深信服殷浩：下一代防火牆最佳應用實踐

　　【IT168專稿 文/kaduo】隨著IT技術的不斷進步，現在企業所面臨的網絡安全威脅越來越嚴峻，而下一代防火牆的出現正是恰逢其時。那麼下一代防火產生的背景是怎樣的?其又都有哪些應用場景?企業如何應用好下一代防火牆等等……帶著這些問題，我們采訪了深信服技術總監殷浩先生。 .

.

▲深信服技術總監殷浩先生 .

　　下一代防火牆產生背景 .

　　殷浩認為，目前整個網絡安全形勢呈現了四個比較顯著的發展趨勢和變化，這也為下一代防火牆的出現帶來了發展機遇和推動：一是目前有75%以上的安全威脅是來自於應用層的;二是黑客會更加關注我們數據的價值進行竊取而非炫耀;第三企業目前的安全架構多是采用串糖葫蘆式的多台設備串行部署的安全防護架構;最後一點是目前企業在應用層的安全防護需求傳統的安全設備的性能是無法滿足企業用戶的要求。

.

　　基於以上四個發展趨勢，殷浩具體談到，，“目前75%以上的安全威脅都來自於應用層，而傳統的安全設備卻無法防御，就好像黑客已經用槍了，而我們還處於冷兵器時代的盾牌。因此，我們需要應用層的防護手段來抵御這些全新的安全威脅。”

.

　　據調查顯示，目前黑客的攻擊目的已經不在是簡單的炫耀，而是以經濟利益為目的攻擊。但是面對黑客攻擊行為的這樣變化，企業傳統的安全防護卻還未做出有效應對。傳統的安全防護只是在企業的網絡邊界進行防御，可以說是管進不管出。殷浩形象的比喻到：“傳統的安全防護就好比一個門衛，當外部的人員進入企業內部時，門衛會對你進行身份的檢查然後在放人進去。但是當外來人員從企業內部出去的時候，門衛往往是不會去做檢查。如果外來人員攜帶了企業的敏感資料帶走而沒有檢查，就可能造成洩密。”這種從內往外發送內容的合法性傳統防火牆是沒有關注的。 .

　　企業傳統的安全防護手段，為了解決這些安全問題，往往會采用防火牆、IPS、IDS、DLP等等多種設備串接，但這樣做就帶來了一些很明顯的問題，一是設備成本高了，二是單點故障也增加了，而且其中任何一台設備性能稍微偏低一點就會成為整個鏈路當中的一個性能瓶頸。最後一點目前網絡已經達到了萬兆級的性能，而安全卻更多的還處於千兆級。殷浩談到，“因此，企業需要一種萬兆級的安全設備來匹配網絡的性能。基於以上的這些趨勢，才促進了下一代防火牆的產生。”