IDC观点：下一代防火墙将守护数字化转型企业网络安全

　　日前，国际数据公司(IDC)发布《下一代防火墙----主动防御安全体系之重甲》白皮书。白皮书指出：全球企业数字化转型(以下简称：DX)浪潮正如火如荼进行，由DX催生的云计算、大数据、社交商业与移动技术等第三平台技术正广泛应用到各行各业，但这也使得越来越多的企业面临愈发严峻的网络安全风险。在此背景之下，以下一代安全技术为核心的IT安全防御体系架构应运而生。作为这一体系的重要组件之一，下一代防火墙(NGFW)将发挥重要的边界防护作用，其智能化、可视化、虚拟化、协同等特性将大幅提高IT边界的安全性。

　　下一代防火墙大势所趋市场份额连年增长

　　白皮书首先展望了下一代防火墙的光明前景。在IDC看来，随着技术的逐步成熟，下一代防火墙技术将逐步取代传统企业级防火墙、UTM技术，成为边界安全防御的重要技术手段。

　　图1:2017-2021年防火墙市场规模预测

　　正是由于企业在DX过程中，IT资产是企业成功转型和快速发展的核心，因此，作为第三平台重要加速器之一的下一代安全技术的重要程度不言而喻。作为下一代安全技术的典型代表，下一代防火墙技术不仅可以识别已知恶意代码的攻击，更能与IT安全防御系统协同工作，快速发现隐匿极深的未知恶意代码的入侵。

　　正是因为上述原因，近年来，全球防火墙、UTM市场保持较好的增长态势，2016年就比2015年同期增长了9.7%。

　　重点行业关系国计民生网络威胁不容无视

　　随后，白皮书重点对数字化原生企业、政府、能源、金融、教育五个行业进行了边界安全需求分析。

　　IDC认为：数字化原生企业的首要任务是确保核心数据安全、确保业务稳定运行。通过下一代防火墙，企业可以有效防御或者消减来自网络层的DDoS攻击，精确隔离应用层的僵尸程序、木马、蠕虫对IT系统的入侵，更可以与本地沙箱、云沙箱协同工作，运用智能化威胁情报，识别各种入侵的恶意软件，确保企业业务系统稳定运行。

　　在政府行业，智慧城市建设、互联网+、行政审批改革等举措已是箭在弦上。政府行业信息化直接关系到国计民生。从目前趋势看，勒索软件、高级可持续威胁(APT)日益盛行，在政府行业IT环境中，提升网络边界防护能力、屏蔽恶意代码的入侵是政府行业用户保障数据安全，防止机密信息外泄的重中之重。

　　作为国家关键信息基础设施之一的能源行业中，电力行业的IT安全建设处于领先的地位。但是电力行业在“电力监控系统安全防护”、“信息安全等级保护”、“互联网出口防护”、“设备远程维护”、“工控设备漏洞整改”等方面，还存在很多薄弱环节。石油、石化、煤炭、新能源等相关行业也面临边界安全、APT攻击等网络安全问题。在这些领域，边界安全问题与对APT攻击的防御已经不再是彼此独立的事情。

　　同样作为国家关键信息基础设施的金融行业正面临着云计算、大数据、移动互联、区块链、人工智能等新兴技术的严重冲击。这也使得金融行业对第三平台技术的需求变得更加迫切。数据在金融行业的价值将持续放大，甚至成为关乎企业生存的核心资产。凭借单一数据加密技术是无法解决这一核心问题的。金融行业亟需一套完整的IT安全防护体系架构，以确保核心数据安全。

　　教育行业千头万绪，关系到万千家庭的幸福和祖国的未来。2016年，教育部专门成立网络安全和信息化领导小组，随着工作的不断深入，教育行业的IT安全建设进去新阶段。由于教育网具有流量大、内容复杂的特点，这也给了下一代防火墙以用武之地。下一代防火墙智能化、可视化、协同特型对于提升边界安全防护效果将起到积极的作用。

　　下一代防火墙四大特点搭建企业安全铜墙铁壁

　　通过上述分析，下一代防火墙作为主动安全防御体系的重要组成部分，在网络安全防护过程中有着举足轻重的作用。它将带来智能化、可视化、虚拟化和协同合作的安全防御新体验。

　　图2：下一代防火墙四大特点

　　智能化方面，下一代防火墙具备对策略、流量、行为等的自学习能力，比如，它可以通过将可疑文件传送到云沙箱，从而验证其安全性;可以通过订阅威胁情报实时更新针对僵尸程序、木马、蠕虫的指纹库，从而能够有效应对新型病毒、勒索软件爆发对网络造成的威胁。

　　可视化可以帮助管理员快速发现、分析网络攻击行为，除了识别内部人员在IM、游戏、下载软件等众多应用上的使用情况外，还可以将内部的各类日志和策略进行关联分析，帮助管理员快速分析问题、定位问题、解决问题。

　　虚拟化技术能够以软件形态部署到云环境中，并与云管理中心形成有效的信息互通，达到弹性的、按需索取资源的效果。同时，当环境变化时，虚拟技术可以实现业务的无缝迁徙，以此保障用户的业务安全。

　　此外，完全依赖设备自身仍无法确保网络安全不出纰漏。下一代防火墙的协同机制可以让主动安全防御体系中的各个组件交互信息，共同发现攻击、定位问题，并作出快速响应。

　　360新一代智慧防火墙获北京邮电大学高度认可

　　白皮书最后以360企业安全集团新一代智慧防火墙在北京邮电大学的实践为例，介绍了其可为用户带来的价值。

　　在北京邮电大学的校园网中，通过HA的方式部署了360新一代智慧防火墙。它采用第四代SecOS操作系统，实现了管理平面、数据平面的独立运行。通过启用360新一代智慧防火墙的漏洞防护、防间谍软件、反病毒、URL过滤等功能，可以高效拦截常见的间谍软件、病毒、木马的入侵，防止内网用户访问钓鱼网站和恶意网址，通过URL分类控制、网页内容关键词过滤等功能，可以对师生访问网络的内容进行控制，确保合法用网。

　　图3：北京邮电大学采用360新一代智慧防火墙

　　在北京邮电大学的数据中心，启用了360新一代智慧防火墙入侵防御策略后，可对缓冲区溢出、跨站脚本、拒绝服务等3000余种漏洞利用攻击和木马、间谍软件进行高效防护。当突发漏洞大规模爆发后，云端将向防火墙主动推送威胁特征更新及处置建议，信息中心管理员仅仅通过一键点击，即可完成特征库更新及策略加载，通过自动化的应急处置，有效预防最新的入侵行为。

　　从北京邮电大学的反馈看，360新一代智慧防火墙可以降低安全防护的TCO，大幅提升威胁感知能力，明显提升边界防护能力，在网络边界快速精准识别恶意软件的入侵行为。

　　综上所述，随着攻击手段多样化和威胁特征复杂化，凭借防火墙单点、本地的防护能力已经无法确保网络边界的安全。在全球企业数字化转型大潮汹涌的当下，企业选择以360新一代智慧防火墙为代表的下一代防火墙产品，方能打破传统安全架构中各种安全设备独立运作、单点防护形成的信息孤岛，在网络边界构筑更为牢固的塔防体系，并在日新月异的转型大势之下引领潮头。