻在歐洲地區(qū)最大的銀行客戶(hù)為例，該客戶(hù)擁有超過(guò)1440萬(wàn)客戶(hù)，超過(guò)2.2萬(wàn)名雇員，超過(guò)2500臺(tái)自動(dòng)取款機(jī)和自助服務(wù)終端和辦公網(wǎng)點(diǎn)。通過(guò)部署梭子魚(yú)的下一代防火墻設(shè)備?？蛻?hù)獲得了非常好的效果反饋。

1) 使用安全的AES加密在DSL鏈路上提供安全穩(wěn)定的VPN遠(yuǎn)程接入服務(wù)，提供遠(yuǎn)端設(shè)備接入和數(shù)據(jù)私有網(wǎng)絡(luò)的搭建。對(duì)于條件所困的區(qū)域，提供3G網(wǎng)絡(luò)作為備用鏈路，隨時(shí)可以接管服務(wù)，提供了安全高效的數(shù)據(jù)傳輸能力。

2) 在數(shù)據(jù)中心采用HA模式部署，兩臺(tái)設(shè)備通過(guò)VPN進(jìn)行同步以保障業(yè)務(wù)24小時(shí)的持續(xù)運(yùn)行，而在其辦公網(wǎng)絡(luò)，通過(guò)一臺(tái)帶VPN功能的防火墻設(shè)備即可滿(mǎn)足其需求。穩(wěn)定的設(shè)備運(yùn)行保障業(yè)務(wù)連續(xù)性。

3) 全圖形化界面操作和3D化的地圖型VPN通道管理技術(shù)，實(shí)現(xiàn)了高度自動(dòng)化，在人員數(shù)量和能力有限的情況下，網(wǎng)絡(luò)具備優(yōu)異的擴(kuò)展性能，可以滿(mǎn)足每年都遞增的大量遠(yuǎn)程終端網(wǎng)點(diǎn)的新建和配置需求。

4) 無(wú)須命令行輸入，即可進(jìn)行故障分析和診斷，使日常運(yùn)維節(jié)約了大量的人力資源和相關(guān)的成本支出。

下一代防火墻在中國(guó)的認(rèn)知程度

在國(guó)內(nèi)很多企業(yè)和很多安全廠商都相繼提出了下一代防火墻產(chǎn)品，整個(gè)行業(yè)市場(chǎng)正處在逐步加深印象的過(guò)程，大部分的下一代防火墻概念目前主要是由分析機(jī) 構(gòu)和廠商來(lái)主導(dǎo)，潘淵說(shuō)，目前梭子魚(yú)下一代防火墻在國(guó)內(nèi)的很多客戶(hù)都是跨國(guó)企業(yè)在國(guó)內(nèi)的分支機(jī)構(gòu)，這些客戶(hù)對(duì)于梭子魚(yú)的產(chǎn)品已有很深刻的了解，非常愿意在 國(guó)內(nèi)繼續(xù)使用梭子魚(yú)產(chǎn)品。同時(shí)，非常多的新客戶(hù)對(duì)于梭子魚(yú)下一代防火墻的產(chǎn)品理念都表示出了強(qiáng)烈的興趣，尤其是對(duì)于集中管理理念和多種安全功能容于一體的 產(chǎn)品設(shè)計(jì)，為用戶(hù)提供了多種選擇，大量用戶(hù)提出試用申請(qǐng)。

梭子魚(yú)針對(duì)中國(guó)市場(chǎng)的計(jì)劃

潘淵談道，現(xiàn)在國(guó)內(nèi)和國(guó)外的安全環(huán)境大致相同，雖然很多國(guó)外經(jīng)驗(yàn)和技術(shù)可以拿來(lái)直接使用，針對(duì)國(guó)內(nèi)的安全環(huán)境還是需要做一些特定的修改。梭子魚(yú)在國(guó) 內(nèi)招聘了專(zhuān)門(mén)的技術(shù)專(zhuān)家，為國(guó)內(nèi)的實(shí)際的使用環(huán)境做出相應(yīng)的修改，希望產(chǎn)品可以更好融入中國(guó)的實(shí)際環(huán)境中，不僅僅能滿(mǎn)足國(guó)外客戶(hù)的需求，也能更好的滿(mǎn)足國(guó) 內(nèi)客戶(hù)的需求。

zhangcun