6.网络安全开拓者吴亚飚

凭借防火墙积极开拓市场是天融信发展的里程碑；硬件平台、软件平台以及前沿技术研究三大业务线齐头并进助力我国网络安全事业建设；软硬件融合为生产供应链带来便捷，也为客户提供了更好的安全产品；防火墙围绕访问控制这一核心基础功能始终在发展与演变；在满足客户安全需求的同时减少对客户业务的影响，是提升安全产品生命力的一大重要因素；安全供给侧需制定统一的开放式联动标准；云平台的访问控制技术是值得研究的方向；工程化能力与合作精神是网络安全从业人员必备素质。

——吴亚飚

基于防火墙开拓国内安全市场

天融信自1995年成立初期便承揽了多项国家研发项目，协助政府机关单位完成相关项目的建设，并以优异的成绩获得了省部级科技进步奖，这对于当时体量尚不庞大的公司来说属实不易。后续为进一步拓广业务，保证企业的可持续发展，天融信开始进军安全市场。

作为长期占据网络安全市场份额最大的业务，防火墙成为天融信打开市场的敲门砖。凭借在网络安全领域的钻研与技术积累，天融信防火墙一经上市便获得大量关注，并在当时尚处于起步阶段的防火墙市场中收获了国家统计局等关键行业的客户。安全市场的成功开拓为天融信防火墙技术的研发奠定了扎实的基础，也成为企业健康稳定成长的一大基石。自此，天融信在网络安全领域一路乘风破浪，专注防火墙的工程化与产品化，将实验室研究成果转化为市场销售的量产化产品。工程化需全面考虑技术与业务的结合以及客户的使用体验，工程量大且技术要求高，为此公司上下同心协力、攻坚克难，不断夯实技术基础，为防火墙业务转型发展提供坚实保障。

随着互联网技术迅猛发展，网络安全设备市场需求激增，使得防火墙产品在短短的几年内异军突起，迅速形成了一个产业。近年来，随着防火墙业务的销售额稳步增长，天融信已成为防火墙市场的中流砥柱。与此同时，市场扩大带来的机遇与红利，使得网络安全领域的竞争愈演愈烈，对防火墙厂商的产品与服务质量提出了更高的要求。为开创中国信息安全市场的新局面，保证企业的健康发展，我们在硬件平台、软件平台和前沿技术研究三大业务线上齐头并进，持续深耕网络安全技术研究，在人工智能、物联网安全、工业互联网安全、车联网安全、下一代互联网安全、SD-WAN、零信任等新技术领域进行前瞻布局并持续加大投入，不断推出创新性的产品与服务以应对新安全威胁，满足各行各业客户需要，为客户带来效果更好、成本更低、效率更高、业务需求更加契合的安全产品，有力支撑我国网络安全事业建设。

利用软硬件融合定制物美价廉的安全产品

企业发展如同逆水行舟，不进则退，只有创新才能有发展，为更好地研发安全产品，天融信构建了安全软件与硬件两大平台。安全软件平台以安全操作系统为内核，依据对网络安全设备常规处理流程分析而得的流程抽象模型，实现内存管理、设备管理、文件管理、可信启动、访问控制策略定义、流量还原、内容检测、硬件加速等一系列处理流程。该平台具有较好的应用灵活性，能适配多种异构硬件及加速手段，并集成了防火墙、WAF、IDS、IPS、网络探针、VPN、数据防泄漏等安全功能，可根据不同业务需求进行定制化包装。

硬件平台采用统一化解决方案，依据业务需求，设计并生产一系列适应多种安全应用场景的硬件平台。硬件设备的通用性为安全产品的研发带来便利，增加了硬件采购量，并间接降低了产品故障率和客户的采购与维护成本。

安全软件平台与硬件平台相互融合、共同发展的创新思想为生产供应链带来便捷，也为客户提供更加物美价廉的安全产品。通过软件平台将不同安全产品的公用模块抽象、整合，实现安全产品资源的高度集成化与定制化，再与统一设计的硬件设施进行整合适配，即可形成高集合度、高性价比、高业务需求匹配度的安全产品。

防火墙技术正在不断更新迭代

防火墙概念由来已久，为了更有效地对抗网络上层出不穷的攻击手段，其内涵与技术也在不断更新迭代。最初的单包过滤防火墙通过IP地址与端口的检测实现通信访问的控制，但需依次检测每个数据包，对通信效率影响较大；基于状态检测的防火墙仅对TCP/UDP的首包进行访问控制，有效降低了包过滤防火墙对通信效率的影响；透明防火墙将防火墙作为交换机进行部署，提升了使用灵活性；目前下一代防火墙则覆盖应用层，加入了攻击行为检测、内容过滤等功能。因此，防火墙始终围绕访问控制这一核心基础功能进行发展与演变，其安全功能随着技术的进步以及软件的优化而持续扩充，早期相对独立的病毒检测、攻击检测、客户行为控制、应用识别、QoS服务质量等安全产品也逐渐与防火墙融合。防火墙在整合更多安全功能的同时也会产生更大的运行开销，再加之通信技术的提升也对防火墙的效率和性能提出了更高的要求。因此安全厂商需要优化软硬件并改进功能实现方式，降低安全业务以外的时间与计算资源消耗，将防火墙对客户业务系统性能和网络吞吐量的影响维持在较低的水平。

网络边界访问控制是安全防护的核心，故防火墙具有不可替代性，为应对不断进化的攻击方式，防火墙的安全检测与访问控制效率也需与时俱进，融合多种新技术。该融合过程应扬长避短，依据新技术的特点，应用在合适的领域方能发挥其优势。例如机器学习、人工智能技术对某些样本的检测效果突出，在某些特定领域上的使用效果要优于传统方法，但在产品中易产生误报或漏报。因此我们可将其应用在早期筛选、未知威胁感知和加密流量检测等特定应用场景中，提升检测效率与准确率。

综上而言，防火墙需通过技术革新，满足客户安全需求，减少对客户业务的影响，提升安全产品生命力。

加强联动，解决安全设备孤岛化问题

随着信息化的快速发展，企业和机构面临的网络安全威胁也越来越多，每一种安全防护措施就像是桶的一块木板，这个木桶中承载着的水就好比网络中运行的各种业务。各种业务能否安全、稳定地运转取决于每块木板之间是否存在缝隙，是否结构稳固。为此，构建网络安全防护体系应是多种安全产品与技术之间的有机集成，针对安全设备相互独立导致的孤岛化问题，形成设备间有效联动成为防护体系建设的关键点。天融信率先制定安全产品的联动协议，并发布了集网络管理与安全管理为一体的NGTNA架构，对网络安全产品进行统一管理以实现良好的设备间联动。防火墙与IDS、病毒网关等设备在安全检测能力上存在互补。实现了防火墙与其他安全设备的协同，能有效提升系统整体防护性能。

安全产品的普及与更迭，必然导致设备间联动的复杂化，因此需要我们对各类型设备间的交互规范进行定义以强化总体防护效果并降低对客户业务效率的影响。同一厂商的安全设备之间通常能实现较好的联动，但由于客户的安全设备通常采购自不同的厂商，难免在设备联动上产生不兼容等问题。为保障各厂商安全产品间的动态联动，发挥出设备联动应有的效能，安全产品供给侧还需制定业界所统一遵循的开放式标准，促进各安全产品之间的联动，实施对客户业务系统全面的、系统的、集中的安全管理，构建统一的安全防护体系是我们正在努力实现的目标。

云上边界防护值得深究

云计算技术的发展与应用为客户的业务系统部署与维护带来了极大的便利，越来越多的企业、组织正在将业务迁移至云平台。作为新型信息基础设施，云平台在安全需求上的激增对于厂商而言既是机遇也是挑战。云计算技术的开放性特征模糊了网络边界，因而云上的边界安全防护有别于传统信息系统，边界的动态变化、内部虚拟机通信缺乏透明度以及云平台自身的安全威胁，都是云安全防护的难点，如何为云端以及虚拟环境提供完善、可靠的边界防护方案成为安全厂商需要面对的实际问题。

天融信作为防火墙行业领军者，通过长期的技术研究与工程化实践提出了业内领先的云上边界防护方案，该方案主要由物理边界安全设备、分布式防火墙、安全资源池组成。其中物理边界安全设备为部署在云计算中心边界上的南北向物理防火墙，负责对云端接入进行安全防护。分布式防火墙以虚拟化形式部署在各个虚拟服务器上，克服了物理防火墙的局限，更适用于对虚拟服务器之间的网络通信进行防护，符合零信任安全中的微隔离要求。安全资源池运行在天融信超融合平台上，内部集成多种安全网元，基于安全策略过滤重定向流量，提供物理安全设备、虚拟化安全设备、SaaS安全服务等相应的安全能力，并接受安全平台的管理。天融信云上边界防护方案通过物理防火墙与虚拟化防火墙的结合，构建出云平台的纵深防御体系，实现了全面立体的访问控制策略。

云计算技术改变了服务方式，但并没有颠覆传统安全模式，云上的边界虽然模糊了，但虚拟边界是始终存在的，因此访问控制仍然是值得安全厂商研究的方向。在云上边界访问控制中安全设备的部署位置及防护方式发生了改变，需要厂商遵循以业务为中心、以风险为导向的设计原则，综合考虑云计算安全威胁与客户业务需求，对安全防护体系架构、实现机制及相关产品组件进行改进与优化。云计算技术对信息基础设施的改变带来新技术的保障，但传统安全技术在未来并不会彻底消亡，而是以融合的方式应用于新的使用场景，安全厂商需将原有技术与新技术进行科学整合，为云上边界防护提出更优的安全解决方案。

提升自身能力，培养合作精神与责任意识

人才是网络安全产业发展的重要支撑，网络安全人才需具备良好的计算机基础，扎实的软件研发功底，同时在网络攻防、加密算法等安全技术上具有突出优势，需要在学习与工作实践中进行长期的积累。安全企业以市场化为最终目的，因此更加看重从业人员的工程化水平，对于初入安全行业的人员，提升自己的工程化能力，培养合作精神与责任意识是进入该行业的必修课。网络安全是一个需要深厚技术积淀的行业，努力与回报始终是呈正比的，只要肯深入钻研，未来一定会有所收获与成长。 0EgQ6wpfJfYB+CZV1YaI9D+f8ibWtr7i0zki86/AhTeid/caRrDF/vSpEm5/Vxtw