撥雲見日，找尋屬於你的下一代防火牆

　　下一個資料時代的基本特徵是海量資料，並由此帶動起一系列全新的支撐架構和資料服務體系，如大資料行為挖據，虛擬化儲存與服務，移動辦公，社會化網路及媒體等等，而其中最為關鍵的則是新資料時代下的網路安全問題。究其原因也不難理解，飛速發展的網路結構與技術已經模糊了虛擬化網路與現世的界限，通過社交網路或自動化控制系統，攻擊者的目標可以碰觸到人本身，更不乏高階持續化攻擊可以殃及到一個組織甚至國家的核心命脈，帶來經濟崩潰、社會恐慌、乃至生命威脅。

　　鑑於此種威脅趨勢，業界已有安全廠商提出了較為完整的下一代安全防護理念，在新一代攻防研究、服務模式創新、全系列安全產品等多個維度搭建起了一個全方位立體的安防體系。下一代防火牆做為下一代安全中的排頭兵，承擔著保障基礎邊界安全的使命，在新一代網路、新一代資料時代中，扛起了安全防護的大旗。

　　自09年Gartner定義下一代防火牆初始，國際國內安全廠商紛紛提出了對防火牆之“下一代”的理解和看法，並均試圖引導和說服使用者接受自己的觀點，其中不乏新、奇的特徵著色。為迎接和適應下一個資料時代的挑戰，選擇下一代防火牆已經無容置疑，然而面對市場上林林總總的下一代防火牆們，使用者到底應該如何選擇?哪一款才是真正適合你的產品?

　　筆者認為使用者首先應從自身需求出發，再綜合衡量安全廠商的品牌基因、技術及服務水平、行業經驗和銷售市場表現等各方面因素，方能得到一個內外結合、全面合理的採購方案。

　　從自身需求出發

　　安全領域中的防火牆使用者多涉及政府，運營商，能源，金融，教育，醫療等行業。使用者需求的出發點多種多樣。有些使用者對規範合法、政策響應要求比較高;有些行業使用者如運營商、金融則將業務系統實時穩定視為生命，在保障業務系統安全穩定的同時防止非法入侵和破壞業務運轉行為成為重中之重;有些涉密資訊行業使用者則看重內部資訊的高度安全和防洩漏;有些使用者分支廣佈全國各地，業務系統接入與資產共享成為當務之急;有些使用者則因組織或機構本身的開放性，一方面需要保證資訊暢通和通訊自由，而另一方面也需要加強流量和線路資源管理，構建和諧互動環境。

　　然而，無論需求的出發點有何不同，使用者的核心期望都可以概括為兩個框架的範圍，一個是傳統的卻也始終是最廣泛的基礎防火牆安全需求，另一個則是極具下一代資料攻防特徵的下一代安全防護需求。

　　趨勢和潮流的意識形態落地到實際環境需要很長一段時間，儘管當前各廠商紛紛給下一代防火牆打上自己的標籤，也迫切期待這些標籤切中使用者的關鍵痛點，諸如下一代防火牆要包含Web應用安全、幾十甚至上百G線速、BYOD、雙病毒引擎、網路狀態檢查等等，然而，使用者是否真正需要這些附加值?歸根到底，實際的網路環境或使用者需求遠不是如此“花俏”。

　　防火牆對網路部署環境的適應性、IP資源對映分配、通訊通道管理、流量管理和監控，以及許可權管理和審計審查等，包括下一代防火牆核心特徵之一的應用/使用者識別和管理，在一段時間內才始終是使用者的真實渴望和核心需求，而這些是所有廠商的下一代防火牆產品都已具備的無差異功能。

　　而就各廠商附加的其他標籤而言，其本身帶來的價值真實性和成熟度到底如何，卻始終是一個值得商榷的問題。然而這期間被標籤，或者說假需求所引導倉促購買的使用者卻不在少數。

　　故選擇下一代防火牆一個首要的出發點是，從自身真實需求出發，冷靜分析目前所處行業環境和網路建設背景，甄別標籤虛實，根據下一代威脅特徵，選擇適合自己真正需求的防火牆產品。

　　影響採購的因素

　　購買產品特別是安全產品，不應只糾結於產品本身一個點的表現，尤其在當下市場中，各廠商下一代防火牆如雨後春筍般湧現，且產品本質上並無區別，無論從功能還是效能上很難辨出伯仲。這時就要結合安全服務的特性，即持續、長效性，結合安全廠商的綜合實力，以及產品的附加值，多方位360度的進行綜合審視和選擇，主要包括以下幾個方面。

　　A. 品牌或者說廠商的核心競爭力

　　品牌是企業從初創、發展到壯大持續秉承的核心競爭力，安身立命之本。核心競爭力如何，決定了企業當下及將來都會採取的信念，方向及行動。優秀的DNA鑄就了堅實的品牌，比如廠商如能傾注攻防技術研究，將保障使用者網路安全奉為最高使命，則註定了其安全產品或服務質量在無論多麼久遠的將來都會始終引領行業潮流，充當技術先鋒，成為巨人背後名副其實的安全專家。而如果廠商沒有這種信仰，則會因價值觀的搖擺而引起衝突和動盪，不僅不利於廠商自身的長久發展，更無法為使用者提供持續可靠的安全服務和技術保障，給使用者造成極大損失。

　　B. 技術實力和創新能力

　　技術實力確保了廠商可持續提供高品質的產品和服務。特別是安全事件頻發，攻擊變種日新月異的當今時代，沒有深厚的技術功底保證，再堅實的防護堡壘也只能曇花一現。技術實力主要體現在兩方面：現有產品市場表現和前瞻性的創新能力。

　　為保證真實性和客觀性，產品市場表現應參考第三方市場研究機構的調查意見，如全球著名市場研究機構IDC對國內安全市場的分析報告等，涉及產品應包括最能體現安全技術水平的入侵防禦系統、漏洞掃描系統、Web應用防護系統等等。

　　創新能力體現了廠商技術競爭力的可持續性。當今時代資料爆炸，雲安全服務模式已成必然趨勢，國際RSA及國內CSA同盟組織在該領域都是帶頭人。使用者可關注並挖據創新潛力充足的廠商進行合作，對使用者當下及將來安全持續發展都大有裨益。

　　C. 行業使用者服務經驗

　　安全廠商的銷售模式無外乎兩種：行業直銷和渠道代理銷售。其中渠道代理模式因其銷售及生命期維護成本低廉，代理商地域涵蓋範圍廣，中小客戶覆蓋度高等原因，成為許多中小廠商的主要甚至是唯一選擇。

　　然而此種模式的代價卻是廠商自身遠離了一線使用者，遠離了行業。對大行業客戶的瞭解、需求把握、發展趨勢不甚瞭解，更無從談起如何給使用者創造有效的產品解決方案。然而，安全經驗的積累貴在實踐中的磨練與碰撞，從安全攻擊者的心理角度不難理解，往往只有在對行業大客戶的服務中才有機會接觸和積累安全攻防經驗，才有可能將其借鑑到其他中小使用者的服務模式中去。

　　下一代防火牆的重要使命之一是防範下一代網路中的新型攻擊，毋庸置疑，使用者在選擇防火牆產品時，對廠商行業覆蓋度或銷售主要模式的考量也是很重要的一個因素。

　　D. 企業對下一代防火牆產品的支援和投入力度

　　廠商是否將下一代防火牆產品擺在一個很高的戰略地位，是否投入大量人力物力精益求精的設計產品，是否在保障策略上高度重視，是否於市場推廣上全傾投入?使用者在選擇時同樣應將此做為重要依據。

　　原因是有些廠商僅是將原有產品進行改造，營銷上冠以“下一代”的包裝。此種策略因缺乏對下一代威脅和安全的真正瞭解和重新思考，產品沒有從根本上融合下一代的基因和血液，“繁華”過後，使用者終將會認識到此類產品的缺陷和不足，造成不必要的投入損失。

　　有些廠商則於戰略高度打破傳統格局，投入重兵，從頭到尾全新優化設計，真正的創造出一款全新的下一代防火牆產品，並且一改低調風格，在全國各地密集展開下一代防火牆推廣活動，不僅產品本身下一代血統純真，更極大堅定了使用者對抗新一代威脅的勝利信心，體現了極大的客戶價值。

　　E. 地域因素

　　隨著“稜鏡”類事件的不斷曝光，本旨在保障網路安全的某些品牌產品，其自身的安全問題卻引起了業界使用者高度關注和重新審視。國內使用者在選擇安全產品品牌時因謹慎考慮，防止安全保衛者轉身成為威脅劊子手。

　　結束語

　　綜上所述，安全防護非一朝一夕，安全產品選擇也絕非一點一面。在當今下一代防火牆如火如荼的競爭格局中，使用者應冷靜自省，明辨真假需求，牢牢把握住新一代網路安全的攻防特徵，並以此為本，從廠商基因、技術實力、大行業經驗、地域分佈及戰略投入等多方面綜合審視，客觀全面的衡量廠商及其產品表現，才能最終做出合理、優化、正確的選擇方案。