深諳NGFW 梭子魚暢談NGFW的來世今生

隨著科技的發展和企業文化的進步，深入融合作為當今企業的發展需求，已經超出了傳統防火牆的能力範圍，為了迎合web2.0時代的到來，眾多廠商紛紛發佈下一代防火牆產品。然而近年來網絡安全又面臨著各種威脅和挑戰，在這一大背景下，IT168網絡安全頻道邀請到了梭子魚華東區技術經理張志華先生接受我們的採訪，和我們一起從現狀和未來雙向出發，探究用戶對下一代防火牆主要的需求點，探究下一代防火牆的發展規劃，以下為採訪實錄:

▲梭子魚華東區技術經理 張志華

IT168：張先生您好，很高興能有機會和您進行深入的交流探討，首先請您為我們簡單介紹一下在您眼中我們的網絡安全面臨著哪些主要的挑戰?

張志華：新型網絡威脅行為和手段層出不窮、網絡攻擊的門檻也越來越低。無論是企業網絡安全管理人員還是網絡安全產品供應商，都需要時刻更新安全措施應對挑戰，其防範措施主要分為以下幾個方面：

●建立全面的安全防範策略應對不斷變化的威脅

當今在網絡世界充斥著各種網絡入侵、殭屍網絡攻擊、勒索軟件、惡意軟件、高級持續性威脅(APT)、零日漏洞攻擊等，傳統的安全防火牆已很難做到全面保護。網絡攻擊的傳播方式也越來越多樣化，如常見的網絡滲透、網絡入侵、網絡釣魚、電子郵件、網站、URL鏈接等等，這些攻擊行為和手段都只能通過新的防護手段和防護設備來實現。

同時企業自身出於安全合規及規範審計的需要，針對網絡數據審計和防洩漏的要求日趨明顯，這也是傳統防護設備所無法滿足的。因此，企業首先需要認識到安全的重要性以及不斷變化，根據自身需求構建全面的安全防範策略。

●基於現有資源，選擇適宜的網絡安全防護拓展

越來越多的企業正在或者已經應用和部署了虛擬化技術和雲技術。在享受虛擬化和雲帶來的獲益時，企業同時也面對著如何在虛擬化或雲環境中有效的實施全面的網絡安全防護。由於技術實現和管理方式的不同以及各廠商產品功能實現、平臺跨度的不同，這也給企業選擇網絡安全整體防護時提出了全新的挑戰。因此，企業在應用新技術和平臺時，需要根據現有資源，選擇適宜的安全防護拓展。

●構建全面有效的統一安全防護管理體系

由於網絡威脅及攻擊的行為和途徑的眾多，傳統的網絡防火牆越來越難承擔起新環境下的全面防護，新的下一代防火牆成為企業用戶的首選。同時，針對關鍵的應用系統、網站系統、郵件系統，也需要搭建更有針對性的安全防禦。隨著雲技術的落地和使用，雲平臺的安全搭建也隨需而行。面對不同維度，不同針對性安全管理範疇，現有資源和新資源的有效整合，如何有效實現統一管理對企業整體安全管理而言也是挑戰之一。

IT168：根據IDC行業白皮書顯示，下一代防火牆主要特性主要分為四部分，分別為智能化、可視化、虛擬化以及協同。能否首先向我們介紹一下，貴公司的下一代防火牆的智能化是如何實現的?

張志華：在下一代防火牆產品的智能化方面，梭子魚做到了以下幾點，智能流量規則，以確保企業高質量接入、性能，以及關鍵應用的可靠性。

用戶和應用智能感知，讓企業能夠優先排序流量，以便主動管理帶寬、提高應用利用率並自定義網絡接入。

智能動態鏈路均衡，通過多個互聯網連接上的動態均衡流量，確保業務連續性和帶寬管理。

智能站點到站點連接管理，在硬件和虛擬設備上的多個位置提供高質量、可靠的連接。IPsec VPN可確保安全連接到其它遠程站點、總部辦公室，以及Amazon Web Services 和Microsoft Azure等公有云產品。

此外我們的下一代防火牆產品與梭子魚網絡豐富的網絡安全產品及全球監控網絡的智能聯動：如通過與郵件安全產品、網頁安全產品、Web應用安全產品，包括與梭子魚網絡領先的雲端安全解決方案智能結合與同步，未來可將針對來自全球各處的網絡威脅方式和源頭的防護手段及時的推送到我們的下一代防火牆端，實施高效的攔截。

IT168：面對新的安全挑戰，下一代防火牆中講求“安全威脅是可視的”，我們的下一代防火牆在可視化上做了哪些工作?

張志華：針對下一代防火牆的安全威脅的可視化管理，梭子魚網絡是一貫的實踐者，我們當前提供了成熟的圖形化管理工具“Barracuda NextGen Admin”，可實現對我們下一代防火牆的集中可視化管理，提供直觀而豐富的報表及管理視圖;同時用戶可以按自己的喜好自定義視圖，幫忙我們的用戶針對安全事件及時的做出快速響應;實時而詳盡的分類安全信息及流量視圖，可讓用戶對網絡中的流量、應用、風險、威脅、攻擊、病毒、惡意軟件、高級持續性威脅(APT)等做到一目瞭然並便於報表制4作及審計。

“Barracuda NextGen Control Center”更可在“Barracuda NextGen Admin”基礎上實現管理的效率，非常適合分佈式企業及MSP高效的管理梭子魚下一代防火牆，降低安全風險和管理運營成本。圖形化的VPN配置管理界面僅需拖拽的方式，便可完成複雜的VPN配置及連接。“Barracuda Earth”通過實時3D的方式來展現總部與分支或各分支間的運行狀態。直觀的用戶訪問控制和詳盡可定義的報表，讓管理者輕鬆的瞭解網絡安全保護的運行狀況。

IT168：雲計算作為主要的發展趨勢之一，近年來發展非常快，而下一代防火牆是相對比較融合性的產品，那在虛擬化的大場景下，貴公司的NGFW產品都做了哪些努力?

張志華：除了傳統物理的下一代防火牆設備，我們也提供豐富的針對不同規模虛擬化環境優化的梭子魚下一代防火牆F系列Vx版(虛擬版)，可利用用戶現有虛擬化環境輕鬆部署針對網絡邊際的安全防護，也獲得了相關認證，提供實時的儀表盤化管理，讓你輕鬆瞭解和定位網絡安全事件。延續梭子魚下一代防火牆的一貫優勢，虛擬版產品也完整的包含了梭子魚領先的應用管理、入侵防護、Web過濾、網關郵件過濾、惡意軟件防護、高級持續性威脅(APT)防護等技術，可將梭子魚強大的物理世界的網絡安全防護技術和手段延伸到虛擬世界，但仍保持一貫的產品友好、易用性。我們的用戶可通過“Barracuda NextGen Admin“和”Barracuda NextGen Control Center“輕鬆協同、統一管理物理和虛擬下一代防火牆系統。

梭子魚下一代防火牆F系列還提供針對雲端(Azure/AWS)版本。梭子魚網絡是微軟Azure認證的首家安全解決方案提供商，並獲得微軟2016年度合作伙伴之微軟Azure認證ISV解決方案獎。

IT168：協同聯動近年來不斷被提及，而在下一代防火牆中，協同也不再僅僅是一個概念性話題。安全產品已經不再是孤立存在、單打獨鬥的與攻擊抗衡，下一代防火牆通常會與IT系統中的其它安全防禦系統構建協同的工作機制面對，安全系統之間的協同工作又是怎樣實現的呢?

張志華：梭子魚網絡產品線有著非常全面的網絡安全系統覆蓋。雖然下一代防火牆通常作為用戶網絡安全邊際的防護首選，但仍需其它安全防護系統來構建全面的網絡安全防護。梭子魚有非常豐富和全面的網絡安全產品和數據安全產品，可幫忙用戶集中實現下一代防火牆防護、郵件安全防護、SSL VPN接入、Web安全防護、Web應用安全防護以及包括服務器、鏈路負載均衡、數據備份及郵件歸檔等。這一系列的安全產品，都將可通過梭子魚的雲控中心(Barracuda Cloud Control)作集中的管理，並且將在各相關產品間加入協同防護機制。如現有的針對不同途徑和方式傳播的病毒、惡意程序、勒索軟件、殭屍網絡、零日威脅、高級持續性威脅(APT)等，可在多安全防護領域間安全威脅信息的共享及同步更新防護。

IT168：威脅情報規模化管理是NGFW的主要功能之一，貴公司的威脅情報主要來源於哪?威脅情報的關聯、獲取、鑑定以及溯源都是怎樣實現的?

張志華：通過遍佈全球的安全信息收集點，梭子魚網絡可第一時間感知網絡安全世界的新增威脅或變種威脅，並將信息彙總至梭子魚安全中心。安全中心將通過技術自動判斷和人工手動判別的方式，並結合最新的沙盒技術，對接收到的威脅信息做出快速判斷和識別，並同步更新或推送給全球的梭子魚用戶，保障用戶關鍵網絡信息及系統的安全。

IT168：惡意軟件是近期企業面臨的較大的問題，那我們的NGFW產品在惡意軟件的管控上有怎樣的表現?

張志華：梭子魚下一代防火牆中有可選的惡意軟件防護，可協助用戶在網絡邊際實現對攔截及防護，輕鬆實現惡意軟件或代碼的防護。我們的惡意軟件防護可針對SMTP、POP3、FTP、HTTP/s協議並支持單層/雙層的防病毒掃描(支持壓縮文件深度掃描、新威脅的防護、高級的啟發式檢測技術)，另外流式檢測技術助於實現實時數據掃描，並支持對防護的集中管理、監控及升級。

IT168：您認為貴公司的NGFW產品和其他安全廠商的產品相比，最大的殺手特點是什麼?

張志華：梭子魚的下一代防火牆產品的殺手特點有以下幾個：

• 針對分佈式集中管理平臺;

• 領先的雲平臺融合安全防禦技術;

• 最新網絡威脅快速收集與更新;

• 獨有TINA VPN技術包括廣域網優化和壓縮，促進連接高效快速;同時，支持用戶在同一VPN隧道上使用多線連接，提供負載均衡和Link HA等功能

• 能與梭子魚Web應用防火牆整合，提供全面網絡和Web應用防護。

• 支持最新的“Zero Touch Deployment”, 即能夠在無IT人員的情況下遠程部署新的下一代防火牆,通過Barracuda Control Center 全面管理。

最後張志華為我們簡單了分析了網絡安全的發展趨勢，對下一代防火牆的發展趨勢進行了簡單的預測，他認為隨著信息世界的發展，新型的網絡威脅和攻擊手段不斷湧現，作為網絡邊際防護產品，防火牆是首當其衝的防護設備，勢必需要不斷的更新和完善功能和手段，這將是個長期的過程，就像從傳統防火牆到下一代防火牆的發展一樣。僅目前來說，可見的是針對高級持續性威脅(APT)和零日威脅的不斷強化防護及沙盒技術的應用。

對於未來，由於越來越多的用戶會選擇雲端部署應用，而目前的各公有云服務器更多的是提供公有云的基礎架構和運行環境，用戶對雲端安全的重要性及迫切性將越來越強。選擇一項或多項雲端安全防護或服務將成為這些用戶的必然選擇，所以將有越來越多的廠商湧入這一市場。

同時隨著近幾年物聯網和工業4.0的發展，網絡安全防護的範圍已非傳統的普通信息系統，越來越多的監控、工控、物流、製造等系統所涉及的各色可聯網設備以其系統單一薄弱、數量龐大的特點加入網絡世界。這也必將導致部分網絡攻擊及防護手段會向該領域擴展。