對于如今安全威脅變化，很多企業都已經意識到并開始尋找新的解決辦法。傳統安全設備逐漸失效、技術門檻高、性能低、成本高昂等問題，讓企業的IT管理者在進行安全運維時飽受折磨。企業IT安全已經到了必須進化的時候了。

“下一代防火墻的出現讓我們看到了理念上的革新，人們開始真正用新的思維方式來看待安全防御問題。并且開始將這樣的理念貫穿于產品規劃過程，最終形成落地的功能，這些也將會引領今后安全防御技術的走向。” 網康科技市場部產品市場經理熊瑛在接受我們采訪時這樣表示。

▲網康科技市場部產品市場經理熊瑛

熊瑛談到，在國外，由下一代防火墻帶來的安全理念變革正在深入人心，可以說下一代防火墻已經走在了普及之路上。但從國內市場來看，下一代防火墻的推廣還有一些阻力，受限于意識、資金、技術等方面的欠缺，用戶對于安全的重視程度以及對先進防御理念的接受程度仍將有一個提升的過程。

而企業用戶對于下一代防火墻為代表的新一代安全設備最核心的需求則體現在更安全、更簡單、更完整、更經濟，這也是下一代防火墻能為用戶帶來的最大價值。熊瑛介紹到，所謂更安全就是指對于新興威脅尤其是未知威脅的防御能力要有所提升，更簡單則指設備具有更好的操作體驗并且具備智能的分析能力以支撐管理，更完整代表所有安全功能無縫融合的情況下保證較高的整體性能，更經濟則意味著更低的投入成本和管理成本。

針對國內企業IT的實際需求，熊瑛認為，一款優秀的下一代防火墻產品應該具備的核心功能無外乎訪問控制、威脅防御、高性能以及組網能力幾方面：

1、訪問控制是安全設備應具備的基本功能，在此方面無疑要由傳統的5元組過度到更加符合用戶安全需求的8元組。盡管市場上幾乎所有的安全產品都在持續改善8元組的應用控制能力，但應重點關注兩個技術難點，一是基于用戶控制時的用戶認證便捷度，二則是控制應用的廣度和深度。

2、威脅防御始終是一款安全設備應該關注的重點，因為傳統基于本地代碼特征比對進行威脅識別的技術在面對新興威脅時已經開始失效，所以要想形成更強的安全防御能力，一方面應增強代碼特征的檢測能力，另一方面則更應關注到未知威脅的防御。

3、我們主張更加理性的看待安全設備的性能，我們已經注意到近年來大規模的DDos攻擊真正達到拒絕服務的目的，更多的是由于鏈路阻塞造成的，并且在未來對于企業網來講，破壞性的DDos攻擊將不會是主流，而更多面向企業的滲透行為，其實更多時候只需要幾千字節的流量就足以完成。對于這樣的情況，要求安全設備有高效的多威脅檢測能力，因此我們應看重的是所有檢測功能全開啟情況下的應用層高性能。

4、安全設備首先是一款網絡設備，其組網能力不容小視。為了順應當今用戶的組網需求，一款優秀的下一代防火墻應具備更加靈活和智能的組網能力，例如應具備多鏈路負載均衡、運營商路由智能優選、基于應用的智能引流等功能。

談到企業下一代防火墻選型，熊瑛建議到，“根據下一代防火墻的權威定義，有幾個比較顯著的標簽是：基于應用層構建安全、主動防御、多威脅檢測機制智能融合。而與這些標簽相對應的參數或考量標準主要體現在以下幾點：首先是應用識別的廣度和深度以及與本土用戶使用習慣的契合度，其次是可視化及智能分析的能力和操作體驗，再次是功能全開啟后的性能以及性能衰減趨勢。”因此，企業用戶在選型下一代防火墻時應注意這些點。

最后，熊瑛表示，“防火墻在之前一直以‘執行者’的形象出現在網絡中，在今后，下一代防火墻應該成為具有執行能力的建議者，因此我們認為下一代防火墻在今后變化的一個比較明確的方向應當是更加智能化，例如對全網數據的深入分析能力，對管理運維的建議支撐能力等。當然，作為一款安全設備，具有極強威脅防御能力是必須具備的要素，所以在威脅檢測方面，應當有持續的技術創新。如果真正能夠在這幾個方面持續的改善，無疑將加速下一代防火墻用戶認可度的進程。”（完）