程彦博

究竟什么是下一代防火墙（Next Generation Firewall，NGFW）？自Gartner于2009年提出下一代防火墙的概念至今，恐怕人们对这个问题仍旧莫衷一是。

汉柏科技对下一代防火墙的理解是：它首先要满足虚拟化网络安全防护的需要，并彻底摒弃网关与终端的割裂式孤岛安全防护，为用户提供完整、简单易用、低成本的安全防护解决方案。近日，汉柏就基于这样的理念，通过整合软硬件平台，推出了高精准、高适应性的下一代防火墙产品。

如今，网络应用不再局限于简单的信息收发，而是涵盖了实时协作、即时消息、流媒体、数据存储读取和电话会议等复杂的网络应用。在依托网络提高效率的同时，也需要面对网络中存在的潜在威胁。在这样的环境中，很多企业无法区分网络中使用的合法业务应用程序与那些只是消耗带宽或带来危险的无用程序。

在现今复杂的网络应用环境下，安全与性能具备同样的重要性。传统防火墙已不能提供较好的安全防护，而以网络瓶颈为代价换来的安全同样不能被行业所接受。防火墙或网络性能的任何延迟都可能影响敏感型、协作应用程序，而这反过来又可能对服务水平和生产力造成负面影响。

几乎所有的企业都会面临应用程序中漏洞带来的风险，遭受如蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、SQL注入、XSS跨站等形式的入侵或攻击，严重威胁到企业的发展与信息安全，严重时还会造成不必要的经济、文化损失。尤其是在大数据、云时代这一信息化时代背景下，安全已经成为各行业共同面对的信息保障型课题。

据介绍，汉柏科技下一代防火墙通过整合软硬件平台，具有高精准、高适应特性的核心特点，以并行计算技术、应用识别技术、一站式管理和多维度防护等尖端技术的融合应用，可以满足不同行业对防火墙安防特性的需求。

汉柏科技的下一代防火墙可以跨平台适用。它不仅适用于中小型企业、政府机构的工作模式特点，它同样适合云数据中心。它将应用识别、内容检测、URL过滤、入侵检测、病毒识别五个处理引擎合为一个，采用自创高效的正则匹配算法，实现对报文的高效一次性处理。其一体化引擎的一次扫描提取报文的信息会根据开启的深度扫描功能动态调整，避免不必要的资源消耗。

值得一提的是，基于跨平台适应技术，汉柏下一代防火墙硬件跨越了x86工控机和ARM等平台。汉柏的下一代防火墙软件可以运行在任何服务器平台上，也可以运行在ESXi、KVM、Virtual box、Xen、OPV-suite等的hypervisor上。

在应用的通信安全方面，汉柏持续跟踪应用的环境，找出每种加密应用的“根本性”行为进行建模，从而避免了频繁的更新特征库。同时，汉柏下一代防火墙采用多种行为分析算法来达到准确识别应用的目的，如主机行为分析、主机端口关联、连接关联、TCP端口序列分布规律、UDP端口聚类分布规律、报文大小、隧道解封、TCL脚本控制、引擎插件协助等。

相对于传统防火墙的五元组安全策略，汉柏下一代防火墙安全策略增加了身份、应用、内容三个维度，一条策略可同时对网络特性、用户身份（包括云租户）、应用协议和报文内容进行匹配，减少了策略配置条目，大大降低了维护成本。此外，汉柏下一代防火墙的一站式配置界面和功能模板化，使其具有更好的易用性，让拥有简单网络知识的运维人员就可以完成专业网络和策略配置。