當(dāng)前，業(yè)界對于防火墻的安全防御能力似乎總是存在些許偏見。諸多媒體或廠商在向用戶推薦安全產(chǎn)品時(shí)，紛紛指出傳統(tǒng)的防火墻無法滿足用戶的安全需求，更有甚者提出“防火墻已死”的論調(diào)。作為網(wǎng)絡(luò)安全的“元老”級設(shè)備，防火墻的未來將何去何從？

眾所周知，防火墻憑借其成熟的訪問控制技術(shù)，已占據(jù)了IT硬件安全市場的半壁江山，凡是需要策略控制、訪問控制的網(wǎng)絡(luò)就必然有防火墻的身影。然而隨著用戶業(yè)務(wù)形態(tài)的轉(zhuǎn)變，各種Web應(yīng)用迅速普及，傳統(tǒng)的安全邊界正變得越來越模糊，用戶對于安全的需求發(fā)生了改變。安全威脅正逐漸由網(wǎng)絡(luò)邊緣轉(zhuǎn)移到用戶存儲(chǔ)的關(guān)鍵信息與應(yīng)用，甚至是基于網(wǎng)絡(luò)的核心業(yè)務(wù)系統(tǒng)。

只有用戶不斷地提出需求，信息安全產(chǎn)業(yè)才能實(shí)現(xiàn)快速發(fā)展，作為存在已久的防火墻產(chǎn)品更是要因需而變。業(yè)界對于防火墻的抨擊和質(zhì)疑，多是因?yàn)閭鹘y(tǒng)防火墻2～4層工作原理的局限。如今，防火墻這一“先天劣勢”在新一代防火墻設(shè)計(jì)和生產(chǎn)中已經(jīng)發(fā)生了本質(zhì)的改變。作為國內(nèi)信息安全產(chǎn)業(yè)的領(lǐng)導(dǎo)者，天融信的X3戰(zhàn)略之X-Firewall系列就在此方面率先做出改變，不僅實(shí)現(xiàn)了模塊化的安全功能，統(tǒng)一的安全策略管理，還打破了傳統(tǒng)防火墻部署方式的局限，可靈活部署于網(wǎng)絡(luò)中的各個(gè)節(jié)點(diǎn)。X-Firewall已經(jīng)為我們預(yù)言了新一代防火墻的發(fā)展趨勢。

今天的防火墻正在因需而變

縱觀信息安全產(chǎn)業(yè)發(fā)展歷程，我們發(fā)現(xiàn)十幾年中防火墻技術(shù)經(jīng)歷了多次重大的變革。與路由器同時(shí)出現(xiàn)的第一代防火墻技術(shù)，采用了包過濾技術(shù)，實(shí)現(xiàn)了簡單的ACL功能；進(jìn)入90年代，第二、三代防火墻面世，在用戶需求的基礎(chǔ)上防火墻發(fā)生了改變，應(yīng)用層防火墻（代理防火墻）的雛形建立；隨后第四代防火墻基于動(dòng)態(tài)包過濾（Dynamic packet filter）技術(shù)，為狀態(tài)監(jiān)控技術(shù)奠定了基礎(chǔ)；到1998年第五代防火墻更新了安全代理（Proxy）技術(shù)，給防火墻賦予了全新意義；如今隨著安全網(wǎng)關(guān)性能瓶頸的打破，UTM（統(tǒng)一威脅管理）等新一代防火墻產(chǎn)品迅速推出市場，拉開了安全網(wǎng)關(guān)激烈競爭的序幕。防火墻這一系列的變革都與用戶更高的要求有著不可分割的關(guān)系。

或許是由于思科停產(chǎn)了PIX防火墻帶來的影響，或許是因?yàn)榘踩枨蟮母淖儯?dāng)前諸多廠商對于炒作UTM的神奇功效樂此不疲，但各家似乎都在刻意回避UTM源自防火墻的現(xiàn)實(shí)，在突出UTM產(chǎn)品功能特色的同時(shí)，卻忽略了其與防火墻檢測標(biāo)準(zhǔn)的如出一轍。理性的講，在多核技術(shù)、模塊化設(shè)計(jì)日臻完善的今天，UTM是防火墻發(fā)展的必然經(jīng)過，稱其將完全取代防火墻最終獨(dú)占鰲頭卻有失偏頗。用戶必須意識(shí)到，幾乎所有標(biāo)榜萬兆多核的高性能UTM，其設(shè)計(jì)模型都在借鑒防火墻多年積累的成功經(jīng)驗(yàn)。

2009年3月IDC報(bào)告顯示，防火墻市場占有率依然高達(dá)43.4%，其安全網(wǎng)關(guān)的核心地位不可動(dòng)搖。作為國內(nèi)最大的信息安全產(chǎn)品與服務(wù)提供商，天融信公司連續(xù)八年占據(jù)國內(nèi)防火墻市場和安全總體市場份額排名雙第一，其成功的秘訣正是一切從需求出發(fā)，為用戶構(gòu)建可信安全防御體系，而不僅局限于一款產(chǎn)品。

天融信公司市場總監(jiān)張龍勇表示，“隨著多核技術(shù)、加速芯片技術(shù)以及產(chǎn)品設(shè)計(jì)上的日臻完善，安全網(wǎng)關(guān)具備多種安全防護(hù)功能已是必然趨勢。如今，用戶需要的并不是簡單的幾合一的安全網(wǎng)關(guān)，特別是行業(yè)用戶需要的是可以保證其業(yè)務(wù)穩(wěn)定運(yùn)行的高質(zhì)量安全防御體系，這就需要提升用戶的綜合安全能力建設(shè)，即防護(hù)能力、監(jiān)控能力和運(yùn)維能力的建設(shè)。為此天融信對安全網(wǎng)關(guān)提出了更高的要求，力求使用戶的安全防御實(shí)現(xiàn)按需定制，在安全設(shè)備間形成聯(lián)動(dòng)的防御體系。”

新目標(biāo)：安全按需定制

正如天融信公司董事長兼總裁賀衛(wèi)東所言，“中國的信息安全，只能靠中國人自己解決。”當(dāng)越來越多的外來安全產(chǎn)品、技術(shù)和理念進(jìn)入中國市場，理性的思考我國用戶安全需求顯得尤為重要。伴隨我國信息化建設(shè)的快速發(fā)展，各種新業(yè)務(wù)與應(yīng)用快速出現(xiàn)于用戶網(wǎng)絡(luò)，用戶需求的改變是對我國信息安全廠商提出的更加嚴(yán)格要求。

如何滿足用戶安全建設(shè)擴(kuò)容，如何保障業(yè)務(wù)可持續(xù)健康發(fā)展，如何構(gòu)建可信安全防御體系？新一代防火墻必須實(shí)現(xiàn)“安全按需定制”。

與過往不同，以X-Firewall為代表的新一代防火墻打破了固有的安全防護(hù)形態(tài)，強(qiáng)調(diào)設(shè)計(jì)一體化、功能模塊化，以及安全策略的統(tǒng)一調(diào)度與管理。為實(shí)現(xiàn)“安全按需定制”的目標(biāo)，安全網(wǎng)關(guān)的技術(shù)變革需要貫穿產(chǎn)品的軟硬件選型與設(shè)計(jì)。其中開發(fā)專用的安全操作系統(tǒng)已被業(yè)界認(rèn)可。

全球知名市場調(diào)研公司Forrester于2009年2月發(fā)布的報(bào)告就指出，單一網(wǎng)絡(luò)操作系統(tǒng)是確保網(wǎng)絡(luò)操作效率與靈活性的最佳方式之一。安全同樣如此，開發(fā)專用安全操作系統(tǒng)，滿足安全設(shè)備間的統(tǒng)一策略管理，實(shí)現(xiàn)安全功能的模塊化設(shè)計(jì)顯得尤為重要。

作為國內(nèi)第一家推出專用安全操作系統(tǒng)的天融信公司，在產(chǎn)品開發(fā)初期便著重思考了國內(nèi)用戶安全需求的變化。借鑒思科與Juniper等公司的成功經(jīng)驗(yàn)，TOS安全操作系統(tǒng)不但實(shí)現(xiàn)了多安全功能的融合，也實(shí)現(xiàn)了困擾業(yè)界已久的統(tǒng)一策略管理問題，為企業(yè)安全防御體系的建立提供了有力支撐。

新挑戰(zhàn)，大作為

據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心的報(bào)告顯示，今年上半年有1.95億網(wǎng)民上網(wǎng)時(shí)遇到過病毒和木馬的攻擊，1.1億網(wǎng)民遇到過賬號或密碼被盜的問題。如今業(yè)務(wù)和互聯(lián)網(wǎng)的結(jié)合，對于用戶的安全防御體系建設(shè)的要求更加嚴(yán)格。不論是單純的從網(wǎng)關(guān)進(jìn)行攔截，或者由終端進(jìn)行強(qiáng)化，安全威脅都隨時(shí)有可能出現(xiàn)。用戶對于安全的需求已不再局限于產(chǎn)品，安全體系建設(shè)需求，滿足等級保護(hù)要求，都將為新一代防火墻提供廣闊的市場。

市場需求越大，挑戰(zhàn)難度越大。美國超級計(jì)算機(jī)中心的安全專家近日指出，新一代防火墻必須克服先天的缺陷，首先是解決單點(diǎn)故障問題，其次要實(shí)現(xiàn)統(tǒng)一的策略管理，最后對于來自企業(yè)內(nèi)部人員的安全威脅也必須形成有效的管控。

越來越多的證據(jù)顯示，安全體系的建設(shè)絕不僅依賴于一款產(chǎn)品，整合安全已是大勢所趨。只有讓用戶的安全策略形成有效的統(tǒng)一和流程化管理，實(shí)現(xiàn)網(wǎng)絡(luò)各節(jié)點(diǎn)的安全聯(lián)動(dòng)，才能讓用戶的信息安全得到最大限度的保障。新一代防火墻擁有“按需定制”的特性，正好滿足了用戶新形勢下的安全需求，為實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一安全管理調(diào)度提供了保證。

在信息技術(shù)快速發(fā)展的今天，防火墻正隨著用戶的需求變化而快速完善。固然前方困難重重，但我們有理由相信新一代防火墻將會(huì)在質(zhì)疑聲中帶來更全面、更智能和更有效的安全保護(hù)。