ZDNet安全:H3C对下一代防火墙的理解是什么?您认为当前企业面临的什么网络安全形势使防火墙有必要向下一代演进?演进方向是怎样的?
H3C网络安全产品部安全技术总监李彦宾:下一代防火墙正如Gartner定义的那样,应该具备基于应用用户的访问控制和内容安全检测等重要特征。随着Web2.0时代的来临,企业将面临来自于Internet的病毒、木马、DDOS攻击、网络钓鱼、SQL注入等种类繁多且危害巨大的威胁,促使企业在Internet出口传统基于状态防火墙向基于应用的内容安全检测下一代防火墙演进。
另一方面,在当前最热门的数据中心和云计算环境下,服务器被虚拟化,数百G的流量,业务低延迟和高可靠保证,智能化的安全管理,这些对FW提出了新的挑战和需求,H3C认为在数据中心和云计算中下一代防火墙应该具备"虚拟化、高性能、高可靠以及智能化"四个特征,会向高性能、高可靠,虚拟化和智能化演进。
ZDNet安全:H3C是否认可NGFW的未来发展方向?又是如何看待当前NGFW的市场现状?
李彦宾:NGFW作为Internet安全网关,在部署以及维护管理上有很好的优势,可以满足中小企业的需求,在云计算和数据中心环境下各个厂商也提出推出了适应这种环境要求的安全网关。但由于没有统一标准,在技术上还需要进一步提高发展和规范,整个市场还需要培育。
ZDNet安全:据了解,类似H3C、Cisco等主流网络厂商,均未定义自己的NGFW产品,如何通过自身网络架构优势来实现当前用户对NGFW的相关需求?
李彦宾:与安全厂商单一强调产品不同,H3C更倡导系统化安全综合解决方案。我们不仅要把防火墙、IPS、ACG应用控制等功能要做好,同时更强调与交换机、路由器与管理中心、桌面管理以及虚拟机安全管理等系统的高度融合,比如H3C的数据中心解决方案,客户可以选择与网络性能匹配的安全插卡,在保证低延迟和高可靠前提下支持各种复杂组网,采用了统一智能安全管理平台,实现对数据中心L2-L7多层防御以及虚拟机、终端系统的防护功能。
ZDNet安全:与传统的网络防火墙和UTM产品相比,您认为NGFW的不同之处或独特优势有哪些?给企业带来的价值?
李彦宾:NGFW相对于传统防火墙在基于应用的访问控制管理和内容检测方面优势明显;相对于UTM基于用户的安全控制方面优势明显。为企业提供了方便可靠的授权访问应用和内容检测安全控制平台。
ZDNet安全:面对重大的网络入侵,NGFW这种融合的设备相对于传统独立的网络安全架构是否有稳定和可靠性?是否具有优势?
李彦宾:面对重大的网络入侵,NGFW融合的设备相对IPS(入侵防御系统)独立安全设备在稳定性和可靠性方面还有一定的差距。比如IPS透明部署在网络中,在遇到极端情况下,有二层回退、PFC掉电保护等多重可靠性设计,保证业务的畅通。而NGFW作为网关部署在网络中,一旦出现问题,会造成网络的中断。
ZDNet安全:您认为像NGFW这种融合产品是否适合所有企业的网安全需求,还是具有行业或企业规模的属性?
李彦宾:NGFW可以满足中小企业Internet出口基本安全防护需求。
ZDNet安全:在整个安全市场向下一代防火墙演进的过程中,用户在安全部署过程中应该考虑哪些因素?
李彦宾:在下一代防火墙安全部署过程中,除了开启内容检测之外,还要考虑以下因素:性能可否满足要求?透明部署还是三层部署?三层部署是否要运行动态路由协议(比如OSPF)?是否支持双机热备?是否具备VPN功能?