《中国下一代防火墙发展趋势研究》白皮书解读

      演讲人介绍

    演讲人:熊瑛先生
    职位:网康信息系统安全专家
    简介:CISSP(认证信息系统安全专家),2006年起进入网络安全领域,多年从事网络安全项目设计、实施工作,长期关注网络安全产品、技术和解决方案的发展,深入了解市场和用户需求,对防火墙、UTM、NGFW等网...

      演讲内容简介

    近日,业内知名IT咨询顾问机构IDC与网康联合发布了《中国下一代防火墙发展趋势研究》白皮书,该白皮书由6部分组成,内容涉及对下一代防火墙市场格局,用户诉求、技术定义和未来发展等多方面的分析和研究,是业界首个针对下一代防火墙展开深入研究的白皮书。本期《百家访谈》邀请到网康科技产品市场经理熊瑛先生,就该白皮书中对于下一代防火墙的最新观点进行深入解读。...

      本期获奖名单

奖品:由网康提供的移动电源
139****8947 胡先生 长沙市岳麓区
159****8349 王先生 青岛经济技术开发区
186****1206 宋先生 柳园南路
137****9005 周先生 青岛经济技术开发区
136****2306 商先生 上海市军工路

关注"@ 数据中心 百家讲坛"微博 ,掌握最新动态  
      精彩问答集锦
问:wangfengxiujd 早早来签到学些
答:

问:xinxin7489 大家下午好
答:

问:凡不了 签到
答:

问:linghz 下午好!来学习了!
答:

问:lvwenxiu 这期的内容很关心的,年后公司就要购置防火墙了,好好听听
答:网康专家1 感谢关注,可致电4006783600联系我们了解产品的具体情况。

问:jawen 大家下午号
答:

问:jawen
答:

问:liumingxia1979 最传统的安全模式是串行FW、IPS、AV、WAF等设备,逐层数据包深度检测,极大影响网络性能。 后来提出UTM概念,各种设备在UTM以模块的形式提出,最终数据依旧还是在各个模块上独立处理。 下一代防火墙概念一次拆包,并行处理。 如题web2.0时代,许多业务都以web形式交付,那么网康的下一代防火墙相对于其它厂家的产品在此方面有何优势?细节方面,如遭受APT攻击时,又有哪些能够有效防御APT攻击的策略?
答:

问:lvwenxiu 在当前云计算,大数据 物联网等大数据的大流量的情况下,如何有效的做好安全。
答:

问:wangfengxiujd 1、咱们网康防火墙在配置方面上手快吗?2、它和其它同类型的产品相比,最突出的优点有哪些
答:主持人 请大家尽快发问,一会直播时老师会根据有些问题有所侧重的解答

问:wangfengxiujd 1、咱们网康防火墙在配置方面上手快吗?2、它和其它同类型的产品相比,最突出的优点有哪些
答:网康专家1 感谢您的提问,网康科技是“人民安全”、“互联网化的下一代安全”理念倡导者,网康NGFW具有体验极佳的人机交互界面,从首次上线来说,我们提供了配置向导、帮助文档等,而对于上线后的安全管理,网康NGFW采用了一体化关联的设计,能够在一个页面中将应用流量、威胁、访问内容、地址、用户等信息全维度关联呈现,能够有效降低用户使用的技术门槛并提升安全事件响应效率。

问:JNCC-005 签到
答:

问:JNCC-005 我来晚了吗
答:主持人 还不晚,马上开始

问:dyw001 签到
答:

问:xinxin7489 我想请问一下网康的下一代防火墙与其他厂商的安全产品来说有什么比他们优势功能。例如:网神,天融信,网域等等。
答:网康专家1 网康NGFW具备两大核心优势,首先,网康是一家深耕应用层技术10年的公司,网康NGFW对于网络流量中的用户、应用、内容等核心要素有着极强的识别能力,能够有效保证防火墙产品访问控制的精度;第二,网康NGFW具有体验极佳的操作体验,在复杂环境的策略部署简易度、异常输出的友好度和丰富度、安全事件溯源速度方面具有较明显的优势。

问:wjqj hi
答:

问:rose2030 大家好
答:

问:lvwenxiu 想问一下咱们网康的防火墙配置有几种模式,配置的通用性怎样?谢谢
答:网康专家1 无论是Gartner 2009年提出的定义还是IDC在今年做出的最新解读,具备传统企业级防火墙的全部功能是下一代防火墙必须要具备的,因此在数据通信、组网方面的能力,网康NGFW完全可以兼容所有主流的组网形式。网康NGFW的部署模式包括路由/NAT模式、透明模式、混合模式、旁路模式等。

问:liumingxia1979 下一代防火墙与上一代本质上会有什么区别?
答:网康专家1 用户购买防火墙最基本的功能诉求是访问控制和攻击防护,下一代防火墙在这两项核心工作上均有技术提升,均从三层、四层上升到了第七层,因此能够进行应用的访问控制,能够防御病毒、木马、漏洞等高级威胁,是下一代防火墙与传统防火墙的本质区别。

问:克强 下一代防火墙最主要特点是什么?
答:

问:bbyy 网康下一代防火墙除了拥有传统防火墙的所有防护功能外,还可以识别网络流量中的应用和用户信息,实现用户和应用级别的访问控制,能够识别不同应用所包含的内容信息中的威胁和风险,防御应用层威胁,可识别和控制移动应用,防止BYOD带来的风险,能通过主动防御技术识别未知威胁,让用户对网络威胁构成一览无余。
答:

问:kingan0011 下午好
答:

问:克强 网康的防火墙具有哪些独特优势?
答:

问:ll0012 声音不好
答:主持人 建议把声音调大

问:bbyy 网康下一代防火墙的IPS、AV、URL过滤等功能是基于应用层的一体化安全集成,所有的威胁防护功能可在一条策略中配置完成,单策略的配置充分的展现了网康科技单次识别引擎的特色,可以在功能全部开启的情况下依旧保持较高的网络处理性能。并且由于网康科技下一代防火墙的安全策略是关联的,因此可以清晰的发现潜在的威胁,看清威胁形成的过程和全貌,便于管理员主动调整威胁防护策略,进行主动防御。
答:

问:dyw001 支持
答:

问:wangfengxiujd 现在我们企业的网络构架需要升级,现在的业务对网络的依赖性很高,这样就需要对网络安全更高!说到了防火墙,对不能给讲解一下下一代的防火墙对网络内部怎么个防护,有没有针对于来自外部VPN的防护!这是我现在需要的!!谢谢!!!
答:网康专家1 对于企业网的内网安全,我们建议将内网划分为多个安全级别不同的安全域,并使用NGFW进行逻辑隔离实现安全,对于内网而言,将安全域划分的越细致,对安全域间的访问控制越精细,则意味着更安全。

问:wangfengxiujd 现在我们企业的网络构架需要升级,现在的业务对网络的依赖性很高,这样就需要对网络安全更高!说到了防火墙,对不能给讲解一下下一代的防火墙对网络内部怎么个防护,有没有针对于来自外部VPN的防护!这是我现在需要的!!谢谢!!!
答:网康专家1 对于VPN流量的防护,则需要看具体的部署场景,主要是看VPN具体部署在什么设备上,网康NGFW本身也可以提供SSL VPN和IPSec VPN的功能,并且可以对终结在其自身的VPN通道数据进行安全检查。

问:liumingxia1979 鼎力支持网康,支持网界网的活动
答:网康专家1 感谢您对我们的关注!

问:szyouer 下一代防火墙的所具备要素有哪些?
答:

问:xinxin7489 网康下一代部署位置在哪里?是网络出口处吗?那对于网内的病毒行为如何检查?比如蠕虫病毒。
答:网康专家1 网康NGFW典型的部署位置主要是互联网出口、广域网出口或数据中心的出口。对于网络流量中的病毒,我们提供了病毒云查杀的解决方案,在本期活动中将会有介绍,请关注。

问:liumingxia1979 网康的下一代防火墙对自身的安全防御有哪些措施呢?
答:网康专家1 从产品研发阶段我们就坚持安全开发的实践,在版本正式发布前还会经过多轮的渗透测试、第三方众测等。网康NGFW保护自身安全的主要机制有漏洞扫描防护、暴力破解保护、弱口令保护、会话数限制等。

问:lvwenxiu 针对sql注入和xss跨站攻击等,除了可以防御,可以告知用户这些注入点吗?方便用户进行相应的修复。类似于扫描脆弱点并提供报告的形式。
答:网康专家1 作为边界安全设备,网康NGFW更侧重于对于安全域间的流量进行安全检查和过滤,并未提供主动的漏洞扫描功能,实现类似的工作建议借助一些专业的漏扫工具,漏扫是一个专门的安全产品品类,在此方面尤其自身的专业性。

问:jxnulz 用户的下一代防火墙部署后,会不会成为云平台上的一个节点,被用来处理其他节点甩过来的数据。
答:

问:xinxin7489 是否支持邮件中的恶意程序及代码的检查,还有采用了SSL加密的邮件可以检测吗?
答:网康专家1 对于POP3、SMTP、IMAP以及主流的WebMail流量,我们均可进行病毒、木马的检测和阻断,对于SSL加密的邮件流量,网康NGFW提供了SSL解密的解决方案。

问:wangfengxiujd 在虚拟化平台上如何使用防火墙技术?
答:网康专家1 业界普遍的做法是将虚机的流量引出到防火墙设备上进行安全检查,然后再引入目标虚机。另外采用虚拟防火墙技术同样是未来技术的一个走向。

问:lvwenxiu 下一代防火墙能代替负载均衡设备吗?
答:网康专家1 专业的负载均衡设备有其独特的负载均衡算法,不过对于普通需求的链路负载均衡,网康NGFW完全可以胜任,比如基于应用进行流量分配、基于目标地址所属的运营商进行路由优化等。

问:liumingxia1979 请问下一代防火墙是否会向虚拟化发展呢
答:网康专家1 一定会的!

问:bbyy 应用控制绝非传统意义的阻断应用,出于精细化控制的需求,下一代防火墙应该能够控制各类平台化应用的子功能,如QQ的文件传输等,同时还要能够基于用户和终端进行控制,而非传统的IP地址,并且能够对某些特定文件的内容进行深入过滤,以削减信息泄密的风险。 应用识别技术无疑成为满足上述需求的本质,下一代防火墙在未来仍将持续提升对应用、用户、终端和内容的识别能力,并对加密流量、隧道封装的数据进行识别,随着应用识别技术在广泛度和精细度等方面的提升,企业将逐步由目前的黑名单访问控制过渡至安全级别更高的白名单模式。
答:

问:kingan0011 很好,音频视频正常报告
答:

问:wangfengxiujd 我想问一下,下一代防火墙注重的是图形界面操作还是命令模式操作?
答:网康专家1 下一代防火墙操作以图形化界面为主,因为首先下一代防火墙的安全功能较丰富,使用命令行配置过于复杂,另外其大量的分析、告警的特性均是基于图形化界面交付的,人永远对图形的敏感程度要远高于数字和字符,因此我们倡导通过图形化页面对设备进行日常管理和操作。

问:xinxin7489 是不是有了下一代防火墙,内网里的电脑就没必要安装杀毒软件了?
答:网康专家1 绝对不是这样,病毒传播有多种途径,下一代防火墙只对流经它的特定协议流量进行病毒检查,对于其他形式的病毒传播,例如U盘拷贝等并不能防御。

问:liumingxia1979 我现在用的是传统的防火墙,部署的时候也就是内网外网一进一出的串联模式,下一代防火墙还有其他部署方式么?难道可以和行为管理一样旁路部署?
答:网康专家1 下一代防火墙是可以旁路部署的,旁路部署时的主要价值是通过其对应用流量、威胁极强的洞察力,了解网络的运行状态、安全状态以及威胁流量,并呈献给用户及时作出相应,但旁路部署时下一代防火墙对于其识别到的威胁不能进行直接的拦截

问:shangguangwei 对移动应用和移动终端的用户识别是否支持?毕竟现在用手机上网的也不少了,以后说不定移动终端是要占主流的。
答:网康专家1 网康目前支持识别700多种移动互联网应用,和安卓、Iphone、Ipad、Windows Phone等主流智能终端,并可基于这些元组对移动互联网访问流量进行精细化控制。网康已经注意到了BYOD的快速发展,在下一个版本中,移动应用的识别数量还将会增长数十倍。

问:linghz 下一代防火墙发展趋势是什么?从哪几个方面提升安全性?
答:网康专家1 IDC白皮书认为,下一代防火墙在未来会有以下技术趋势:

问:linghz 下一代防火墙发展趋势是什么?从哪几个方面提升安全性?
答:网康专家1 1.应用识别越来越精细 2.操作越来越智能、简单 3.融合的安全功能越来越全面 4.与云、大数据技术的充分结合 等等

问:mabingyuehua 目前生产环境中应用下一代防火墙后能解决什么具体的实际问题?
答:网康专家1 主要是在访问控制方面,可以基于业务应用的特点自定义一些应用,这样就可以在下一代防火墙上实现针对业务流的可视和可控。

问:mabingyuehua 网康与其他如梭子鱼、cisco最新收购的一家防火墙的优势在哪里?价格方面是否有优势?
答:网康专家1 网康的核心优势,一是应用识别能力强,二是人机交互简单,便于安全管理。网康NGFW提供了具有竞争力的市场价格。

问:shangguangwei 在错综复杂的防火墙市场环境中,消费者如何识别真正的下一代防火墙?
答:网康3 真正的下一代防火墙是一体化的处理引擎,在策略配置上就能看出来。另外通过大数据分析技术对未知威胁的识别和预警判断能力也是真正下一代防火墙的功能特点。

问:shangguangwei Web2.0时代,部署防火墙,和以前部署防火墙有什么打的区别吗? 防火墙的快速 部署和日常快速检查,不知道怎么实现呢? 多台防火墙统一管理又是怎样实现的呢?
答:网康专家1 Web2.0时代,要求安全设备,尤其是防火墙具备更强的应用洞察力,仅识别TCP80端口显然是无法满足的,对于Web流量一定要深入URL、传输内容的级别。下一代防火墙的一大标准是是否能够提供可视化智能管理,多台防火墙可以使用集中管理平台进行统一管理,例如网康SMC可同时管理2000台下一代防火墙。

问:mabingyuehua 目前虚拟化技术的快速发展,原本纵向流量加剧变成横向流量和纵向流量,导致安全区域的划分和策略发生变化,请问网康的下一代防火墙是否支持虚拟化技术?谢谢!
答:网康3 网康的下一代防火墙正在开发基于虚拟化的安全防护技术。

问:wangfengxiujd 对于下一代的防火墙,我觉得除了要基于用户防护、应用防护、可视化等还得有个智能学习功能,对于一些数据和行为具备智能辨识,而不是按照现有策略逐一比对。同时我觉得防火墙功能还是单一的好,加太多上网行为管理的功能或者其他技术融合可能会导致功能效率的下降。对于下一代的防火墙,不知道专家有啥期盼的!
答:网康专家1 下一代防火墙已经开始具备一些主动防御的能力,例如我们提到的僵尸网络防御,就是通过检查行为特征的异常来判别威胁。至于安全产品是集成还是分开,我认为主要还是看运用场景,对于绝大多数场景而言,下一代防火墙的性能是适用的,这样一体化设备既可以降低投入成本,又可以控制管理成本。

问:shangguangwei 下一代防火墙现在的厂家很多,咱们的优势在什么地方: 1、对于原有防火墙的功能是否继续保留 2、对于SQL注入等攻击方式有没有防护 3、对于行为管理和流量控制方面有没有集成 4、像一些规则方面是否经常更新?
答:网康专家1 1.具备传统企业级防火墙的所有功能 2.对于SQL注入、XSS等应用层攻击提供专业的防护模块 3.可以进行应用控制、外发数据控制和流量控制(带宽管理) 4.特征库均会保持快速更新

问:jxnulz 卡了?
答:主持人 没有呀,挺顺畅的

问:xinxin7489 众所周知防火墙防外不防内,但现在社会工程学的广泛应用,使的内部的攻击与威胁大于外部.请问网康在这方面有没有什么防范.
答:网康专家1 对于内网的威胁,有几个新的思路,一是将内网划分的更小更精细,这样通过访问控制可以将威胁控制在更小的范围内,二是对于隐蔽性较强的内网威胁,增加基于行为异常判别的主动防御机制,及时发现可疑的主机。

问:mabingyuehua 网康下一代防火墙有哪些产品型号在防大流量DDOS攻击有较好成效。针对目前网络攻击与防火墙产品选择,你有哪些建议?
答:网康专家1 具体要看使用的场景。我们建议关注防火墙的应用层吞吐量和功能全开启后的性能。

问:danwei 应用识别如何识别企业应用,例如ERP、PDM、CRM等?如何自定义一些应用特征库?谢谢
答:网康专家1 设备本身提供了较强的自定义应用能力。

问:chinafengkun 在网关位置能够用一台防护墙替代多个传统设备就太好了,不用单独部署上网行为管理等好多设备,管理也就简化了很多,单点故障隐患点也少了,请问,网康的防火墙提供哪些种管理方式?
答:网康专家1 主要通过https的Web管理,当然基于SSH的命令行管理也是支持的。

问:jxnulz 是我的网卡了。
答:

问:dyw001 一体化的引擎能达到单个引擎的检测效果吗?
答:网康专家1 检测效果取决于特征识别和匹配的能力,这一点一体化引擎和单独割裂引擎并没有区别,但是割裂引擎由于性能开销大,很多防火墙设备处于自我保护对于过载的流量会放弃检查直接bypass,从这一点而言,一体化引擎的优势同样是明显的。

问:60510109 如果发生了像12306那样的撞库事件,下一代防火墙可以提供更好的解决方案吗?
答:网康专家1 网康NGFW提供了暴力破解防护、数据过滤(可过滤数据库文件)等,对此类攻击的防范有帮助。

问:chinafengkun 防火墙上开启病毒查杀是否会影响性能?
答:网康专家1 开启安全功能,性能一定会衰减,但用户应关注其衰减幅度,应该说网康NGFW通过一体化引擎和病毒云查杀技术已经将衰减控制在非常理想的范围内了。

问:szyouer 下一带防火墙在应用安全方面是采用哪些安全保护?
答:网康专家1 可进行病毒防护、漏洞防护、间谍软件防护、僵尸主机告警、恶意网址防护等。

问:chinafengkun 防火墙对于未知风险如何防范?
答:网康专家1 通过一些主动防御的机制,主要是基于异常的流量变化,主机建立的异常连接等进行提前预警。

问:jxnulz 处理不了的数据就放到云平台去处理,会不会造成用户数据泄露。
答:网康专家1 我们上传的不是数据本身,而是数据的摘要值(经过摘要算法计算的),所以不存在泄漏数据之说。

问:shangguangwei 在内容防护上面,下一代防火墙是否可以集成内容加速功能,例如内网映射,网页加速相关功能?
答:网康3 防火墙没有提供基于内容的加速功能,网康专业的加速优化产品WOG提供您需要的加速功能。

问:克强 网康下一代防火墙易维护性如何?
答:网康专家1 人机交互界面很简单,欢迎联系我们试用。

问:克强 与第三方联动具体指什么?
答:网康专家1 主要指云和大数据系统的联动

问:szyouer 下一代防火墙可执行深度流量检测吗?
答:网康专家1 所有基于应用层的安全防护均要求对数据包进行深度检测。

问:liuzeshan 网康下一代防火墙教育领域有哪些具体应用?
答:网康专家1 在高校的互联网出口、安全实验室、普教的教育城域网节点均有大量部署。

问:wangfengxiujd 在下一代防火墙的DMZ区若引入相关VPN控制,是否需要特有的加秘机制?例如现有的L2-VPN,L3-VPN,主要在基于这两种技术有哪些加秘技术?
答:网康3 基于二层的加密技术是l2tp技术,基于3层的加密技术ipsec vpn加密

问:JW一号 请问专家网康的下一代防火墙有什么新的技术特点?
答:网康专家1 病毒云查杀技术、

问:JW一号 请问专家网康的下一代防火墙有什么新的技术特点?
答:网康专家1 一体化关联设计以及僵尸主机告警等是其主要技术创新

问:szyouer 如果用户只有一条链路,一旦保护中断就不能接入,那么下一代防火墙是否能很好地解决问题?
答:网康专家1 对于链路中断,防火墙能够做到的确比较有限,如果是双链路接入,防火墙可以做到很完善的链路备份和故障切换。

问:Emily321 下一代防火墙的防护功能都是统一的吗?
答:网康专家1 是可以单独开启的,但考虑到当前威胁的特点,我们倡导全功能开启。

问:szyouer 下一代防火墙相对传统UTM在功能叠加如何实现应用高效和管理控制的?
答:网康专家1 主要通过一体化的引擎和多个安全模块间的数据联动来实现

问:mabingyuehua 贵公司使用什么技术来保证贵司防火墙能够准确识别WEB2.0上面的数据是属于什么类型?比如,通过WEB我在玩游戏,在上OA,在使用WORD等等,那么通过什么来识别?URL吗?那万一没有收入的URL怎么办?还有类似于WEBQQ这样的平台,里面有很多应用,但网址基本不变,这又如何识别?需要通过特征库吗?而这两种方法都是传统的UTM技术,那么贵司超越创新的亮点在哪?谢谢回答!
答:网康专家1 URL只是其中一个方面,除此之外我们专利的XAI技术还会关注应用元信息、应用行为等,通过多种手段综合判断应用类型。

问:mabingyuehua 贵公司使用什么技术来保证贵司防火墙能够准确识别WEB2.0上面的数据是属于什么类型?比如,通过WEB我在玩游戏,在上OA,在使用WORD等等,那么通过什么来识别?URL吗?那万一没有收入的URL怎么办?还有类似于WEBQQ这样的平台,里面有很多应用,但网址基本不变,这又如何识别?需要通过特征库吗?而这两种方法都是传统的UTM技术,那么贵司超越创新的亮点在哪?谢谢回答!
答:网康3 网康的应用识别是基于应用的特征码进行识别的,不是基于url识别。所以网康的应用特征库每周都会进行更新。对于文件类型也是基于其特征码识别,变更后缀名或者压缩后仍能准确识别原文件类型。

问:yutao 下一代防火墙的新功能是否更实用?
答:网康专家2 下一代防火墙是根据现今网络新格局下设计的安全防护设备,具有更高的适用性、高性能以及稳定性。

问:chinafengkun 对于ATP攻击,有哪些防范策略?网康设备如何有效帮助企业防范ATP攻击?
答:网康专家1 APT是个大话题,有一点必须要说,仅仅依靠防火墙是无法完成全面防护的,但网康NGFW的主动防御能力可以帮助用户在网络边界及时的发现异常流量甚至是未知威胁。

问:szyouer 下一代防火墙是否可以融入到云计算和虚拟化的安全保护中来?
答:网康3 这种场景的防护一般有嵌入到虚拟化平台的防火墙软件来实现

问:吉格斯 不知道专家对最近的美国SONY被攻击事件怎么看?我们要怎么预防这样的有计划的攻击事件?
答:网康专家1 对于此类攻击,其实技术只是一方面,企业网应当有其完善的安全管理、运维流程,正所谓技术与管理并重、技术支撑管理。

问:jawen 下一代防火墙功能上有哪些优越性呢?
答:网康专家1 将访问控制和威胁防护由传统的三、四层上升到了应用层,使得访问控制更精准,能够防御的威胁更多。

问:rose2030 请问 下一代防火墙做了哪些的更改?
答:网康专家2 一体化安全引擎,提高产品性能;增加了应用层的安全防护,防护更全面;具有可视化,能更好的看到攻击的全貌等。

问:凡不了 下一代防火墙是否受到现有防火墙结构的限制
答:

问:bbyy 谢谢,老师辛苦了~
答:

问:凡不了 抽几个?
答:主持人 抽5名