随着信息网络的高速发展，越来越多的企业不可抗拒地加入到了信息网络时代中。它们都逐步组建了自己的办公网络，从而实现了生产过程自动化和管理水平现代信息化，使得企业的工作效率得到了极大的提高。就大多数企业而言，虽然在前几年就建立了信息网络系统，但是由于在安全防护领域的投入不够，加上安全防护意识的淡薄，目前大多数企业的信息安全防护水平还停留在三四年前的水平，或者更早。随着信息技术广泛深入的应用，云计算、BYOD移动办公等新兴技术在企业的落地以及ERP、CRM、OA、HR 等信息系统的广泛使用，给企业信息化办公和管理带来高效率的同时，也对企业网络信息安全提出了更高的要求。

大多数企业的信息安全现状

笔者所在的企业属于通信行业，大多数业务都依托于自建内部网络，只有少部分业务应用在外网中。在建设之初，由于资金和人力有限，加上网络安全防护意识比较淡薄，企业内部网络安全防护问题没有得到足够的重视，网络防御系统也过于陈旧，网络系统不注重更新，企业网络建设投入资金过少，再加上网络安全防护机制不健全等因素，导致企业网络安全事件频发。2008年，笔者所在企业发生一起企业招标文件泄露的安全事件，给企业造成了严重的损失。2009年企业一重要的服务器系统宕机，服务器中存储的数据发生损坏，负责热备份的服务器也因硬盘损坏停机多日。在数据恢复过程中发现平常所备份的数据都无法使用，最终发现只有七个月前的备份数据可以使用，造成了企业数据信息大量丢失，给企业相关业务和管理带来了较大的损失。2011年，笔者所在企业发生一起严重的网络病毒传播事故，造成了多台服务器宕机和部分业务系统瘫痪，企业文件服务器中很多重要数据因感染病毒而无法使用，给企业整个业务工作造成了较大的影响。虽然这些安全事件的频发给企业的信息安全工作敲响了警钟，但是这也给信息安全的发展提供了清晰的思路和明确了方向。

企业信息安全防护需要主动防御

同时我们也应该看到，目前大多数企业的信息安全防护体系建设，主要就是以防火墙、IPS（入侵预防系统）和IDS（入侵检测系统）等“老三样”安全设备组成，虽然说大多数企业在信息安全防护方面的投入逐年增加，在信息安全基础设施上逐步添加了网络行为管控、应用安全网关等新的安全设备，但整体防护理念还基本停留在“防”的阶段，信息安全工作的主动性和防范意识不高，防护策略基本基于“预防威胁→检测威胁→处理威胁→执行策略”的循环过程，防护水平和效果已经越来越不能适应当前企业IT运维环境和企业发展的需要。

总体而言，国内大多数企业的信息安全防护体系水平在整体上还处于被动防守的态势，安全防护策略都是在安全事件发生后进行补救，信息安全防护的效益不高已经明显阻碍了企业的信息化建设。面对日益严峻的信息安全形势，企业的信息安全需要开拓性地发展和变革。企业要有效应对安全威胁不断增大的局面，就必须大幅提升现有技术措施的工作效率，然而提升效率的唯一办法是提高技术措施的智能化水平，例如信息安全设备可根据攻击的具体情况自动选择相应的防护策略等。

新一代信息安全防护体系的建设

目前，随着企业内部移动办公的落地和数据信息防泄密问题对信息安全提出了更高的要求，在国内大环境下，云计算、物联网等技术的普及促使信息安全水平不断提高，针对当前的信息安全环境，信息安全威胁也发生了明显的变化。攻击动机从技术炫耀向获取实际利益转变，攻击手法从单纯地利用漏洞向结合社会工程转变，攻击目标从无特定性向有明显针对性转变，攻防双方的整体态势对比从不对称向极其悬殊转变，攻击方呈现产业化和组织化倾向。从近两年的信息安全事件来看，一些黑客不再以单打独斗的方式活动，而是组成松散的联盟并以公开的形式频繁发动攻击。这些新兴网络安全威胁势必给企业信息安全带来很多不确定的因素和极大的安全隐患，也迫使企业调整其安全防护体系以提升安全防护能力，逐步建立和完善具有自己特色的新一代信息安全防护体系。

从另外一个方面来看，在企业的信息化建设过程中，ERP、CRM、OA、财务、HR 等各类信息系统基本采用外包形式进行开发，在开发过程中很有可能因为没有过多地考虑安全问题，程序本身存在很多安全漏洞，而且由于企业自身没有技术能力去升级现有的信息应用系统，也不可能在各类信息系统研发上投入大量资金，这样不可避免地给数据泄密、病毒破坏等信息安全事件提供了发酵的“温床”，因而信息安全事件必然会发生，只是在于次数的多少而已。因而面对当前复杂的信息安全环境，企业必须加大在这方面的人才投入和资金支持，建立一套“有用、有效、整体”的新一代安全防护体系。

下一代防火墙颠覆访问控制管理基础

从传统的企业信息安全体系建设来看，由于在“救火”工作中投入了大量的精力和资金，造成整个安全防护工作基本处于疲于奔命的状态。传统的防护技术手段已无法满足当前企业信息化应用的安全防护需求。过去一旦提到信息安全，更多的是讲在物理边界上进行防御。但是现在看来很多威胁入侵已经完全能够突破网络边界。比如，当客户进行远程访问内部资源时，当内部人员外出办公时，当各种各样的智能终端被用于工作时，安全的边界已经十分模糊。对企业而言，不只是在传统物理边界严防死守就行了，而是不得不承认人走到哪里，网络的边界就到哪里。传统的基于端口的访问控制已基本失效，因为在下一代网络应用中，可以利用标准协议中的知名端口进行传输或复制，或直接承载于标准的协议中，传统的安全防护设备对基于端口的控制方式已无法实现精确预警和处置，同样早期的基于IP地址的访问控制已经不能适应当前新兴技术的需求。

智能的下一代防火墙

云计算和移动互联带来了IT产业的革命，也颠覆了信息安全原有的基本前提和假设。随着云计算的普及，安全需求和议题也不断被翻新、挑战，比如管理策略的更新、系统部署的合规性等。以管理策略为例，传统的网段是由物理部署完成隔离，虚拟时代则是用逻辑设定进行隔离。过去网络信息的监控可以用网管设备来满足，在虚拟化时代同一个主机上的虚拟系统互相访问则不会经过这些过时的网管设备。

再有传统物理时代能够用”拔网线“这样的手段立即中止网络形式的病毒爆发和信息入侵等安全事件，在虚拟化时代这样的策略已经不符合新的系统安全形态。还有就是边境式、保垒式的防护在云计算时代也随着边境定义模糊、消失而不再适用。对通信领域的企业，在新的产业形势下如何面对新的信息安全问题，要进行固有思维的转变，用下一代安全防护技术来应对当前的安全威胁，提升用户的安全防护能力。

如何选择下一代防火墙

“防患于未然”已经是下一代信息安全建设的目标。当前越来越多的企业将信息安全管理工作外包给专业的信息安全服务运营公司，由专业人员和团队以更专业高效的方式提供信息安全服务。然而有的企业由于自身的性质决定了，无法和其他企业一样将信息安全管理工作整体外包出去。因而面对下一代威胁，笔者认为企业对信息安全的需求将不再仅限于某一类安全产品，而是整体的安全管理方案和思维模式，要跳出以往单纯的软硬件实体的采购思路，回归到信息安全本质上予以考虑，要充分认识到信息安全不仅意味着购买安全产品，更多的是购买一种服务和解决方案。

当然作为企业的信息运维管理人员，如何选择下一代防火墙，前提是要清醒地看到未来的安全威胁正变得更加智能和复杂，更有持续性，危害性更大。面临这样的威胁和挑战，下一代信息安全系统也应更加智能化和系统化。如何架设下一代信息安全系统，如何打造整体的安全解决方案，笔者认为必须做到早期风险预警、实时检测威胁、防护与安全响应和故障应急处置，同时要提高信息安全防护系统的业务识别能力、信息获取能力、快速升级能力及灵活部署能力。只有这样，当新的威胁到来时，有了新的信息安全系统及安全生态链的协作，企业才可以从容地应对各类信息安全威胁，从而建立“预警为先、防护和处置并重”的信息安全防护体系。

究竟什么是真正的下一代防火墙？第一，它应该具备基本防火墙的功能，如NAT、VPN等；第二也是最核心的本质特性：应用识别能力，应用识别应该是下一代防火墙所有安全管控的基础，而非简单地为了实现应用控制；第三是要跟IPS深度集成，而不是简单的功能叠加；第四，还要能提供诸如智能联动和智能分析等一些辅助功能。

其实下一代防火墙有着独特的产品价值，与高级防火墙相比更是有着明显的区别。相对而言，下一代防火墙代表的是完全不同的安全理念，在部署、使用、管理甚至整个安全模式上都与传统防火墙截然不同，能够把整个策略实现原理和对网络资源调度提升到新的应用管理水平，它还颠覆了整个防火墙访问控制管理的基础，带来了新的管理视角，因此实际上能够简化管理。

如何选择下一代防火墙安全防护产品呢？笔者认为首先要认清下一代防火墙的安全本质，其本质可以这样理解：就是采用安全的管理方式，降低安全的“门槛”，真正将安全技术变为一种人人都可以理解和掌握的技术，从而应对未来的安全威胁。当然要选择更简单和更完整的安全方案来构造企业的信息安全防护体系，并不是随意而行的。

选择下一代防火墙时一定要充分考虑防火墙的性能：首先要考虑安全防护设备的应用层吞吐能力。传统防火墙往往会以网络层性能作为参数，然而网络层性能对于下一代防火墙而言基本没有意义，因为下一代防火墙是在应用层上工作的信息安全设备，还必须要考察在多安全引擎全部开启的情况下，安全防护设备的性能表现。

其次要考虑防火墙应用识别能力。不管是下一代防护墙还是下一代应用网关，都必须充分考虑其应用识别能力，这是因为未来的安全威胁不只是一次单独行为，而是一系列的行为，从渗透、驻留到破坏、撤退都会与外界发生大量的交互。也许这一个周期是几个小时，也有可能是一天两天，甚至是半年或者几年。因而安全防护设备能否在极短的时间或者较长时间内对异常行为进行识别和判断，发现安全威胁后再据此主动调整安全防护策略至关重要

最后要考虑防火墙的安全防护能力。从信息安全的角度看，下一代防火墙要能实现多安全引擎的深度整合和对云技术的支持，能够为用户考虑未来发展的需要和技术的支持与更新，因为只有在信息安全提供商的技术支持下，下一代防火墙才能发挥出最大的作用。

当然在选择下一代防火墙时，同样也不能超出企业的经济承受能力，大家都知道，信息安全防护设备的价格不菲，打造一套完善的信息安全防护体系，需要投入大量的人力物力，因此要奉行“少花钱、多办事”的原则，追求利益和效益的最大化，建立一个符合企业实际需求的信息安全防护体系。