NGFW架構似樓宇 功能項只需添磚加瓦
下一代防火墻在設計之前就已經考慮到未來安全的需求變化,軟硬件架構采用了分離棧的設計思路,不同的應用防護,不同的功能集成項分別設置分離的TCP/IP棧結構,充分利用了目前硬件的多CPU、多核的硬件體系,所以在全部功能加載運行后不會像UTM產品那樣,雖然功能比較全,但實際應用場景中性能指標無法滿足,而最終導致很多UTM功能成為擺設。 NGFW的軟硬件架構設計非常類似于我們今天在城市建設中看到的樓宇的建造,從一開始框架架構已經搭建完成,所要做的后續工作只是在所需的各個功能項添磚加瓦,擴充,增加內外部墻面,裝飾等輔助工程。
傳統的互聯網安全架構模型是從桌面->網絡->邊界的三級防護。還是那句話:應用為王,面對目前互聯網基于Web2.0理念層出不窮的應用,傳統防護已經無法滿足企業對網絡信息安全的深入的管控,邁克菲重新定義了全新的網絡安全架構模式即桌面<->網絡<->應用安全,內容安全<->邊界安全<->云安全。這個模型中每個單元都不是孤立的,而是橫向:互聯互通,彼此協調工作的;縱向的通過統一網關平臺實現統一管控,有效地優化了網絡安全的縱深保護,并且極大的降低了運營維護成本。邁克菲公司的各種安全解決方案中都可以充分體現出這一理念。
實施NGFW,企業無須為原先的網絡安全架構的前沿做根本性的改變,任何一種新技術的變革都必須考慮前期投資的持續性,需要一個平滑漸進的過程。所以這就要求NGFW從功能上必須向下兼容承載傳統網絡防火墻和UTM產品的全部特性,包括:功能,實施方案拓撲機構等,而后才能談到逐步改進,平滑過渡并且增加其擴充的功能。
NGFW能否替代FW、IPS、UTM
邁克菲中國區網關安全產品總監郭偉認為,NGFW是否替代網絡防火墻要視實際應用場景而定,。對于企業的核心業務網絡:關鍵應用、計費中心、Web服務器、數據庫、ERP系統等,NGFW是必須的也是其終極保護措施,因為NGFW更加專注于應用保護、身份確認、主動性、可預見性和實時防護,能夠避免由于核心業務受到影響而導致企業的重大損失。除此之外,對于一些安全要求比較低的網絡環境比如說企業的訪客網絡,非核心業務網絡等,傳統網絡防火墻還是有其應用需求的,并且可以和NGFW實現梯次配置,混搭,實現差異化分層防護。
IPS產品是主要應用于網絡邊緣關注于網絡層面的設備,主要是通過其高性能的硬件,以及預設置的簽名對網絡流量進行模式匹配,檢索已知網絡威脅,防止DDos攻擊等。其產品的優勢在于利用簽名技術對網絡流量進行快速、無時延的檢索,要求其有高轉發率特性,因而與NGFW相比有各自不同的關注重點。我們認為NGFW和IPS產品在網絡部署的節點,層面是不同的,兩者應該成為必要和有益的相互補充。
UTM產品本身是傳統網絡防火墻和NGFW的過渡產品。凡是UTM能夠部署的地方, NGFW都可以無縫替換,更加之UTM一直存在性能瓶頸,所以UTM產品最終會為NGFW所取代。
NGFW最終成為網絡安全防護重點需求
企業的網絡安全需求在前期的定位往往是模糊的,這就需要專業的網絡安全咨詢人員通過與客戶不斷的溝通,了解到企業目前的網絡安全現狀是怎樣,目前的確切需求和關注的重點在哪些方面,今后2~3年或者更長一段時間內會有什么樣新的網絡安全管控設想和架構。邁克菲一直認為安全項目最根本的目的是幫助客戶真正實現網絡安全管控的戰略規劃,避免重復性投資,優化網絡安全架構,以期幫助企業實現網絡安全的短期和長期愿景的統一和逐步過渡。
NGFW產品是最終網絡安全需求的深入和目前時刻面臨的多變的基于應用和內容網絡安全威脅而誕生的,有其廣泛的需求空間。雖然存在不同的機構和企業規模的差異對NGFW所要求實現的功能有著這樣或者那樣的粒度管控要求,但是,我們認為企業網絡安全的終極目標是一致的,即做到最大程度的網絡安全保護和管控,保證核心支撐業務免受利用惡意代碼、病毒、蠕蟲、釣魚軟件、木馬僵尸工具的攻擊,保證企業網絡的合規性要求,防止企業敏感信息泄密等。 這些都會最終歸結到對一個科學有效的網絡安全解決方案的訴求,而NGFW真是整個安全解決方案中不可或缺的一環。 因此我們認為NGFW將會最終成為所有行業許多企業的網絡安全防護的重點需求。
融合網絡、安全多功能設備趨勢
1) 目前企業網絡安全所面臨的問題主要集中在:大量的人力,財力年復一年的投入到企業網絡安全建設當中,企業的CIO和CSO仍然感覺到目前網絡安全問題還是處在“頭疼醫頭,腳疼醫腳”的階段。走了這家安全廠商,來了那家安全廠商,但是其產品都不能完全幫助企業解決一攬子的網絡安全問題。企業需要一個長效的,全面的網絡安全解決方案,或者是全功能,更加深入細化的安全管控的產品的出現。
2) 獨立的單一功能的設備在企業網內不斷的植入配置,單點故障導致全網業務受影響,多重設備的疊加導致企業網性能的顯著下降。
3) 大規模網絡設備虛擬化的趨勢是另一佐證。基于單一功能的傳統網絡防火墻亦或是UTM的市場份額在一段時間內會保持其一定的占有率,但是已經失去了快速爆發性增長的空間,而NGFW的市場份額將會在不久的將來出現顯著的增長。整個網絡信息安全領域中,在今后3~5年的市場中將會是NGFW、信息安全管控-數據防泄密、以及移動終端應用安全解決方案等占據主導地位。
一個成熟的NGFW產品的誕生不是一蹴而就的。從產品架構設計、軟硬件的實現都需要相當長的時間,另外,NGFW的幾個關鍵性技術的積累和系統整合也需要花費大量的時間,比如說云安全平臺的搭建、其數學模型的合理性研究分析、數據的采集、挖掘和積累;上百種基于Web2.0理念的應用,需要通過代碼實現的應用安全代理;嵌入式應用的識別;反病毒、防惡意代碼以及IPS簽名的系統的置入,這些亦或是普通廠商需要通過自主研發,或者是通過OEM捆綁花費相當長的時間才可以實現的。McAfee在這些方面具有天然的優勢,我們的全球威脅智能感知系統(GTI-Global Threat Intelligence? ) 的云安全平臺已經有長達15年的數據積累,反病毒、反惡意代碼、垃圾郵件防護,以及IPS簽名,這些都是作為業界技術領先者的McAfee被公認的優秀產品。
【編輯推薦】
