专家委员

副主任：严 明、霍 炜、胡伟武、窦 强 

委   员（按拼音排序）：曹 冬、陈晓桦、邓小四、杜 胜、杜跃进、冯燕春、冯裕才、郭守祥、韩乃平、胡红升、黄志刚、姜海舟、李 斌、李璐瑶、梁育刚、刘龙庚、刘闻欢、刘 毅、陆宝华、罗东平、潘凤岩、唐 彬、汤学军、田俊峰、肖新光、杨纪文、翟起滨、张焕国、张 强、张 彦、张宇翔、张岳公、赵 波、赵战生、郑静清、祝国邦

随着网络技术的不断演进，传统“安全边界”的防护对象和内涵都在发生变化。传统的数据中心逐渐向云计算中心演进，数据中心分区、分域防护设计已经不能满足租户边界防护需求；互联网的出口带宽由千兆、万兆向 40G、100G 迈进，对边界安全网关的可靠性和处理性能都提出了更高的要求；远程办公、分支接入使网络架构和系统互联变得更加复杂；移动设备、物联设备等高数量级网元的接入，成倍的扩大了网络攻击面，边界安全防护变得异常复杂。

01 新技术推动边界安全产品种类

不断丰富性能不断提升

随着国产芯片和国产操作系统等国产基础软硬件性能和稳定性不断提升，自主创新的网络边界安全产品种类日益丰富，从防火墙、IDS/IPS、 WAF 等产品，向安全审计、网络接入控制、网络边界完整性监测等产品种类不断扩展。相关产品形成了多元化的核心能力，包括网关能力、攻防能力、安全态势感知能力、安全运维能力等，可满足用户的整体安全需求，应用场景覆盖园区网、数据中心、互联网边界，可以满足多种应用需求，并已在通信、军事、航空、航天、政府等领域得到广泛应用。山石网科推出了针对多种网络场景、边界防护、Web 安全防护的国产化系列产品，包括高性能下一代防火墙、IDPS、WAF、应用交付等，其中国产化数据中心防火墙的整机吞吐达到 300+Gbps，且底层硬件芯片支持可信计算技术，实现了电信级 99.999% 的可靠性。中科网威基于申威、飞腾及龙芯三大国产 CPU 和统信、麒麟及深度等平台开发与适配了防火墙、IDS/IPS、单向导入等自主可控安全产品。启明星辰发布了采用国产关键元器件实现整机吞吐超 160Gbps 的高性能下一代数据中心国产化芯片防火墙。远望信息推出了基于国产芯片和国产操作系统的网络接入控制系统和网络边界完整性监测产品。绿盟科技推出了基于飞腾、兆芯、海光 CPU 以及麒麟、统信操作系统的 IDPS、WAF、防火墙、VPN 等一系列边界安全设备。华为在 2019 年基于网络安全产品专用的海思芯片和嵌入式操作系统，推出了防火墙、IDPS 和 AntiDDoS 产品。

近年来，国内厂商的边界安全产品不断取得技术突破，防火墙、入侵防御系统、Web 应用防火墙、网络单向导入、网络脆弱性扫描、反垃圾邮件、应用交付等产品的性能、可靠性、安全能力等均有大幅提升，已和全球主流厂商的产品实力相当，能够完成对部分国外安全产品的国产化替代。如山石网科自主研发的具备业界先进水平的数据中心防火墙，具备 T 级吞吐、电信级高可靠性、全面支持云数据中心的特性，连续 7 年入选 Gartner 全球网络防火墙魔力象限。中科网威发布了基于申威 1621（十六核）处理器的万兆、40G 等高性能防火墙产品，相关产品全部入围党政军相关名录，已得到充分应用实践。天融信基于国产处理器技术架构研制的边界安全产品，充分利用了芯片的多核心特性，大幅提升了整机系统的运算处理能力。绿盟科技 发挥国产硬件架构的扩展能力，防火墙产品最大可以扩展到 64 个千兆接口或者 32 个万兆接口，支持上万人办公的边界安全防护。华为防火墙产品支持 100G、40G 网络接口，不同类型产品的吞吐量指标覆盖 1G、40-100G、600G。

国内边界安全厂商面对云计算、5G、IPv6、物联网等新技术带来的市场机遇和挑战，融合 AI、边界完整性检测、软件定义边界等新技术和新框架，大幅提升了边界安全产品的安全能力。 

远望信息网络资产与边界感知系统通过赋能 AI 技术，可以在网络节点加强未知威胁、恶意文件、异常流量、加密流量、隐蔽通道等多方面检测能力，提高规则库的生成效率，从而有效阻断过去难以检测到的多种网络攻击，极大提升网络边界系统节点处的防御能力；通过融入边界完整性检测技术，可实现网络边界完整性全面监测，采用主动扫描探测和流量分析技术，可对终端电脑、服务器、网络设备等破坏网络完整性的行为进行精准识别，同时满足 IPv4 和 IPv6 双栈网络的监测。 

山石网科新一代智能 WAF 基于语义分析、安全特征等多引擎协同检测与防御，联动云端威胁情报分析，进行主动学习建模，可有效识别非法访问行为与未知威胁；应用交付（ADC）自主研发设计了多业务处理器核资源调度技术，使得系统能够最大程度的适应业务并达到最大性能，通过 IPv6 自动外链发现 & 改写技术，快速实现网站 IPv6 改造，解决“天窗问题”；云沙箱利用大数据和机器学习技术，对主机及其网络行为进行安全分析，可发现恶意文件行为。 

中科网威在边界安全智能化方向上重点进行了技术提升，主要包括：网络感知、身份感知、应用感知、内容感知及威胁感知多种能力；攻击源、被攻击目标、流量、安全态势等可视化；向导及模板、一站式配置、策略检查和策略统计、系统统一调试；采用特征库、动态端口、流量特征规则等多种识别手段，有效识别攻击、入侵、病毒及恶意应用等。 

深信服在国产化下一代防火墙合入自研人工智能 SAVE 引擎，以精细化特征与自学习模型，实现不更新规则便能快速识别新型威胁，突破业内检测率低、耗能大等难题；通过智能语义分析和 Web 业务自学习引擎主动学习业务，快速准确区分正常访问与威胁行为，解决国产系统 / 应用带来的漏洞被利用造成入侵的风险；针对不法分子聚焦攻击国产系统问题，提供主动诱捕能力，将非法流量引至云端蜜罐，快速定位攻击对象并进行阻断。 

绿盟科技 IDPS、WAF 等产品通过使用人工智能、机器学习方法的攻击检测机制，对海量的攻击样本进行学习构建模型，引入误报率更低、性能更优的智能检测引擎，降低传统规则防护难以调和的漏报率和误报率。 

华为在防火墙和 IDPS 产品中融合了 AI 检测能力，将传统签名方式检测效率不高的威胁（如 DGA 恶意域名、CC 攻击流量等）检出率提高到了 98% 以上。

02 市场需求促进产品整体性能

和可靠性进一步提高

现有产品和解决方案
积极应对市场需求

针对这些新的变化，国内安全厂商持续进行边界安全防护技术的创新与发展，可满足大部分安全需求。如根据云内租户防护的需求，通过虚拟防火墙实现云计算中心租户间虚拟化隔离及安全防护；采用多核、分布式、FPGA 等更高处理性能的硬件平台，实现 T 级高吞吐、高并发的互联网出口安全防护；支持 SDN 软件定义网络的组网，以灵活适应远程办公及分支接入的复杂组网；通过零信任接入、云安全中心等方案，降低移动设备、物联设备等联网带来的攻击面不断扩大的安全风险。

自主创新产品的性能
和可靠性有待提高

国内主流的安全厂商已初步完成国产基础软硬件的兼容适配。总体来看，国外安全厂商与国内安全厂商的综合实力相比各有优势。从性能上看，国内外厂商差别不大，其中防火墙整机网络层最高的包吞吐量，国内外都有可以达到 T 级的厂商，国内产品高于国外安全产品，达到接近 2Tbps 的水平；而安全防护流量，国外安全产品高于国内安全产品，达到了 600+Gbps 水平。从功能上看，防火墙基础功能并无太大的差异；其他功能因为国内外厂商的 网络环境、使用的具体场景以及整个市场环境的不同而略有不同。同时，国内安全厂商积极投身于可信计算的研究，贴合等保 2.0，打造了基于主动免疫思想的防御技术的可信解决方案。 

现阶段，国内厂商已经基本上能够掌握边界安全产品和解决方案的核心技术。国产化过程中，受国产基础软硬件性能的影响，使用国产基础软硬件的安全产品整体性能及可靠性普遍低于非国产化版本。例如同等硬件和软件规格的数据中心防火墙，国产化版本产品比非国产化版本产品性能下降近一 半，并且整机因国产 CPU 等元器件数量的增加，导致故障点和散热难度等增加，稳定性下降。

03 构建可持续运营的边界安全

加强与基础软硬件
厂商的融合发展

边界安全产品供应链涵盖芯片、操作系统、数据库、内存、存储等方方面面。为使整个供应链体系长久健康有序的发展，需要打通产业链上下游，向上对接合作伙伴，不断适配优化、提升性能和迭代升级；向下对接用户，提供满足需求的产品和解决方案。经过多年发展，我国基础软硬件已经达到了可用的水平。以 CPU 为例，虽然我国自主研发的 CPU 产品与 Intel、AMD 等国外厂商相比性能上还有差距，但已经可以局部满足关键信息基础设施的应用需求。边界安全厂商需要加大研发投入和技术创新力度，加强与国产基础软硬件厂商的深度融合。 

在产业协同方面，边界安全厂商应加强与产业链上游厂商的交流，促进国产基础软硬件产品迭代升级，以便更好的支撑国产边界安全产品创新发展。在产品适配方面，应在全国范围内建立统一的产品适配机构，形成全国通用的适配报告，减少重复适配工作，降低适配成本、缩短适配时间，提升适配效率。

适应新需求和新技术
构建可持续运营的安全边界

随着用户侧的带宽和流量进一步暴增，边界安全首先要提升的是设备的性能、可靠性、扩展能力、绿色节能等基础能力。如自主研发专用软硬件，通过多处理器分布式并行安全处理技术、高端硬件系统设计技术、多核处理器并行处理技术等先进技术持续提升性能；通过硬件级模块冗余架构提升可靠性；通过预留业务模块插槽扩展整机性能，以及减小设备体积、提升每 U 高度的设备处理性能等。 

网络环境频繁变化，导致传统的网络安全边界愈发模糊，用户需要投入更多的安全防范手段，进一步加强未知威胁检测、虚拟化安全、应用层安全、威胁分析和溯源、安全运维管理等能力建设。在未知威胁检测方面，边界安 全厂商可利用 AI 对海量数据建立学习模型，依托场景数据分析训练生成检测与防御模型，并通过机器学习自我进化、升级，结合本地攻防知识库和攻击事件信息，与在线威胁情报、云沙箱等实时威胁检测手段联动，提升 APT 检测准确率。 

此外，边界安全厂商需要积极参与用户网络安全运营，在顶层设计层面协助用户开展边界安全建设。同时，应借鉴 DevOps 模型，以安全服务和技术服务作为桥梁，根据用户的安全需求开发、交付和运营边界安全产品，并基于用户反馈不断改善产品和服务，形成用户与厂商之间的开发 - 运营闭环。

     本报告版权属于关键信息基础设施技术创新联盟所有，受法律保护。未经许可，任何单位及个人不得以任何方式或理由对报告内容进行使用、复制、修改或与其它产品捆绑使用、销售。

     转载、摘编或引用本报告内容和观点应注明“来源于关键信息基础设施技术创新联盟《 2020 网信自主创新调研报告》”，并书面知会联盟秘书处。

     凡侵犯版权等知识产权的，联盟必依法追究其法律责任。

邮箱 | rushcamp@163.com

地址 | 北京市海淀区奥北科技园

          20号楼5层

大学生网络安全尖锋训练营

相关链接：