威胁防护能力更需关注-安全专家谈NGFW (威胁防护能力是指)

从2007年Palo Alto Networks发布世界第一款下一代防火墙(NGFW)产品至今已经好几年了，在这期间云计算、大数据、社交网络、BYOD相继出现，下一代防火墙开始面临更多全新的挑战，这些挑战来自网络管控、运维管理、APT攻击与未知威胁防御等方面。

经过这几年的发展，市面上的生产下一代防火墙的厂商越来越多，产品的功能不一。这造成有很大一部分企业用户在选购下一代防火墙时，都会很纠结。不知道谁家的产品比较好，谁家的产品比较适合自己。同时，如何更好的部署、管理下一代防火墙，从而保障企业的安全，也成为企业运维管理者所面临的问题。

近日，记者采访了业内安全专家、山石网科产品市场总监贾彬先生，与大家分享下一代防火墙的采购、部署、管理的经验。

记者：您认为下一代防火墙必须具备哪些功能?

贾彬： 从Gartner对下一代防火墙的定义来看，除了具备传统防火墙的功能和基础攻击防护功能外，下一代防火墙最大的特点是基于应用的识别和应用的威胁防护。其中，应用识别是指通过特征的方式识别应用，然后对应用进行访问控制。所以，下一代防火墙主要指的不是网络层的控制而是应用层的控制。在应用的威胁防护方面，传统防火墙对攻击防护和威胁防护能力并没有强制要求。而下一代防火墙对威胁防护有明确要求，它更加注重应用层的攻击防护。

此外，下一代防火墙还需要具备可视化管理的功能。现在，安全管理由繁到简，从复杂的管理模式向简单的管理模式转变。如何能让管理员清晰的掌握到网络中的状态、网络流量的状态，业务的状态以及用户的行为状态，决定了管理员如何实施管控策略进行管控。通过可视化的管理，可视化的呈现可以帮助管理员有效的实施管控，实施安全防护。

记者：在您看来，下一代防火墙有哪些优异的特性?

贾彬： 在管控方面，因为下一代防火墙是通过应用特征来进行管控识别，所以在管理下载类应用时它更直接有效。

目前，我们对网络的认知从单纯的逻辑的IP和端口，提升到了应用和用户层面。以前，管理员管理的是192.168.1.1和80端口，而现在管理的是WEB 服务器和某个人如何去访问web服务器。同时，很多的应用不能通过传统的网络去管理，比如：像迅雷这类P2P下载的软件，它的端口是不断变化的，用传统的网络控制方式的时候，它很难通过端口的方式来对应用进行辨识，但是基于应用识别的管控能对其进行有效管理。

在威胁防护方面，传统防火墙对应用层的攻击防护能力存在有短板。因为针对应用层的威胁越来越多，特别是基于web的攻击，基于应用层的攻击越来越猖獗，所以具备应用层威胁防护功能的下一代防火墙更加适用于当前的互联网时代，更加适用于当前的应用爆发的时代。#p#

记者：什么样的下一代防火墙才算是一款优秀的产品?

贾彬： 作为一款优秀的下一代防火墙，应该更能够适用于客户需求，并解决用户所面临的问题。除了具备上面提到的应用识别、边界防护以及可视化管理等功能外，下一代防火墙在威胁防护和管控能力方面得到本质的提升，这主要体现在对于APT类新型攻击的防护方面。目前，在IT圈我们经常会看到某个企业被攻击，信息被窃取。它遭受了新兴的、可持续性的APT类攻击。面对这种攻击，单纯做边界防护远远不够。即使有了特征防护以及应用层的攻击防护，由于变种、扫描以及持续对脆弱点进行检测等攻击方式，攻击者仍旧可以攻击攻陷目标。所以，APT的攻击防护对下一代防火墙来说是很大的考验。

下一代防火墙如何能够更好的通过各种检测方式，对新兴的APT类攻击进行防护。特别是能够不仅体现在边界防护上，还包括侵入网络内部的威胁是否能有相应的检测和防护机制，这可以作为判断其是否优秀的一个条件。

记者：面对纷繁复杂的下一代防火墙市场，用户该如何甄别并采购下一代防火墙?

贾彬： 用户应基于企业自身对业务的要求和安全的特点进行下一代防火墙的甄别采购。比如说：不同的企业对安全的要求程度不同，业务的分布和业务的状态也不同。例如：如果企业只做一个办公网络的出口，采购谁家的产品都可以。但是如果企业是要保护自身的核心业务时，下一代防火墙的威胁检测和威胁防护能力方面就需要用户更多的关注。

安装防火墙不单是做网络隔离，更重要的是做网络安全的防护。那么，如果需要保护的是一个企业的业务或者服务器、数据中心等这些关键的区域。为防止业务中断，关键信息不被黑客窃取，在选择下一代防火墙或其他安全防护设备的时候，更看重的是防火墙在威胁防护能力、性能和方式方法上能否有效的去应对它目前面临的威胁，特别是在网络中被攻击的方式，这样才能保护企业的关键业务不被黑客或者不法分子所窃取、破坏。#p#

记者：根据企业需求采购了下一代防火墙后，该如何部署?有哪些需要注意的地方?

贾彬： 第一种场景，是一种典型的部署方式，做互联网的出口。此时它的重要作用指的是作为整个企业内部网络对外出口的防护，用来阻止来自于互联网上的各种攻击、扫描、入侵，以及实现访问控制的作用。这种场景，一般是在企业网络的出口位置串行接入下一代防火墙。

第二种场景，在各个安全域之间做隔离。很多企业有自己的分支机构，有不同的楼宇，不同的区域，不同的部门，不同的体系。例如企业的研发区域和财务区域，它们属于企业的核心区域。这个区域里的计算机终端以及服务器，都属于核心的业务，需要进行专门的保护。因此，这些区域与其他的非业务部门或不重要部门的网络区域需要进行隔离，进行访问控制，做安全防护。此时，下一代防火墙的作用就是保护重点区域不会受到网络攻击和影响。部署时也需串行接入，并在区域中间进行访问控制配置。

第三种场景，服务器前端的防护控制。我们常说的网站服务器：ERP服务器、OA服务器等服务器前端需要做防护控制，以及防火墙的安全防护。部署下一代防火墙的主要作用就是保护重要的业务和服务器，阻止攻击，防止信息被窃取。对服务器来说，无论是来自企业内部还是外部的访问都被认为是不安全的访问，都需要做身份认证，需要进行权限控制，需要进行网络防护的攻击检测等。

除此之外，还有很多的场景。其实，只要企业里面需要做安全防护的位置，或者重要的业务区域，安全要求不同的区域之间都要做安全的这种防火墙的部署，安全隔离和防护。

需要注意的地方，主要包含：身份认证和网络私接行为限制。

身份认证：所有的访问控制都要和企业业务结合起来。人员的访问控制需要设置OA，与身份认证做联动，这样在防火墙上控制时，不是经过IP做控制，而是与企业人员的邮箱认证，身份认证，OA认证等认证后的用户名去做控制，即使员工在不同的IP接入网络，也会受到访问规则的限制，这是需要注意的地方。因为很多的用户，虽然知道身份认证的好处但是往往使用IP做终端的接入，或说控制方式。这对管理，对未来是有很大隐患的，未来可能被攻击者通过伪造IP来访问企业网络，从而达到信息窃取的目的。所以身份认证是需要注意的一个点。

网络私接行为限制：对于企业内部的安全性来说，网络私接行为需要进行限制。因为网络私接是导致很多威胁接入的一个非常重要的途径。比如现在流行的，360WiFi，或者京东卖的wifi接入的，插入一个小东西可以当个无线路由器，使每个计算机都成为无线路由器的一个接入点，这样手机，pad,等其他人设备都会扫描这台设备从而接入你的网络，这样，这些无线私接点就会成为威胁入侵的一个非常便利的途径，可以轻易绕开企业内部的安全防护机制，绕过防火墙，直接计算机，直接进入到企业网络中，这种部署，这种企业管理是需要注意的。#p#

记者：您认为企业该如何管理下一代防火墙?有哪些细节需要留意?可以给企业提供一些建议么?

贾彬： 在管理方面，管理员要合理清晰的划分出每个区域的安全，先要定好安全域，关键业务区域与非重要业务区域。进行区域划分后，把不同的访问区域的访问规则和访问要求通过设备上的管理策略或者配置的方式定义起来。

在日常运维中，需要关注的不是设备的运行状态，而是网络的业务的运行状态，以及整体的风险状态。举例来说，假如企业中的一台机器中了病毒，或者被攻击，那这台机器需要第一时间能够呈现给企业管理人员，而且能够让管理员能够清楚直接的定位这台机器，从而通过各种的可视化的方式清楚知道这台机器发生了哪些事情，造成了哪些影响，进而帮助管理员来解决这些问题，这是运维管理中最常见的问题。

还有一种最常见的问题，网络出现故障，网络无法访问或者中断。这时管理员有很多的手段去排查故障，但是，其实在防火墙里有很多的管理工具，可以帮助管理员很好的定位故障点，加快他的运维效率，节约运维成本。虽然是细小的点，也体现出一个企业在管理上，和管理人员的管理成熟度上的一个重要体现。

记者：您认为下一代防火墙是刚需还是弹需?

贾彬： 下一代防火墙已是刚需。虽然现在听起来下一代防火墙好像还没有那么多的客户，但实际上有很多客户已经在尝试使用下一代防火墙。为什么说是刚需呢?我们可以看到，现在无论是互联网上还是企业内网，对网络的访问隔离和访问防护要求，都已经不再仅仅是在网络层面了。例如：企业要限制员工下载流量，这时传统防火墙是无法解决的。因为端口是不断变化的，通过传统防火墙的端口控制方式很难限制流量，只有下一代防火墙的应用识别才能起到限制作用。同样，就威胁防护能力来说，原来只有一些网络端口扫描，但是现在都是有针对性的攻击。特别是诸如互联网公司，移动互联网公司等业务和网络结合紧密的企业，它们的知识产权和数据就是生命线。这些数据是竞争对手所关注，不法分子所想要窃取的内容。此时的攻击威胁防护，仅靠传统防火墙提供的网络层攻击防护和特征攻击防护是不够的。更重要的是对APT的攻击防护，以及其他针对性攻击的防护。这对企业来说是非常重要的，可以说一个设备决定了一个企业的生死存亡。所以，下一代防火墙是刚需。

记者：在可见的未来内，您认为下一代防火墙将会沿着怎样的朝向发展?

贾彬： 作为一个从网络层面升级到应用层面的设备，下一代防火墙已经达到了甚至是体现了它的价值。未来，下一代防火墙将更加关注的是在威胁防护能力上的提升。因为无论是传统防火墙，入侵检测，还是下一代防火墙，大部分的下一代墙还都是基于特征的检测方式。然而现在的新型攻击，特别是未知威胁、变种威胁，都能很轻易的穿越这种特征检测方式。因此，如何很有效防护未知威胁，特别是变种威胁，加强下一代防火墙的威胁检测能力，是未来防火墙持续需要提高的地方。

原油价格受什么因素影响？

影响原油价格的因素:影响原油价格的因素有很多，但总的来看，可以分为供与需两类因素。一、供给类因素1生产国产量调整：由于石油的产出区域比较集中，所以产油国，尤其是石油的净出口国的产量调整就对石油价格产生非常直接的影响。这其中比较突出的就是石油输出国组织(OPEC)的影响。 OPEC也就是我们所熟知的欧佩克，其成立于1960年9月14日其宗旨是协调和统一成员国的石油政策，维护各自的和共同的利益。 OPEC的成员国历史上多有变动，目前有12个成员国，分别是：沙特阿拉伯、伊拉克、伊朗、科威特、阿拉伯联合酋长国、卡塔尔、利比亚、尼日利亚、阿尔及利亚、安哥拉、厄瓜多尔和委内瑞拉。目前该组织成员国共控制约占全世界78%以上的石油储量，提供的原油则满足了全球约40%的需求。正常情况下，欧佩克旨在通过消除有害的、不必要的价格波动，确保国际石油市场上石油价格的稳定，保证各成员国在任何情况下都能获得稳定的石油收入，并为石油消费国提供足够、经济、长期的石油供应，是一个保证原油价格稳定的重要力量，但是一旦由于某些原因其改变了原油产量，其对原油价格的影响也是长期的。 2战争因素影响由于以原油为原料的各种工业制品影响到社会的各个方面，消耗量十分巨大，所以世界各国的原油储备量都以天计，这也就使得一旦爆发战争影响到原油的正常生产和运输的时候都会造成油价大幅波动。如在2011年利比亚战争期间，由于其东部重要的原油输出港班加西陷入战乱和大量外资石油公司员工的撤离，该国的原因生产和对外运输都受到了巨大影响，产量锐减至正常水平的一半，而同时的油价也创下了2009年以来的最高点，至今也没有被超越。而历史上旷日持久的两伊战争更是直接引发了第二次石油危机。此外，战争后的报复性行为和战争中的威胁行为也经常会影响的石油价格。历史上这种情况主要集中在中东地区，如前文中所提到的OPEC就在第三次中东战争后利用自身在石油储量占有率的优势逐渐强化在原油定价上的话语权，使原油价格自2两美元以下抬至3美元一桶，而在第四次中东战争阿拉伯联盟战败后，OPEC为报复欧美对以色列的支撑更是将原油价格从3美元上涨至13美元以上，引发了第一次石油危机。而近年来，由于美国制裁伊朗，伊朗多次威胁封锁重要的原油运输通道霍尔木兹海峡，油价也因此多次出现波动。二、需求因素1、全球经济状态石油是现代工业社会的血液，一方面它会影响全球经济。另一方面全球经济也会反过来影响到原油的价格：当全球经济持续繁荣，原油的需求量就会总体增加，反之就会减少需求量。所以在全球经济遇到重大问题时，原油的价格会受到很大的打压。如原油价格的历史最高点就出现在2008年年中，也就是金融海啸全面爆发的前夜，其后随着全球经济遭受重创，原油价格再也没有回到147美元的高点。 2、全球原油库存变动尽管总的来说全球原油库存仅仅能够供应全球几十天的原油需求，但是原油库存的变化却能够敏感的反应出全球原油市场的供需对比的变化，一旦库存增加，基本上就说明原油出现了供过于求，反之则是供小于求。而原油价格就会因此出现短期的波动。这方面最为重要和权威的是国际能源署(IEA)的相关报告。 3、气候因素的影响由于以美国为代表的很多国家以原油制品为冬季供暖的主要燃料，这就使得气候也会在一些季节对原油的价格产生影响。总的来说，尽管供需两方面都会对原油价格产生影响，但是由于原油自身在工业生产和应用的一些特点，如消耗巨大，同时为多个重要工业部门提供原料，所以其供应方面的影响更为巨大，单一事件的影响也更为长远。

睡到半夜流鼻血怎么回事额,,,

由于人鼻腔粘膜的毛细血管很丰富,各种内外的原因素（如鼻腔炎,鼻窦炎，高血压病,外伤，天气干燥鼻粘膜皲烈）使鼻腔局部的毛细血管损伤破裂而形成出血，另外血液的出凝血功能障碍，同时鼻腔本身有疾患则造成经常流血不止.出血时头向上仰,用软卫生纸将出血的鼻孔塞住就可以,同时可用冷水敷额面头部.用1%呋麻液滴鼻液滴鼻;成人量一次量口服阿莫西林片0.5克,安络血片2片,维生素K4片2片,一天3次.中药:藕节30克,旱莲草15克,生地15克,仙鹤草10克,牛膝10克,麦冬10克,甘草10克.水煎服.由于出血的原因多,最好还是到医院找五官科大夫诊疗为上上之策.平时要注意事项：1.忌食辛,辣,炸,炒之属热性之品.如辣椒,生姜,炸油条,烧饼,饼干,快餐面等.2.不偏食,饮食多样化.多食含维生素较多的蔬菜,水果.如平果,新青菜,菠菜,胡萝卜等。 3.心情开朗,不要总是想着使人烦恼之事,多些和朋友玩耍,开开心心过好每一天。 4.起居劳作有度,注意休息,上网不要通宵达旦。