梭子魚中國區(qū)產(chǎn)品經(jīng)理潘淵

企業(yè)為什么需要下一代防火墻?

隨著互聯(lián)網(wǎng)的飛速發(fā)展， WEB 2.0, 3G/4G移動平臺，虛擬應(yīng)用/云計(jì)算等新技術(shù)的廣泛應(yīng)用，它們?yōu)槠髽I(yè)帶來業(yè)務(wù)便捷的同時(shí)，也帶來了更多的安全威脅。在信息安全建設(shè)過程中，企業(yè)面臨新一輪的挑戰(zhàn)：

1) 傳統(tǒng)的防火墻面對日益復(fù)雜的應(yīng)用安全威脅已經(jīng)顯得力不從心;

2) 防火墻的部署、管理需要專業(yè)技術(shù)人員，小型企業(yè)或者企業(yè)分支機(jī)構(gòu)難以維護(hù);

3) 而防火墻/IPS/病毒墻…這種“羊肉串式”的解決方案正變得日益復(fù)雜，IT投資性價(jià)比越來越低;

企業(yè)需要全面的考慮企業(yè)真實(shí)網(wǎng)絡(luò)環(huán)境下的安全性和實(shí)用性，需要在網(wǎng)絡(luò)防火墻具備的端口/協(xié)議/包過濾的基礎(chǔ)上，增加應(yīng)用識別控制以及用戶識別控制，不僅如此，在真實(shí)的應(yīng)用網(wǎng)環(huán)境下，自適應(yīng)的路由功能，帶寬管理，全面的網(wǎng)絡(luò)接入控制(包括遠(yuǎn)程接入)，以及便捷的網(wǎng)絡(luò)擴(kuò)展性和方便的網(wǎng)絡(luò)管理性也是企業(yè)需要考慮的內(nèi)容。

企業(yè)在選擇下一代防火墻時(shí)的注意事項(xiàng)

潘淵認(rèn)為，市場上有著大量的下一代防火墻產(chǎn)品,提供的安全功能看似也大致相仿,在這個(gè)前提下,企業(yè)可以將網(wǎng)絡(luò)管理的便捷性和企業(yè)網(wǎng)絡(luò)的可延展性作為重點(diǎn)注意事項(xiàng).

從網(wǎng)絡(luò)延展性的角度講，他談到，隨著BYOD的普及,企業(yè)辦公地點(diǎn)的延伸,異地辦公,遠(yuǎn)程接入變得非常普及,企業(yè)網(wǎng)絡(luò)正變得異常龐大,企業(yè)選擇的下一代防火墻產(chǎn)品需要具備良好的可操作性，為多樣化的網(wǎng)絡(luò)接入設(shè)備提供安全防護(hù),比如識別接入設(shè)備的MAC地址,提供更清晰的網(wǎng)絡(luò)可識別性.

他認(rèn)為，在選擇防火墻的時(shí)候不僅僅是設(shè)備功能性的問題，設(shè)備提供的可管理性才是企業(yè)安全管理的基石,統(tǒng)一的安全防護(hù)策略,快速便捷的網(wǎng)絡(luò)部署,中后期的設(shè)備維護(hù),需要綜合考慮，牽扯到大量的人力成本及投資成本,這些都是選擇防火墻的重要注意事項(xiàng)。

梭子魚下一代防火墻的分類和定位

潘淵介紹說，梭子魚下一代防火墻是專為分布式網(wǎng)絡(luò)設(shè)計(jì)產(chǎn)品,由防火墻產(chǎn)品和集中管理平臺組成,提供硬件設(shè)備和虛擬應(yīng)用兩種交付形式,十多款硬件型號中,從專為辦事處/分店等小型機(jī)構(gòu)設(shè)計(jì)的F10/F100設(shè)備,到適合企業(yè)總部/大型數(shù)據(jù)中心使用, 吞吐量達(dá)到超過20Gbps的F900設(shè)備,可以應(yīng)對企業(yè)搭建整體網(wǎng)絡(luò)的需求。梭子魚下一代防火墻 體現(xiàn)在以下幾個(gè)方面：

1) 智能識別，已識別超過800個(gè)應(yīng)用程序和超過100，000，000條URL地址庫

2) 智能流量控制，在多條鏈路間提供高智能化的應(yīng)用智能路由，策略路由等功能，并且可應(yīng)用在VPN通道間。

3) 智能集中管理理念，以推送的方式，進(jìn)行配置&版本&安全庫的同步，通過U盤實(shí)現(xiàn)一鍵式快速恢復(fù)。

梭子魚防火墻的優(yōu)勢核心技術(shù)以及如何減少成本

梭子魚下一代防火墻采用獨(dú)特的三層引擎架構(gòu)，除了傳統(tǒng)的防火墻功能外，在應(yīng)用安全，應(yīng)用路由，VPN組網(wǎng)，WAN流量優(yōu)化，集中管理方面都進(jìn)行了專門的設(shè)計(jì)，獨(dú)具特色。

一方面，它非常適合于幫助用戶組建大型分布式網(wǎng)絡(luò)。例如：歐洲某金融企業(yè)部署了超過2500臺NG防火墻，并建立VPN網(wǎng)絡(luò)，全球只需4個(gè)IT管理員便可支撐系統(tǒng)的穩(wěn)定運(yùn)行。

另一方面，它部署便捷，管理簡單。 例如：對于小型企業(yè)或者分支機(jī)構(gòu)，只需要把預(yù)配置U盤插入全新的NG設(shè)備，啟動設(shè)備，即可運(yùn)行。不需要現(xiàn)場人員具備任何的專業(yè)知識。管理員可以通過管理平臺對設(shè)備進(jìn)行所有操作。

梭子魚下一代防火墻集成了IPS 功能，擁有實(shí)時(shí)更新的攻擊庫和病毒庫。下一代防火墻很重要一點(diǎn)是集很多個(gè)安全功能為一身的產(chǎn)品。梭子魚后臺在國外有個(gè)實(shí)驗(yàn)室，時(shí)刻關(guān)注互聯(lián)網(wǎng)的發(fā)展，通過實(shí)驗(yàn)室的內(nèi)容發(fā)布，隨時(shí)提供更新攻擊庫的服務(wù)。

梭子魚的全圖形化操作界面直觀且全面，比如防火墻日志會清晰記錄每一個(gè)訪問記錄，無論是成功的訪問還是失敗的訪問，而梭子魚的策略配置獨(dú)具特色，開 創(chuàng)性的將訪問者，業(yè)務(wù)類型，目的地，認(rèn)證，出口鏈路等信息在同一個(gè)配置界面中呈現(xiàn)，非常簡潔，而策略測試是非常有用的一個(gè)排障工具，在策略正式生效前可以 進(jìn)行各種模擬測試，避免可能導(dǎo)致的網(wǎng)絡(luò)故障。

配置中央管理平臺減少維護(hù)成本。潘淵表示，梭子魚下一代防火墻除具備傳統(tǒng)防火墻功能以外，還具有應(yīng)用安全，應(yīng)用路由，BPM網(wǎng)絡(luò)搭建，智能流量管 理，集中管理方面的特色，產(chǎn)品適合用戶組建大型分布式網(wǎng)絡(luò)。管理員可以通過中央管理平臺遠(yuǎn)程管理所有設(shè)備。節(jié)約了后期維護(hù)的成本。

企業(yè)選擇梭子魚防火墻的技術(shù)支持

梭子魚在上海建立了技術(shù)支持中心，有專業(yè)的技術(shù)支持專家，為客戶提供專業(yè)的技術(shù)支持和技術(shù)問題解決。潘淵介紹說，客戶通過定制的服務(wù)條款，可獲得一系列的產(chǎn)品服務(wù)。比如實(shí)時(shí)的文件更新。又或者，只要在服務(wù)期內(nèi)，設(shè)備發(fā)生任何問題，都可以享受硬件立即更換的服務(wù)。

梭子魚防火墻給客戶帶來的價(jià)值

通過梭子魚下一代防火墻的集中管理界面，可以提供三維立體的NG EARTH工具，潘淵表示，可以對3D 地圖上的一個(gè)防火墻設(shè)備進(jìn)行管理，也可以對某兩個(gè)防火墻點(diǎn)之間進(jìn)行拖和拉以建立VPN通道，隨時(shí)對通道進(jìn)行管理或者刪除/新建，通過圖形化界面我們既可以 管理全網(wǎng)設(shè)備又可以管理設(shè)備間的數(shù)據(jù)傳輸。操作界面可以涵蓋所有的命令和操作，進(jìn)行故障分析和和問題診斷的時(shí)候，通過中央管理平臺統(tǒng)一操作，節(jié)約了大量的 管理成本。

以梭子魚下一代防火墻在歐洲地區(qū)最大的銀行客戶為例，該客戶擁有超過1440萬客戶，超過2.2萬名雇員，超過2500臺自動取款機(jī)和自助服務(wù)終端和辦公網(wǎng)點(diǎn)。通過部署梭子魚的下一代防火墻設(shè)備。客戶獲得了非常好的效果反饋。

1) 使用安全的AES加密在DSL鏈路上提供安全穩(wěn)定的VPN遠(yuǎn)程接入服務(wù)，提供遠(yuǎn)端設(shè)備接入和數(shù)據(jù)私有網(wǎng)絡(luò)的搭建。對于條件所困的區(qū)域，提供3G網(wǎng)絡(luò)作為備用鏈路，隨時(shí)可以接管服務(wù)，提供了安全高效的數(shù)據(jù)傳輸能力。

2) 在數(shù)據(jù)中心采用HA模式部署，兩臺設(shè)備通過VPN進(jìn)行同步以保障業(yè)務(wù)24小時(shí)的持續(xù)運(yùn)行，而在其辦公網(wǎng)絡(luò)，通過一臺帶VPN功能的防火墻設(shè)備即可滿足其需求。穩(wěn)定的設(shè)備運(yùn)行保障業(yè)務(wù)連續(xù)性。

3) 全圖形化界面操作和3D化的地圖型VPN通道管理技術(shù)，實(shí)現(xiàn)了高度自動化，在人員數(shù)量和能力有限的情況下，網(wǎng)絡(luò)具備優(yōu)異的擴(kuò)展性能，可以滿足每年都遞增的大量遠(yuǎn)程終端網(wǎng)點(diǎn)的新建和配置需求。

4) 無須命令行輸入，即可進(jìn)行故障分析和診斷，使日常運(yùn)維節(jié)約了大量的人力資源和相關(guān)的成本支出。

下一代防火墻在中國的認(rèn)知程度

在國內(nèi)很多企業(yè)和很多安全廠商都相繼提出了下一代防火墻產(chǎn)品，整個(gè)行業(yè)市場正處在逐步加深印象的過程，大部分的下一代防火墻概念目前主要是由分析機(jī) 構(gòu)和廠商來主導(dǎo)，潘淵說，目前梭子魚下一代防火墻在國內(nèi)的很多客戶都是跨國企業(yè)在國內(nèi)的分支機(jī)構(gòu)，這些客戶對于梭子魚的產(chǎn)品已有很深刻的了解，非常愿意在 國內(nèi)繼續(xù)使用梭子魚產(chǎn)品。同時(shí)，非常多的新客戶對于梭子魚下一代防火墻的產(chǎn)品理念都表示出了強(qiáng)烈的興趣，尤其是對于集中管理理念和多種安全功能容于一體的 產(chǎn)品設(shè)計(jì)，為用戶提供了多種選擇，大量用戶提出試用申請。

梭子魚針對中國市場的計(jì)劃

潘淵談道，現(xiàn)在國內(nèi)和國外的安全環(huán)境大致相同，雖然很多國外經(jīng)驗(yàn)和技術(shù)可以拿來直接使用，針對國內(nèi)的安全環(huán)境還是需要做一些特定的修改。梭子魚在國 內(nèi)招聘了專門的技術(shù)專家，為國內(nèi)的實(shí)際的使用環(huán)境做出相應(yīng)的修改，希望產(chǎn)品可以更好融入中國的實(shí)際環(huán)境中，不僅僅能滿足國外客戶的需求，也能更好的滿足國 內(nèi)客戶的需求。

zhangcun