袁沈钢,网康科技创始人、首席执行官。2004年创立北京网康科技有限公司。此前还曾先后服务于中科软科技、Resonate、NetIQ和赛门铁克,主持开发多项互联网软件和网络安全软件。袁沈钢拥有南京大学计算机系学士学位、中科院软件所硕士学位和美国圣塔克拉大学计算机硕士学位。
网络安全正在经历前所未有的挑战。云计算、移动互联、BYOD等新技术的应用给网络环境带来了很大的变化,这就使得传统的网络安全管理手段在安全保障上越来越困难。实际上,尽管如今大部分企业已经在网络中部署了防火墙、IDS、IPS,以及各种终端安全、数据泄露防护软件,但是,IT部门依然在安全管理方面如履薄冰、战战兢兢。究其根源在于,在一个应用类型层出不穷的时代,缺乏从4?7层也就是从应用的层面来全面洞察网络的安全状况。
网络安全管理的这种困境引发了人们关于下一代防火墙的讨论。日前,本报记者独家专访了北京网康科技有限公司(以下称网康科技)CEO袁沈钢。作为一家从上网行为管理起家的安全厂商,网康科技对于各种应用的发展和演变以及由此而带来的安全挑战有着更为切身的体验。正是这种对行业的理解和在应用领域的技术积累,使得袁沈钢带领网康科技积极投入到下一代防火墙的产品研发之中。
篱笆墙被推平
“传统的安全技术和安全理念经过了近20年的发展以后,已经不能适应我们现在应用广泛传播、应用类型众多、人们普遍使用网络这种现实环境。”袁沈钢告诉本报记者,网络安全技术的变革势在必行,下一代防火墙正是网络安全技术响应新的网络环境的产物。
袁沈钢所说的下一代防火墙由Gartner于2009年首次提出即引起了业界的广泛关注。根据Gartner的定义,下一代防火墙除了具备传统防火墙的全部安全模块功能之外,还必须具备很强的应用识别功能,同时,下一代防火墙必须具备不同安全模块之间的联动能力,这是区分下一代防火墙与传统安全设备的一个关键标准。对此,袁沈钢非常认同。
袁沈钢说,早期的互联网应用类型非常简单而且有限,主要以Email、网页浏览为主。传统的防火墙是在这样的背景下出现的,而从2005年开始以后,网络环境迅速发生改变,新的应用类型大量涌现,包括视频应用、网页游戏以及大量移动App。此时的防火墙由于缺乏应用类型识别能力就显得力不从心了。
“传统防火墙是基于数据包的检测而不是通过对应用进行分析来识别风险的,这就是使得它对安全状况的把握缺乏全面性。”袁沈钢进一步解释说,“这就像是盲人摸象,盲人摸到的永远只是象的腿、鼻子、肚子,而不是完整的大象。同样,传统防火墙能告诉我们的只是,访问了一个钓鱼网站或者下载了木马病毒或是受到DDoS攻击,而没有把这些看似孤立的安全事件联系起来,让我们从整体上进行把握。而实际上,很多安全事件之间是内在联系的。”
袁沈钢把基于传统的防火墙建立的安全体系比喻成篱笆墙。“原来的安全措施相当于竖起了篱笆,而现在的网络技术和网络环境让这个篱笆墙被人推倒了,我们需要新的技术、新的方法。下一代防火墙就是其中之一。”
或将改写格局
“这几年如果从安全技术角度来讲,我认为最大的突破还是在网络应用上面,相对而言,无论是加密算法、入侵检测还是防病毒,技术上并没有太大的突破。”袁沈钢表示,以下一代防火墙为代表,在网络应用上的这种整体突破可能会重写安全领域的产品格局。
显然,袁沈钢代表了业界很多人的观点。Gartner预测,2014年,60%的新购防火墙都将是下一代防火墙。而Forrester在其报告中也指出,传统防火墙、独立的IPS以及UTM产品正在逐步消亡,网络对于新一代安全产品的需求日益紧迫。而作为新一代防火墙的代表性厂商在资本市场受热捧也可以作为佐证。比如,成立于2007年的PaloAlto网络公司被公认为是业界第一家真正的下一代防火墙厂商,今年成功上市,开市首日股票大涨,资本市场对下一代防火墙的高度认可由此可见一斑。
基于对下一代防火墙技术的高度认可以及网康在技术方面的深厚积累,袁沈钢带领网康科技积极投身于下一代防火墙产品的研发,如今这种产品很快就将投放市场。
“网康科技是以上网行为管理起家的,对应用的识别是我们进军下一代防火墙市场最为主要的底气之一。”袁沈钢告诉记者,网康科技于2004年推出了国内第一款硬件上网行为管理产品并一直处于市场上的领导者地位,对于网络应用的识别和管控能力远远领先于业内同类型产品。因此,网康科技先天具有在下一代防火墙领域的领先优势。
另外,网康科技的下一代防火墙产品的另一个特征是从一开始就向国外下一代防火墙的先进产品和技术看齐,而不是炒概念。袁沈钢说,市场上充斥了太多滥用“下一代防火墙”概念的产品,其中,有的其实只是一个高性能的传统防火墙,有的则是UTM产品。他说,要区分它们其实也很简单,下一代的防火墙需要具有两个新的特征,这就是完整性和洞察力。所谓完整性就是把各种相关的安全事件整合到一起提供全面的信息;洞察力是指提供全面、深入的分析能力。
“只有在全面洞察应用、洞察风险的基础之上,才能够让人参与进来进行判断,从而让人全面了解大象的全貌,而不再是盲人摸象。这是下一代防火墙的真正价值所在。”他说。