相对日新月异的IT行业，防火墙可以算得上这个这个领域的“活化石”。自防火墙诞生起，防火墙一直固守着那些功能，无非是在一些小地方做些升级。但是，随着移动智能设备、3G网络等新元素的加入，防火墙作为IT行业里的“元老”地位终于受到了冲击。如何控制爆发的网络流量，如何面对突飞猛进的网络应用，如何掌握不断增多的BYOD设备...真正的“下一代防火墙”在哪里？防火墙终于要被“革命”了。

 

 

　　“下一代防火墙”已经不是新闻，可以追溯到2009年左右。但是，为什么我们今天还要谈下一代防火墙？因为，下一代防火墙的概念一直以来都被“绑架”，并最终导致了用户的“误解”。许多并没有下一代防火墙技术的厂商，强行将自己的产品冠以“下一代防火墙”的名头。最后下一代防火墙给用户的最终感觉成了“另一个UTM”,或者其他不伦不类的印象。事实是这样吗？

　　网康从去年推出下一代防火墙以来，一直不遗余力地推广下一代防火墙概念。新近又推出其2.0版本，在下一代威胁防护方面做了诸多创新。目前，已经逐渐得到了广大用户的尊重，让用户认识了真正的下一代防火墙。近日，网康举办“普及风暴活动”，用户不但可以免费体验网康下一代防火墙产品，还能享受免费的上门服务。敢于让用户“亲身体验”后再做购买决定！

  

汉王科技运维负责人 李锦毅

 

　　那么，网康下一代防火墙产品到底如何，还得网康科技的客户说了算。我们进行了一系列了实地采访活动，近日，就来到了网康科技的下一代防火墙客户，国内知名企业汉王科技，对汉王科技的运维负责人李锦毅进行了采访，以下是我们的采访视频以及文字实录：

传统防火墙 运维人员的噩梦

    中关村在线：李工你好，据说您在运维行业从事很长时间的工作，能简单谈一下您的个人运维经历吗？

    汉王科技李锦毅：我是2000年来到汉王，一直从事网络管理、网络维护等运维方面的工作，到现在应该是有十多年了。

　　在网络故障发生之后，网络运维人员寻找故障节点，是一件非常痛苦的事情。因为现在传统的防火墙大部分都是基于IP或者端口的防护，对于故障的发生它没有提前预知的的能力。而且，运维人员也没有办法从防火墙得到一个有效的数据，来提前分析现在的网络是否存在异常。所以有时候，网络故障发生，运维人员就像一个消防队员，哪里有故障就向哪里去，寻找这个故障节点，这往往是一个费时费力的工作，非常耽误时间。

　　我们曾经碰到过一次这种故障现象，可以说非常普遍。公司员工都上不了网，网页全都打不开，最后判定是因为防火墙的会话数被占满了。我们当时使用的防火墙可以支持25万的会话数，那么在故障发生的时候，可能在几秒钟之内，这25万的会话数就全都被占满了。用户再有这种连接，防火墙就已经不支持了。最后通过把范围逐渐缩小，最终找到了故障的大概原因，可能是一台机器是受到了外部的攻击，它在很短的时间之内，发出大量的数据包。查找故障的这个过程，大概花费了将近一个小时的时间。对我们来说，这简直就是一个噩梦，是非常痛苦的！

 网康NGFW 真正的下一代防火墙

　　中关村在线：针对传统防火墙的不足，Gartener提出下一代防火墙的概念，您之前曾经接触过下一代防火墙吗？

    

中关村在线专访汉王科技 李锦毅（右）

　　汉王科技李锦毅：接触下一代防火墙的具体时间记不太清了，最早的时候是有过耳闻，但是那个时候应该是刚刚提出这个概念。

        

  
  

网康下一代防火墙在汉王科技

　　那么，从去年我们有机会接触到了网康的产品，得知他们有下一代防火墙，我们就申请了试用，感觉效果是非常不错的。

　　网康下一代防火墙的许多功能，是传统防火墙所不具备的。比如说主动防御，比如说可以快速定位故障发生的节点，那么还有就是从他的界面上来说，我个人认为，网康的防火墙界面时非常的容易上手，直观易用，再有就是从他的管理上来说，可以提供一个非常详细的数据界面，可以让网管人员在很短的时间就可以找出你网络当中有危险的因素。

　　从使用的经验来看，那么对于我来说，我个人认为，在网康下一代防火墙的这个界面里面，有一个“数据中心”，我觉得其中比较有用的是“流量日志”和“威胁日志”这两块，对我现在的工作有非常大的帮助，“流量日志”提供了你的局域网中每一台的机器的非常详细的一个数据包的一个流向，以看到它现在是基于一个什么样的应用，源ip地址，目的ip地址，端口，使用的协议，当前是否是一个正常的连接，还有一个流量的大小，对于网管人员来说，这些个数据是非常有用的，因为他可以清楚地知道你现在的网络当中到底有哪些设备或者说哪些机器进行一些什么样的操作，会对你的网络带来什么样的威胁，都非常直观的在这里面体现了。

　　在“流量日志”下边还有一个“威胁日志”，“威胁日志”也是提供了当前你的网络当中，存在了哪些安全风险比较高的应用，它也可以直接给你显现出来，包括你的网络设备有哪些漏洞，有哪些应用，通过现在看到的ip地址，我们就能知道威胁是来自哪些机器，给网管人员定位网络故障提供了这种非常有力的数据支持。

　　那么通过使用，我个人有一个感受，下一代防火墙应该是可以成为传统防火墙的替代，而且不仅仅是简单的替代，应该是在原有防火墙上的一个非常强大的升级。

网康NGFW送设备上门10分钟部署

　　中关村在线：您申请网康下一代防火墙试用过程麻烦吗？

　　汉王科技李锦毅：怎么说，对于我来说就是打了一个电话，之后网康就有工程师拿着产品给我们送上门来了。到现场，我们进行了一个简单的沟通，很快就上线了。因为他这个产品是串行在网络当中，对于你现有的网络结构不会有任何的更改。可能从开始调试到上线使用，10分钟左右的时间就ok了。

    中关村在线：采用串行的部署方式，您觉得部署之后性能受到影响了吗？

    汉王科技李锦毅：网康下一代防火墙串行在网络当中运行，我们没有感觉到任何影响。而且据我所知，网康的这款设备有一个叫“bypass”的功能，就是如果它的这个设备真的出现了问题，或者说你的策略出现了问题，只需要在机器上按一个按钮那么这台设备就相当于一根网线，对你的网络是没有任何影响的。

性价比不可思议！网康NGFW每月仅需百元

　　中关村在线：李工您从事了这么多年的运维工作，肯定接触了不少的防护产品，对产品的行情应该有一定的了解，您觉得网康的这个产品他的性价比如何呢？

中关村在线专访汉王科技李锦毅(右)

 

　　汉王科技李锦毅：我个人认为网康的性价比高的，让我觉得有些不可思议！因为从我第一次知道网康产品价格的时候，我说你们要是这么做这个产品的话，你们会赔钱的。

　　做一个横向对比的话，就是从网康的这个下一代防火墙和其他同类型产品这个价格相比较的话，我觉得差异是非常大的。其他同类型的产品动辄可能就要几万、十几万甚至几十万，那么对于这种中小型的企业来说，我觉得不能说难以接受，可能在他们去考虑这个产品的时候，价格是非常重要的一个因素，那么这么高的价位可能就会把这些用户给拒之门外了。

　　那么反过来说网康的设备，买这台设备，本身价格是非常的低。至少我认为从我知道网康下一代防火墙这个硬件产品的价格，我个人真的是认为，这个价格还不足以支撑他硬件的成本，真的就是没有想到是这么低，另外，网康还提供了一个服务模式，那么据我所知，一个月也就几百块钱，就可以使用到这个产品。我觉得这个价格对于任何一个企业来说不管你是大型还是小型，都是完完全全非常轻松就可以接受的。

网康下一代防火墙在汉王科技

　　中关村在线：现在网康已经推出了下一代防火墙2.0版本，您有没有进行产品升级呢

　　汉王科技李锦毅：哎！这个您还真问着了，因为我觉得就是网康对于这种软件的升级是非常的快，而且不管是对于正式用户还是这种试用用户，怎么说，我个人认为都一视同仁。我们是在第一时间就拿到了设备，现在的版本就是2.0了。那么通过一段时间的使用，2.0版和之前的产品对比，除了他在这种策略的优化、算法上的完善，我觉得突出的一个特点是2.0版本有一个叫“防泄漏”的一个功能，这个我觉得对很多单位是非常有用的，“防泄漏”里面有一个“关键字对象”，那么，我们可以看到，这里边我可以自定义，对于内部数据哪些涉及到安全，我可以自己定义，当你把这个定义添加好之后，但凡在网络应用的过程当中，会有这些关键字的，就全都被监控了，一旦发现就可以给用户告警，让安全管理人员能够提前知道你现在的网络当中，一些公司涉及到机密的信息，有这种外泄的可能。

 

原文地址:http://safe.zol.com.cn/374/3742139_all.html

采访视频地址：http://v.youku.com/v_show/id_XNTU4MTY2Mzcy.html