安全防护格局发生改变

传统安全防护体系的工作基础有三点，第一是基于端口的五元组访问控制列表，所谓五元组，是指描述一个网络会话的五个基本参数，分别为源地址IP、源地址端口号、目标地址IP、目标地址端口号以及传输层协议（TCP/UDP）。第二是基于特定端口的风险内容扫描，即只针对软件预先设定的端口进行风险扫描。第三是终端管理权归属单位，用户工作单位可以强制安装安全防护体系。

“随着互联网使用技术的发展和黑客技术的发展，我们所面对的威胁发生了变化，这些变化撼动了传统网络安全的基石，”陆继周说，“未来的网络威胁有四分之三是来自应用层，威胁在应用层的隐蔽性更强，传统五元组可以描述网络层特征，却无法描述网络应用层威胁，且现在的大多数网络应用具有端口跳变的能力，目的是为了绕开端口，轻松逃逸检测，在这种情况下，基于指定端口扫描的技术彻底失效。”

全球最具权威的IT研究与顾问咨询公司之一Gartner公司的相关人员表示，到2022年全球85%的企业将全部采用员工自带设备方式办公，那么像这种移动互联网设备，企业不能强制其安装安全防护系统，这就彻底改变安全防护格局，颠覆了传统的客户端管理体系。

常延廷解释，现在的电脑黑客，形成一个强大的商业链，在商业利益的驱动下，他们无所不用其极地破坏我们的安全防御系统，攻击变得流程化、商业化，并且采用分散隐蔽式的攻击，增加网络中的未知威胁，颠覆了以前的网络威胁非黑即白的局面。

推出下一代防火墙

那么如何开启下一代安全体系，维护良好的网络秩序呢？

Gartner公司认为，下一代安全防御体系的核心技术，应该具备三个基本特征。首先，要以应用为基础构建系统的安全功能和进行安全防护；其次，要形成一个智能集成体系，不再是功能堆叠，各安全功能是以应用为基础集成，进行有效的内部联动控制和数据关联呈现；最后，要实现防御的最大可视化，保证应用识别能力最大化、应用与威胁关联的洞察能力、数据关联可视化能力。

2009年Gartner公司将“下一代防火墙”正式带入了业界的视野。下一代防火墙满足了在全新的网络安全形势下企业对安全产品的全新需求，根据Gartner的研究报告显示，在2014年，60%的新购防火墙都将是下一代防火墙。下一代防火墙的特征是，除具备传统防火墙的全部安全模块功能外，在提供全面的安全防护和深度的可视化洞察能力的同时，决不以牺牲性能为代价，必须是高性能的安全产品。

应对新的网络安全，业界对下一代防火墙的关注与日俱增，国内外的诸多厂商也纷纷推出了自己的下一代防火墙产品。陆继周介绍，网康 “下一代防火墙”除具备基本的防火墙功能外，还提供了基于网络应用的洞察与控制能力，能实现对应用的识别和控制。此外，基于应用做一体化防护，提供了智能化主动防护，对所有威胁进行智能分析，从而使用户能够从不同的角度对网络流量进行观察和管理。提供了移动网络设备管理系统，率先支持超过500种移动互联网应用，覆盖苹果、安卓、塞班等多种移动平台，涵盖聊天、微博、视频、地图等多种主流应用类型，实现对PC、移动终端的全面管控。重新定义了高性能，实现了应用层的高性能安全扫描。所有的内容扫描都是在单次的应用识别、报文解析、流重组和协议解码后进行，减少了不同内容引擎对报文和流的重复处理。（实习生 刘旭奕）