程彥博

究竟什么是下一代防火墻（Next Generation Firewall，NGFW）？自Gartner于2009年提出下一代防火墻的概念至今，恐怕人們對這個問題仍舊莫衷一是。

漢柏科技對下一代防火墻的理解是：它首先要滿足虛擬化網(wǎng)絡(luò)安全防護的需要，并徹底摒棄網(wǎng)關(guān)與終端的割裂式孤島安全防護，為用戶提供完整、簡單易用、低成本的安全防護解決方案。近日，漢柏就基于這樣的理念，通過整合軟硬件平臺，推出了高精準(zhǔn)、高適應(yīng)性的下一代防火墻產(chǎn)品。

如今，網(wǎng)絡(luò)應(yīng)用不再局限于簡單的信息收發(fā)，而是涵蓋了實時協(xié)作、即時消息、流媒體、數(shù)據(jù)存儲讀取和電話會議等復(fù)雜的網(wǎng)絡(luò)應(yīng)用。在依托網(wǎng)絡(luò)提高效率的同時，也需要面對網(wǎng)絡(luò)中存在的潛在威脅。在這樣的環(huán)境中，很多企業(yè)無法區(qū)分網(wǎng)絡(luò)中使用的合法業(yè)務(wù)應(yīng)用程序與那些只是消耗帶寬或帶來危險的無用程序。

在現(xiàn)今復(fù)雜的網(wǎng)絡(luò)應(yīng)用環(huán)境下，安全與性能具備同樣的重要性。傳統(tǒng)防火墻已不能提供較好的安全防護，而以網(wǎng)絡(luò)瓶頸為代價換來的安全同樣不能被行業(yè)所接受。防火墻或網(wǎng)絡(luò)性能的任何延遲都可能影響敏感型、協(xié)作應(yīng)用程序，而這反過來又可能對服務(wù)水平和生產(chǎn)力造成負(fù)面影響。

幾乎所有的企業(yè)都會面臨應(yīng)用程序中漏洞帶來的風(fēng)險，遭受如蠕蟲、木馬、間諜軟件、廣告軟件、緩沖區(qū)溢出、掃描、非法連接、SQL注入、XSS跨站等形式的入侵或攻擊，嚴(yán)重威脅到企業(yè)的發(fā)展與信息安全，嚴(yán)重時還會造成不必要的經(jīng)濟、文化損失。尤其是在大數(shù)據(jù)、云時代這一信息化時代背景下，安全已經(jīng)成為各行業(yè)共同面對的信息保障型課題。

據(jù)介紹，漢柏科技下一代防火墻通過整合軟硬件平臺，具有高精準(zhǔn)、高適應(yīng)特性的核心特點，以并行計算技術(shù)、應(yīng)用識別技術(shù)、一站式管理和多維度防護等尖端技術(shù)的融合應(yīng)用，可以滿足不同行業(yè)對防火墻安防特性的需求。

漢柏科技的下一代防火墻可以跨平臺適用。它不僅適用于中小型企業(yè)、政府機構(gòu)的工作模式特點，它同樣適合云數(shù)據(jù)中心。它將應(yīng)用識別、內(nèi)容檢測、URL過濾、入侵檢測、病毒識別五個處理引擎合為一個，采用自創(chuàng)高效的正則匹配算法，實現(xiàn)對報文的高效一次性處理。其一體化引擎的一次掃描提取報文的信息會根據(jù)開啟的深度掃描功能動態(tài)調(diào)整，避免不必要的資源消耗。

值得一提的是，基于跨平臺適應(yīng)技術(shù)，漢柏下一代防火墻硬件跨越了x86工控機和ARM等平臺。漢柏的下一代防火墻軟件可以運行在任何服務(wù)器平臺上，也可以運行在ESXi、KVM、Virtual box、Xen、OPV-suite等的hypervisor上。

在應(yīng)用的通信安全方面，漢柏持續(xù)跟蹤應(yīng)用的環(huán)境，找出每種加密應(yīng)用的“根本性”行為進行建模，從而避免了頻繁的更新特征庫。同時，漢柏下一代防火墻采用多種行為分析算法來達到準(zhǔn)確識別應(yīng)用的目的，如主機行為分析、主機端口關(guān)聯(lián)、連接關(guān)聯(lián)、TCP端口序列分布規(guī)律、UDP端口聚類分布規(guī)律、報文大小、隧道解封、TCL腳本控制、引擎插件協(xié)助等。

相對于傳統(tǒng)防火墻的五元組安全策略，漢柏下一代防火墻安全策略增加了身份、應(yīng)用、內(nèi)容三個維度，一條策略可同時對網(wǎng)絡(luò)特性、用戶身份（包括云租戶）、應(yīng)用協(xié)議和報文內(nèi)容進行匹配，減少了策略配置條目，大大降低了維護成本。此外，漢柏下一代防火墻的一站式配置界面和功能模板化，使其具有更好的易用性，讓擁有簡單網(wǎng)絡(luò)知識的運維人員就可以完成專業(yè)網(wǎng)絡(luò)和策略配置。