取代UTM?下一代防火墻勢(shì)不可擋
互聯(lián)網(wǎng)的普及,云計(jì)算的浪潮,我們?cè)絹?lái)越離不開(kāi)網(wǎng)絡(luò)環(huán)境。這種依賴,讓網(wǎng)絡(luò)犯罪分子們看到了巨大的機(jī)會(huì),有針對(duì)性的攻擊越來(lái)越多,網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻。
其中最為嚴(yán)重的是WEB應(yīng)用安全問(wèn)題。現(xiàn)在的攻擊超過(guò)75%甚至80%以上都是針對(duì)WEB應(yīng)用的。黑客一般要攻擊一個(gè)網(wǎng)站,目的不再是剛開(kāi)始的炫耀,而是為了獲取信息、獲取利益,這種攻擊行為通常是來(lái)無(wú)影、去無(wú)蹤的。最好的實(shí)例就是近日的索尼被黑事件,影響之嚴(yán)重,我們有目共睹。
如何更好的實(shí)現(xiàn)網(wǎng)絡(luò)安全已迫在眉睫。目前,防火墻仍是很多企業(yè)最重要的安全設(shè)備之一。但隨著新型威脅造成的危害日益嚴(yán)重,傳統(tǒng)防火墻越來(lái)越力不從心,下一代防火墻順勢(shì)而來(lái)。
很多廠商都提出了各自下一代防火墻的概念,概念的不統(tǒng)一讓我們對(duì)下一代防火墻充滿疑惑,什么才是下一代防火墻?下一代防火墻究竟是干什么的?它比傳統(tǒng)防火墻強(qiáng)在哪里?
前段時(shí)間,編者參加了梭子魚(yú)2011年度戰(zhàn)略新品發(fā)布會(huì),會(huì)上推出了一款下一代防火墻,并就梭子魚(yú)下一代防火墻概念進(jìn)行了講解。對(duì)于其中一些解釋?zhuān)幷哒J(rèn)為值得借鑒。
梭子魚(yú)技術(shù)總監(jiān)谷新表示,“傳統(tǒng)防火墻在設(shè)計(jì)之初就帶有一個(gè)缺陷,可能在幾年之前沒(méi)什么問(wèn)題,但是現(xiàn)在,這種缺陷越來(lái)越暴露出來(lái)。三大本質(zhì)缺陷:第一是安全方面的缺陷,傳統(tǒng)防火墻是控制三層,就是OSL的協(xié)議模型里,對(duì)應(yīng)用層沒(méi)辦法進(jìn)行控制和識(shí)別,它不知道到底是哪一種應(yīng)用通過(guò)了防火墻,所以也沒(méi)有辦法防御。第二個(gè)缺陷,是流控方面的缺陷,如果你只有一條鏈路,但是你不同的應(yīng)用在用不同帶寬的時(shí)候,重要的應(yīng)用怎么提取出來(lái),在這個(gè)方面?zhèn)鹘y(tǒng)防火墻是沒(méi)有辦法做到的。”
還有一個(gè)缺陷是運(yùn)維管理的缺陷。可能一臺(tái)、兩臺(tái)沒(méi)關(guān)系,但是當(dāng)你的公司遍布全國(guó),甚至全球有很多店,傳統(tǒng)的防火墻沒(méi)有辦法去控制,它沒(méi)有通過(guò)的策略管理。這就導(dǎo)致你部署的時(shí)候可能要花費(fèi)大量的人力,在維護(hù)的階段,也同樣要花大量的人力,”他補(bǔ)充道。
傳統(tǒng)防火墻的缺陷通常都能理解,那么可不可以部署一臺(tái)RPS,或者部署其他的來(lái)改善,或者可不可以用UTM?
“到底是改良還是改革?改革就是要更新?lián)Q代,改良就是修修補(bǔ)補(bǔ)。下一代是一個(gè)革新的東西,我們這里說(shuō)革新,不是要改良,改良是解決不了更多問(wèn)題的。”谷新說(shuō)道,他舉了個(gè)例子,“手機(jī)經(jīng)歷到現(xiàn)在已經(jīng)是第三代了,第一代是大哥大,第二代是沒(méi)有彩屏的,只能有簡(jiǎn)單的電話和短消息功能。當(dāng)我們用這個(gè)手機(jī)的時(shí)候,很多人要拍照了,我這個(gè)手機(jī)不能拍照,那我就要買(mǎi)一臺(tái)照相機(jī),你可能還要聽(tīng)音樂(lè)、看電影,再買(mǎi)一臺(tái)MP3或者M(jìn)P4。但是當(dāng)機(jī)型發(fā)展到三代的時(shí)候,很多人就用這種手機(jī)了,比如iPhone:這種手機(jī)具備前面所說(shuō)的三種功能,除了這些功能之外,iPhone還有很多其他功能,遠(yuǎn)遠(yuǎn)不只前面這三種。”
一個(gè)大哥大加上一個(gè)相機(jī),再加上一個(gè)MP4小于一臺(tái)iPhone。
這個(gè)就是UTM和下一代防火墻的區(qū)別,下一代防火墻,不僅僅是UTM,很多東西UTM實(shí)現(xiàn)不了,所以必須要改革,必須要革新,要更新?lián)Q代,才能滿足現(xiàn)代網(wǎng)絡(luò)發(fā)展的需要。”谷新這樣表示道。
梭子魚(yú)下一代防火墻采用的是一個(gè)單引擎的技術(shù)。什么叫單引擎呢?就是當(dāng)數(shù)據(jù)包過(guò)來(lái)以后,要把它打開(kāi),只要打開(kāi)一次,不僅僅是端口要訪問(wèn),應(yīng)用要訪問(wèn),所有該控制的模塊都要來(lái)進(jìn)行訪問(wèn),一次性就完成了,不需要采用串聯(lián)的方式。這是單引擎的工作模式,是一個(gè)本質(zhì)的區(qū)別。UTM要組合很多功能,它的工作模式是,通過(guò)防火墻過(guò)了一關(guān),再過(guò)IPS,IPS過(guò)了,可能過(guò)WEB安全網(wǎng)關(guān),是一個(gè)串聯(lián)的形式,要一關(guān)一關(guān)的過(guò),所以效率很低,因此UTM的性能很差。
NG防火墻會(huì)在未來(lái)的一段時(shí)間替代掉所有的網(wǎng)絡(luò)防火墻,這是趨勢(shì)。它自身有個(gè)應(yīng)用安全的優(yōu)勢(shì),這個(gè)產(chǎn)品或者這一類(lèi)的產(chǎn)品會(huì)成為市場(chǎng)主流。NG防火墻最大的一個(gè)貢獻(xiàn)在于,原來(lái)網(wǎng)絡(luò)防火墻更多的給用戶的是一個(gè)物理感覺(jué),端口,IP地址,非專(zhuān)業(yè)人士還真不知道這是什么。”梭子魚(yú)總經(jīng)理何平表示,“但是我們每個(gè)用戶應(yīng)該知道自己的應(yīng)用,QQ我知道,郵件我知道,我在公司里什么位置也知道,我是網(wǎng)管員還是部門(mén)經(jīng)理,還是總經(jīng)理,所以可以這么講,大家會(huì)發(fā)現(xiàn)進(jìn)入Windows,不同的帳號(hào)登錄,配置是不一樣的。NG防火墻就相當(dāng)于未來(lái)的一個(gè)操作窗口,所以NG防火墻應(yīng)該是未來(lái)防火墻的一個(gè)主流,它實(shí)際上是從DOS系統(tǒng)升級(jí)到Windows系統(tǒng)。”
何平預(yù)言,“不出三年,大家會(huì)看到所有的傳統(tǒng)防火墻廠商,都會(huì)提出他們也是NG防火墻,他們也要進(jìn)行產(chǎn)品上的升級(jí)。傳統(tǒng)防火墻廠商會(huì)增加應(yīng)用層,應(yīng)用層導(dǎo)向的廠商會(huì)加入網(wǎng)絡(luò)層,最終會(huì)走向NG防火墻。”
這個(gè)預(yù)言或許已經(jīng)開(kāi)始應(yīng)驗(yàn),我們現(xiàn)在看到一些廠商都推出了下一代防火墻產(chǎn)品。
下一代防火墻性能如何?是否能實(shí)現(xiàn)最初的目標(biāo)?在不斷的發(fā)展趨勢(shì)中,讓我們拭目以待!
【編輯推薦】
