Q：您对未来防火墙产品的新期待：摘选回复一：【1】、防火墙缺乏“确定性”硬盘利用夜间带宽：例如我服务某汽车各个区域试车场本地化采集到的大量数据通过归集到一个或多个大容量硬盘，进行“硬盘快递”方式送到 “车联网大数据分析平台”，但为了提高轮询训练效率，并保证任务“确定性”和“完整性”SLA，此时利用防火墙作为分支安全网关夜间闲时带宽进行上传，进而取代“硬盘快递”的长时间周期。但目前防火墙都缺乏可提供确定性任务的内置硬盘，需要局域网内的存储设备联动防火墙进行上传，无法联动运营商的AI大带宽增值业务。建议防火墙能够集成提供“确定性”任务的大容量硬盘存储空间通过分支专线闲时进行满速上传至AI算力平台；【2】、无法联动开启视频会议VIP业务重保：对于大部分国内企业，随着大量用户并发和视频会议发起导致网络带宽压力居高不下，因此信息中心做了网络层应用识别将视频会议业务做业务重保，并优先对重要与会人地址和智真会议进行VIP业务重保。但当重要与会人参加线下会议，并且改会议是由普通员工进行创建的，此时出现视频会议卡帧和丢包，将对公司重要与会人会议产生较差的用户体验。此时的视频会议产品无法调用摄像头识别在场用户角色，导致无法联动开启视频会议更高级别的业务重保，建议能够通过对接公司内部OA的人力资源板块进行用户角色识别线下会议参会重要与会人（此能力需要定制开发实现），从而提供应用层的业务调优和业务重保，如此自动识别用户角色通过定制开发将重要用户角色识别结果返还给出口防火墙即可实现网络层的VIP级业务重保，起到更好的视频会议体验。【3】、安全IP与网络用户名无法联动：例如目前总部部署了园区网络，让用户权限与IP地址解耦，实现用户权限与位置无关的SDN特性。但在分支机构往往会因为规模等因素影响只会部署出口防火墙在单一产品如此优秀的安全控制策略趋势下，为了起到持续的安全事件预防、定位、处置和加固建议，同样要求实现跨域“业务随行”能力，但是各个厂家的业务随行能力都没有在防火墙的规划范围内，并且均是基于IP地址的安全事件预防/定位/处置/加固，让客户与用户名与IP地址解耦后的时间轴出现紊乱，甚至让集团统管安全报表缺乏了数据可信性。因此希望能够将“业务随行”迁移到分支防火墙上，实现全国跨域的业务随行，而不是单纯的园区内的业务随行。 摘选回复二：1、模块化。后期的硬件升级可以通过换模块来实现，而不像现在主要防火墙的升级主要停留在软件层面，遇到要硬件升级，只能新购，在目前千行百业压降成本的背景下，非常不好推。从而最大化的保护了以前的投资，且客户接受起来更容易，投标更有价格优势。可以成为差异化的技术优势。2、建议增加防火墙的功能集约：例如集成满足等保二级要求的安全能力，这样一方面有利于客户过等保，二来有利于项目交付，降低交付难度；三来有利于节约投资。例如集约soc功能、日审功能（而不像现在我需要有个it服务器来部署日审）3、建议内嵌ai能力，包括ai预测性运维能力、ai健康度分析能力、ai开通能力（即我告诉他要实现什么安全防护要求 ，他能提供方案，确认后可自主配置） 摘选回复三：一、产品形态维度： 能够提供传统防火墙的硬件形态，提供丰富的接口、槽位等扩展，同时可以叠加丰富的SASE安全。二、功能维度： 当前接触的各厂家的防火墙产品，主流的竞争和优势点多在于：①实现传统盒子从边界孤立防护的问题到云网端协同防御，例如联动态势感知、沙箱等实现检测+隔离处置的闭环、零信任接入等；②从以往特征库的规则静态防御到AI驱动动态预判，对未知威胁实现防护；③从堆硬件设备的硬件刚性部署到网安融合弹性服务，例如集成SD-WAN、分支安全、终端安全等能力。所以在此基础上我对未来防火墙产品的新期待有： 1、部署形态的期待： 同样是防火墙，既可以在出口、边界、内网旁挂等物理位置提供高性能硬件防护，也能在Dev/Test环境、临时业务场景下快速部署轻量级的虚拟防火墙，比如在容器、云平台环境下部署，且能实现策略统一同步，解决跨云防护碎片化问题，同时可以与saas应用深度集成，提供应用级细粒度防护。 2、功能上的丰富和突破： 现在防火墙默认的授权通常有IPS/AV/URL/WAF等，除此之外，以防火墙为例还有工控、沙箱、ipv6+、乾坤安全公有云等能力，所以期待突破更多功能。例如很多用户较为关注的零信任，不需要再和第三方安全设备（如3rd IAM）对接即可实现all-in-one的能力整合，还能结合业务上下文（如用户岗位、访问时段、数据敏感度等）动态调整权限，如办公人员仅在办公时段可访问某业务系统，且传输数据自动加密，终端合规评分低于阈值时，自动限制其访问核心业务，解决以往认证通过就无限制访问的风险。 3、期待提高AI能力和联动机制： 不仅能实时识别已知/未知威胁，更能基于全网威胁情报、业务行为特征预判攻击意图，同时支持故障自愈，如自动修复防火墙策略漏洞、动态调整资源等。 同时还期待能突破一些安全设备的联动机制，以某品牌防火墙举例，整网协防可能需要防火墙+态势感知+安全控制器SecoManager实现业务闭环；不过这种组合的配置很多用户场景用不了，涉及到架构繁杂以及较高的商务成本，因此期待能实现轻量化组网，例如防火墙可以和态势感知系统直接交互和联动处置，简化组网，从而提高方案的易用性；以及防火墙与行为管理、日志审计等安全设备的联动协同等。 4、运维效率的期待： 期待除了网管系统的统一管控，未来可以实现安全运维的自然交互和全链路可视。能叠加一些自然语言交互运维（如通过语音指令查询分支攻击趋势、生成策略优化建议等），降低运维门槛；同时实现全链路溯源可视化，如攻击从哪个IP发起、经过哪些节点、影响哪些终端，均可通过动态图谱展示，解决安全问题溯源耗时长的痛点。 5、防火墙能存在一些行业深度适配的产品： 除了通用产品，期待可以开发出几款行业专属的防火墙设备，提供专属功能。例如在教育中防火墙需要高吞吐性能，同时还要叠加高并发的行为管理和审计要求强化绿色上网，可以增加专属的上网行为业务板；以及很多高校场景存在出口PPPOE代播的出口认证方案需求，当前只能通过路由器直面互联网部署，非常缺乏安全性，如能实现防火墙叠加该功能，可保证安全的基础上实现核心的业务诉求。 以及工业场景里需要支持OPCUA、CAN总线等非常多的工业协议深度解析，防止工业终端被攻击....等等此类的行业化特性设备。 摘选回复四：我期待未来防火墙具有以下能力： 1、智能化方面能进一步提升，可以利用AI大模型实现从传统的规则匹配到行为预判、研判的方式进行转变，能理解加密流量、异常的行为和攻击意图，实现秒级响应，误报率非常低，能支持安全策略的自动生成和优化； 2、现在的防火墙缺乏对行业或者说对业务的理解，比如物联网场景各种设备采用不同的协议，对于这些基本的常用协议，防火墙目前还是停留在端口级的识别上，无法深度解析这些行业协议，所以就无法区分正常的设备数据上报，还是恶意的指令篡改，比如设备突然发了个超出权限的控制指令，防火墙根本拦不住。所以期待能解析这些协议的报文内容，比如设备突然发送了强制重启的异常指令，能直接拦截，不用再额外叠加工业安全网关，这样也可以减少层级和成本； 3、另外再边缘场景能做到轻量化和智能化，一般边缘节点的算力和带宽都有限，但现在的防火墙要么太重、占资源，要么太轻量化，有没有防护能力，所以期待有能智能弹性的防火墙，平时就用轻量化的模式做基础的转发和防护，如果监测到可疑流量，自动调用云端的模型做深度分析，这样既不会对现场业务造成卡顿，又能覆盖未知的风险； 4、就是能根据业务的联动动态的调整策略，现在防火墙策略都是静态配置好就不用变动了，但是很多业务进行会有临时设备接入，包括开通临时链路，所以希望防火墙可以和物联网平台联动，比如平台新增一个设备，防火墙能自动生成对应的最小权限访问策略，业务链路关闭后的话，策略自动失效，不用人工反复修改配置，这样也能避免权限冗余的风险。 摘选回复五：1、未来的国产化防火墙会更加普及，兼容性也会更好，包括防火墙硬件、软件会全面国产化，而且各行各业都会用上国产化防火墙，国产化防火墙价格也会降下来。 2、未来防火墙本地硬件只剩下基本的网关功能（拨号、NAT、ACL等）和基本的本地规则库，病毒查杀会依赖云端查杀，云端可能会有百亿、千亿威胁情报规则库，提供木马病毒\漏洞\恶意IP\钓鱼URL等威胁防护。 3、未来的防火墙会具备更多的AI功能，但是防火墙本地硬件只集成一个Agent，将流量引流到云端，云端会部署AI引擎和安全防护大模型，通过AI引擎和安全防护大模型分析数据流量是否存在病毒特征/攻击特征、PC终端行为是否正常等，并可以通过云端安全运营中心进行全网态势感知，进行全网安全防护。 4、未来的防火墙会具备AI语音配置小助手，运维人员只需要呼叫助手，说出想要实现的配置、具体需求等，AI语音配置小助手就能根据需求进行配置，命令行配置和网页配置会成为一个备用方案。 5、未来的防火墙端口会趋于正常化，每个单位宽带不会超过3条，一台防火墙设备端口不会超过10个，不像现在一台防火墙搞20-30个端口不知道用来干嘛，大部分端口都是没有用到的。 6、未来防火墙会具备物联网安全防护功能，包括物联网资产发现、入网管控、风险识别等，保障物联网的安全。 7、未来防火墙的IPsec VPN功能会逐渐淘汰，SD-WAN功能会替代IPsec VPN功能，不管是2个分支的点对点，还是多分支的互联，都会用SD-WAN，而且SD-WAN功能不仅仅在智能选路、可视运维会提升，安全性也会进一步增强，所有的防火墙都会具备SD-WAN功能。 8、未来防火墙的SSL VPN功能会逐渐淘汰，零信任会逐渐替代SSL VPN功能，零信任把认证、访问控制、远程办公结合起来，安全性和管理性比SSL VPN效果好，未来的防火墙会集成零信任功能（小规模，300终端以下），当然零信任也有单独的硬件设备（中大规模，300终端以上）。