IDC不久前发布数据显示，2023年，中国网络安全硬件产品市场规模达到225亿人民币，到2027年，中国网络安全硬件市场规模将达到364亿人民币。这其中，边界安全是占比最大的主力产品，也是广大政企客户安全建设的刚需，长期占据着网络安全投入的主要比重。

以防火墙为代表的边界安全，究竟是如何成为行业“常青树”的？其发展30多年来经久不衰的密码又是什么？在2024北京网络安全大会（BCS 2024）“融合安全论坛”上，奇安信集团副总裁、首席架构师吴亚东给出了答案：“边界安全的发展史就是安全能力的融合史。”

图：奇安信集团副总裁、首席架构师吴亚东

2023年，全球收入排名前二的两家网络安全公司分别是68.93亿美元的Palo Alto Networks（派拓网络），以及53.05亿美元的Fortinet（飞塔），巧合的是，这两家公司从创立到现在，均走了一条能力融合的路线。

Fortinet公司从2000年创立之初，就打造了全新的概念——UTM（统一威胁管理）。UTM防火墙是一种集成多种网络安全功能于一身的设备，常见功能包括防病毒、防垃圾邮件、入侵检测与防御、VPN、内容过滤等，其核心是把所有功能融合到一台防火墙上，这是边界安全在融合演进路线上重要的里程碑之一。

然而，UTM的融合之路并不平坦，由于当时软件技术架构不够先进，使用各种模块的串联检测效率低下，性能消耗大，尤其是当时CPU多核技术还没有出现，软件理念的发展和硬件的发展无法匹配，所以UTM在发展之初，被诟病的主要是功能融合后带来的性能下降问题。

2005年，一家名为Palo Alto的公司诞生，该公司在融合的路线上继续迈进一大步，并和Gartner联合提出了下一代防火墙（NGFW）的概念，它基于一体化引擎和多核硬件并行处理，实现多种安全功能。由于在这个时期，CPU的多核也发生巨大的变化，性能得以快速提升，下一代防火墙可谓生逢其时，很快风生水起。

NGFW不仅具有高可用性、NAT、ACL、VPN等基础安全接入能力，还融合了应用识别、URL、IPS、AV、WAF、SDWAN、ZTNA、物联网、协同联动等高级安全能力，很快成为市场主流。

“防火墙的演进是边界安全发展的缩影。”吴亚东谈到，事实上，在UTM之前，上世纪90年代的传统防火墙本身也是融合的理念，因为其前身是具备简单ACL功能（访问控制列表）的路由器，通过融入了基础安全接入、高可用性、NAT、ACL、VPN等功能，加上硬件架构的变革，形成了专有的防火墙产品。从90年代至今的30多年中，以防火墙为代表的边界安全，始终是规模第一的网络安全细分赛道。而沿着能力融合路线的Fortinet和Palo Alto Networks，其市值也分别达到了400多亿美元和1000亿美元左右。

从UTM到NGFW的演进，不难发现，能力融合的关键是需要硬件和软件架构的更新，两者缺一不可。因为在单核时代，设备在处理多个任务时性能就会急剧下降，无法融合更多的功能。而多核甚至众核时代的到来，边界安全的融合演进，才得以大大提速，推动了防火墙第四代软件架构——融合网关的出现。

其中在硬件层面，以飞腾为代表的国产多核高性能CPU正在发展，其中服务器芯片腾云S5000C最高支持64核，是国内首个采用DDR5和PCIE5.0的芯片，支持两路直连，32核支持4路互联，这为融合网关支持更多的功能集成，提供了底层算力基础。

在吴亚东看来，从技术演进的角度来看，一个产品要融合各种能力，其实有两种做法。一种是功能组件级的融合，即将各种模块作为内部的一个功能组件融合到这个网关里面，代表产品为融合网关。另外一种是基于虚拟化的融合，其代表产品是uCPE,目前在国外比较普遍，其缺点是无法支持硬件交付。

吴亚东认为，不仅是安全能力的融合，简化边界更是融合的长期目标。因为传统的网络边界防御场景通常是以串“糖葫芦串”的方式，依次将各种网络安全设备进行串联，为了增加可靠性一般还会进行冗余的方式工作，这种部署方式存在以下问题：

首先是故障率高，且缺乏弹性，维护困难。比如说四个安全设备串在一起，一个设备的可靠性是99%，那4个设备的安全性就是99%的4次方，急剧下降至96%。同时由于菊花链式的多级串接，故障点多，排障复杂，同时设备软硬件变更会造成较长时间业务中断。当PoC测试时只能全流量接入，业务影响面大，且多厂商无法并行。

其次是性能浪费，工作效能低。串联中的设备不得不处理很多无关数据，无法仅接收擅长处理的流量，造成了大量资源浪费，工作效能低，客户TCO居高不下。同时，任何安全设备性能瓶颈将影响整个业务路径，很容易导致业务受损。

第三是扩展性差，容易影响业务。在业务扩容需要更换更高性能的设备时，替换割接需要断网；在安全能力需要扩容时，新增安全设备上线也需要断网割接，会影响客户业务正常运作。

最后是解密性能不足，造成安全隐患。当所有设备开启SSL解密时，性能衰减严重。多设备同时解密，延迟倍增，同时证书管理困难。甚至大部分解密流量没有被解密，安全检测效果受到极大影响，给隐藏的加密攻击留下了可乘之机。

为了解决这些难题，奇安信推出了基于融合理念的流量解密编排器（SSLO），它通过重构安全设备部署架构、安全设备资源池化、业务按需进行编排引流、SSL解密流量编排等技术手段，实现了一种弹性、资源池化、大加密流量场景可检测、管理更及时以及响应更敏捷的集成方案，让网络维护化繁为简，实现了安全、高性能、易管理的完美平衡。

“展望未来，融合网关将不仅仅是边界安全能力融合，还会将更多安全之外的跨领域能力融合进来。”吴亚东表示，其中包括端网融合，即终端安全和边界安全的融合，以及数通融合，将数据通信和边界安全功能融合进来。

奇安天合安全融合机是终端和边界安全能力融合的代表产品。其核心是将终端的控制台直接融合到出口网关之中，成为一个极简方案。一个出口的网关既能做边界安全使用，同时又能够作为终端的控制台使用，这样合体之后，实现了三种能力的融合：管理融合、防御融合、感知融合。

举个例子，过去在出口网关上通过一个威胁情报发现某个事件，安全人员会知道包括IP、威胁情报ID等信息。但用户会进一步发出疑问，如这个到底有没有出问题？如何研判？如何处置？通过将终端和边界做了融合以后，除了IP相关信息，还能够知道这个事件的所有信息，包括操作系统的详细版本信息，是否有相关漏洞，是否需要打补丁，包括对这个终端上进行全盘查杀，查找相应的威胁情报对应信息等等。这样通过端和网的打通，就能进行更全面的数据挖掘和发现，避免单个情报导致的误报等。可以说，这是一个完全实现端网融合的产品，而不是简单联动的方案。

除了端网融合，数通和安全也可以实现融合。通过部署“安全和网络融合”的安全网关，可实现有线和无线网络及设备的统一的安全性、连接性和访问控制管理，从而企业可轻松地跨有线和无线集中管理一致的用户、设备和应用程序策略。

在实现原理上，融合网关和接入设备组成一台大的逻辑网关，交换机端口和AP都是安全网关的延伸端口，构建一个逻辑的纵向堆叠安全设备。所有流量经过安全网关绕行以进行安全流量管控，其中东西向流量可以通过二层GRE或VxLAN隧道方式打到网关进行安全处理。同时，融合网关可收集整网的时候拓扑，通过轻量级管控界面实现网络和设备的统一管理、安全分析和联动处置，这无疑大大简化了IT人员的运维操作。

当前，融合、平台化集成逐步成为全球网络安全行业的共识。早些年，Gartner曾提出“网络安全网格架构(CSMA)”的理念，其核心是为客户提供一体化的安全结构和态势。今年RSAC大会，越来越多的厂商推出了集成解决方案，将多个产品和服务结合到同一安全架构中，为客户提供更好的协同性和融合性。可见，融合是不仅是边界安全的发展趋势，更是整个安全行业的创新方向。正如国家信息中心办公室副主任吕欣在2024北京网络安全大会（BCS 2024）“融合安全论坛”上所说的，“在网络系统的跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务越来越普遍的情况下，技术融合、数据融合、业务融合成为趋势，推动网安行业尤其是融合安全技术创新和升级迭代变得更为迫切。”

END