對很多關注美國科技股的人而言，Palo Alto是一家光芒閃耀的明星公司。這不僅因為它飛快的股價上漲速度，更因為它有著可期待的未來。在信息安全領域，作為下一代防火墻的先驅企業，Palo Alto為防火墻定義了一個新的時代，也為自身帶來了高速發展的動力。

[[111786]]

不過，盡管NGFW為Palo Alto帶來了很多，但這并不是它的全部。

NGFW先驅的安全新視角

自Palo Alto提出下一代防火墻(NGFW)并付諸實踐以來，國內外安全廠商紛紛跟進，企業防火墻產業步入新的軌跡。

[[111787]] 

Palo Alto 大中華區銷售總裁徐涌

談到Palo Alto 在這一領域的先驅角色，Palo Alto 大中華區銷售總裁徐涌稱，在安全“攻”“防”戰中，安全防御方應該像打冰球一樣，重點關注冰球運行的軌跡，而不是它在某個時點所在的位置，在對未來軌跡的認知基礎上，決定下一步走向。

今天，IT技術的變革在持續進行中，很大的一個改變是：移動互聯網改變了網絡架構，引入了移動應用。這一改變也帶來了安全設備的變革：傳統防火墻是開關式的，與應用端口密切相關。在新的移動應用場景下，如果還是通過舊有方式保守地進行安全防護，則會犧牲效益。在移動環境下解決固網出現的問題，也曾經出現了很多辦法，如：通過固網接入應用業務后，通過打補丁、裝IPS來對付防火墻不能應對的子應用威脅，這可以解決一部分問題，但這種方法的先天不足是：硬件架構仍然是基于網絡防火墻的，當所有應用打開，性能必然下降。徐涌將這種方法類比為在2G手機上安裝APP，2G手機硬件的設計是基于通話，要在上面安裝APP，用戶體驗不好是必然的。

在徐涌看來，就像APP應用需要安裝在專門的3G手機一樣，應對新的移動威脅，需要更新換代的安全產品。而Palo Alto的創業者們早在2005年就看到了移動應用的新變化及其帶來的安全產業變革：停留在端口進行技術革新，或通過補丁方式應對未來的安全需求遠遠不夠，我們需要全新的下一代防火墻(NGFW)。NGFW與上一代防火墻最大的區別是：沒有任何網絡和端口概念，而是以應用感知為基礎，應用一進來就會對其進行檢查，跟從哪個端口進來沒有關系(應用感知);除此以外，同一個應用，對不同用戶也有不同授權(用戶感知)。應用檢查通過后，還要檢測其內容是否合法(內容感知)。

NGFW的先驅者Palo Alto從以上三個角度定位安全，他們的NGFW產品對安全、通訊、管理的處理都是在不同CPU上實現，所以所有功能打開的話，其性能不會降低。

三駕馬車并行：PA不只有NGFW

在今天的網絡世界中，攻擊手段變得比過去更先進，任何企業和信息都有可能成為攻擊者的目標，威脅也進入了一個新的階段：高級威脅階段。在此階段，有組織的犯罪(定制化攻擊和惡意軟件)和國家政府之間的網絡攻擊(具有針對性、持續性和創造性)變得更加普遍，前者常常使用逃避技術，需要沙箱等智能檢測;后者采用被動網絡或主機探針，通過智能的連續檢測，一旦發現某項指標，就會開展全面調查，防御這種攻擊需要高度的協調。而此前的日常威脅，大多數用防毒或IPS即可應對的。

面對新的安全威脅和趨勢，Palo Alto也逐步找到了自己的定位和未來的發展方向。對很多安全從業者而言，Palo Alto幾乎是NGFW的代名詞。但今天的Palo Alto要做的遠不止此。

徐涌告訴記者，未來，Palo Alto將步入新的信息安全防護時代，其下一代安全平臺(Next-Generation Security Platform)架構將包含：下一代防火墻(NGFW)、下一代威脅云(NG Threat Cloud)、下一代端點防護(NG Endpoint)。其中，NG Threat Cloud主要提供自動安全云服務，通過收集潛在的網絡威脅，進行關聯分析，這些分析成果可以被其他網絡和終端分享。NG Endpoint平臺則源于Palo Alto最近收購的一家公司：Cyvera。Cyvera是以色列一家提供零日攻擊端點解決方案的公司，它在2012年推出了旗艦產品Cyvera TRAPS——“遠程定位的攻擊保護系統”，該產品可提供對安全弱點的最終管理和中央控制。徐涌表示，“盡管漏洞和惡意軟件層出不窮，攻擊者能用它們來攻擊的技術卻不多，目前黑客可用的技術有幾十種，平均每年新增加2至4項新技術。Cyvera的新方案致力于了解攻擊者的技術，再通過障礙和陷阱措施防止攻擊者利用漏洞進行攻擊。”通過收購Cyvera，Palo Alto下一代安全平臺獲得了下一代端點保護的能力。

徐涌還透露，今年，Palo Alto在中國將進行大規模擴張，銷售和技術力量都將大幅度增強。