防火墻的下一代思考
下一代防火墻的概念自提出以來,在2011年的上半年忽然達(dá)到了頂峰,國內(nèi)外的安全廠家相繼推出了自己的下一代防火墻產(chǎn)品。但熱潮退去,下一代防火墻市場逐漸趨于冷靜,與此同時(shí),市場上也出現(xiàn)了一些質(zhì)疑的聲音。下一代防火墻與UTM究竟有何區(qū)別?它是用戶的真正需求還是安全廠商的概念炒作?通過對(duì)多家安全廠商的采訪,本文將會(huì)對(duì)下一代防火墻產(chǎn)品的現(xiàn)在和未來進(jìn)行闡述。
順應(yīng)時(shí)代潮流
在被問到下一代防火墻推動(dòng)力的時(shí)候,受訪者不約而同的都表示這是用戶需求所趨。歸納起來,下一代防火墻產(chǎn)品的出現(xiàn)有以下幾個(gè)原因。
第一,以太網(wǎng)標(biāo)準(zhǔn)現(xiàn)在已經(jīng)由萬兆開始向40G/100G邁進(jìn),網(wǎng)絡(luò)帶寬的增長十分迅猛。另外,數(shù)據(jù)量也在成爆炸性增長,我國各類數(shù)據(jù)中心和機(jī)房總量已經(jīng)達(dá)到50余萬個(gè)。無論是帶寬增長還是數(shù)據(jù)增長,都對(duì)網(wǎng)關(guān)安全產(chǎn)品的性能和功能提出了新的要求。對(duì)于一些大型企業(yè)來說,網(wǎng)絡(luò)環(huán)境趨于復(fù)雜,需要尋找新的安全解決方案來滿足除了抵擋外部攻擊以外的安全需求。
第二,網(wǎng)絡(luò)環(huán)境的變化。傳統(tǒng)的網(wǎng)絡(luò)攻擊手段一般都是基于第三層的網(wǎng)絡(luò)層,而隨著Web2.0時(shí)代的到來,大量的應(yīng)用程序都建立在了http和https等協(xié)議之上,而傳統(tǒng)的防火墻對(duì)這些應(yīng)用程序卻望塵莫及。基于網(wǎng)絡(luò)層的操作就意味著傳統(tǒng)防火墻只能根據(jù)與數(shù)據(jù)包源地址和目標(biāo)地址有關(guān)的信息來檢測(cè)流量,但是對(duì)于上述的http和https流量卻是無能為力。雖然現(xiàn)在有針對(duì)應(yīng)用層的IPS設(shè)備,但是IPS卻無法識(shí)別具體的應(yīng)用,達(dá)不到目前用戶所需的精細(xì)力度的應(yīng)用層控制,因而也無法對(duì)特定應(yīng)用進(jìn)行防護(hù)。
第三,自防火墻的概念誕生以來已經(jīng)經(jīng)過了十幾年的發(fā)展,但是可以發(fā)現(xiàn),在這么長的時(shí)間里防火墻的功能并沒有變革性的改進(jìn),功能、性能方面與網(wǎng)絡(luò)的飛速前進(jìn)并不匹配,網(wǎng)絡(luò)環(huán)境的新需求迫使防火墻進(jìn)行根本性的變革。
第四,概念炒作的嫌疑。就像UTM的出現(xiàn)一樣,下一代防火墻一出現(xiàn)就成了安全廠商,尤其是傳統(tǒng)防火墻廠商占據(jù)制高點(diǎn)的關(guān)鍵。
第五,安全廠商競相發(fā)布下一代防火墻產(chǎn)品,不管是否是概念炒作,也不管產(chǎn)品是否成熟。從市場需求來看,下一代防火墻產(chǎn)品的出現(xiàn)很大一部分程度上是代表了時(shí)代的潮流。傳統(tǒng)防火墻產(chǎn)品的不足已是共識(shí),新產(chǎn)品的出現(xiàn)已是必然。
應(yīng)用識(shí)別成為焦點(diǎn)
相較于傳統(tǒng)防火墻的網(wǎng)絡(luò)層防護(hù),下一代防火墻的關(guān)注重點(diǎn)在于對(duì)應(yīng)用層的識(shí)別。目前已經(jīng)推出下一代防火墻產(chǎn)品的梭子魚、SonicWALL、深信服、CheckPoint、銳捷、天融信等都將對(duì)應(yīng)用層的識(shí)別作為推廣重點(diǎn)。
雖然下一代防火墻產(chǎn)品還沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn),但是大多數(shù)安全廠商都基本認(rèn)同2009年Gartner提出的下一代防火墻定義。Gartner認(rèn)為,下一代防火墻至少應(yīng)具備以下特征:線速的處理性能、高度融合的IPS功能、應(yīng)用可視與身份鑒別的能力、傳統(tǒng)防火墻功能等四個(gè)方面。而目前的下一代防火墻廠商不約而同的將目光定位在了應(yīng)用識(shí)別方面。
每一家下一代防火墻產(chǎn)品都推出了各具特色的應(yīng)用識(shí)別技術(shù)。例如梭子魚的產(chǎn)品經(jīng)理潘淵介紹,其NGFW可以為用戶提供基于應(yīng)用識(shí)別的流量管理,對(duì)于企業(yè)網(wǎng)鏈路和VPN隧道中的業(yè)務(wù),都能做到流量優(yōu)先級(jí)定義;深信服產(chǎn)品經(jīng)理王帆則表示其NGAF產(chǎn)品可以充分理解國內(nèi)本土化的應(yīng)用,基于應(yīng)用做到流量管控,保障關(guān)鍵流量。SonicWALL中國研發(fā)中心總經(jīng)理陳中也表示針對(duì)應(yīng)用識(shí)別,SonicWALL的下一代防火墻產(chǎn)品可以為用戶提供應(yīng)用智能、應(yīng)用控制和應(yīng)用可視化等功能。而CheckPoint中國區(qū)技術(shù)經(jīng)理劉剛也表示,其NGFW產(chǎn)品涵蓋了從網(wǎng)絡(luò)層至應(yīng)用層的所有防護(hù)功能,其對(duì)應(yīng)用的控制更是能夠達(dá)到精細(xì)力度。天融信總工程師吳亞彪則認(rèn)為NGFW更注重在Web2.0時(shí)代的客戶體驗(yàn),比如采用客戶化的GUI,多核CPU并發(fā)處理等。隨著企業(yè)的發(fā)展,需要更主動(dòng),更直觀,更定制化,性能更高的安全產(chǎn)品,這是NGFW的特點(diǎn)。對(duì)于企業(yè)來說,NGFW更貼合現(xiàn)有網(wǎng)絡(luò)環(huán)境,對(duì)企業(yè)業(yè)務(wù)保護(hù)更加全面,已經(jīng)逐漸得到了大型企業(yè)的認(rèn)同。
與傳統(tǒng)的防火墻相比,下一代防火墻最主要的特征就是對(duì)于應(yīng)用層安全的保障,作為防火墻廠商,山石網(wǎng)科產(chǎn)品經(jīng)理賈彬認(rèn)為下一代防火墻基于應(yīng)用識(shí)別只是控制手段的增強(qiáng),安全性方面可能并沒有實(shí)質(zhì)性的提升。黑客技術(shù)日新月異,下一代防火墻與傳統(tǒng)防火墻還都沒有做到主動(dòng)防御,因此下一代防火墻依然是黑客嚴(yán)重的獵物,安全功能也需要加強(qiáng)。
除了對(duì)應(yīng)用的識(shí)別和傳統(tǒng)防火墻的功能之外,下一代防火墻還需要支持與防火墻自動(dòng)聯(lián)動(dòng)的集成化IPS、應(yīng)用識(shí)別、控制與可視化、智能化聯(lián)動(dòng)這幾個(gè)主要功能。
UTM的終結(jié)者?
下一代防火墻自出現(xiàn)以來,和UTM的對(duì)比之聲就不絕于耳。在用戶方面,往往還有很存在很多迷惑的地方。在此次采訪中,針對(duì)UTM與下一代防火墻的未來,所有的受訪對(duì)象都一致認(rèn)為,下一代防火墻在未來將來會(huì)取代現(xiàn)在的UTM設(shè)備。因?yàn)椋瑥漠a(chǎn)品結(jié)構(gòu)、功能、性能等方面來看,下一代防火墻都比UTM要領(lǐng)先一步。
相較于傳統(tǒng)防火墻,UTM提供了更多的安全功能,但潘淵表示,UTM的致命缺陷就是采用串行掃描方式,處理效率低下,尤其在激活了多種掃描過濾功能之后,整體的性能會(huì)使企業(yè)的網(wǎng)絡(luò)受到極大的影響。王帆則表示,UTM只是將防火墻、IPS、AV進(jìn)行簡單的功能堆砌,功能全部開放時(shí)的效率非常低下,另外,UTM在防護(hù)方面也不完善,例如Web應(yīng)用方面的防護(hù)就有缺失。
而陳中認(rèn)為UTM到NGFW是安全產(chǎn)品的進(jìn)一步演化,相較于備受中小企業(yè)的UTM設(shè)備,下一代防火墻面對(duì)的用戶范圍更加廣泛,NGFW的發(fā)展是需求推動(dòng)。從技術(shù)方面,劉剛介紹了UTM和NGFW的一些區(qū)別。下一代防火墻產(chǎn)品之所以能夠達(dá)到比UTM更高的性能和實(shí)現(xiàn)更多的功能,是因?yàn)槠洚a(chǎn)品架構(gòu)之間的根本區(qū)別。NGFW產(chǎn)品自設(shè)計(jì)之初,就采用了一體化的引擎,而UTM只是把多種安全引擎疊加在了一起,這種做法會(huì)使數(shù)據(jù)流在每個(gè)安全引擎分別執(zhí)行解碼、狀態(tài)復(fù)原等操作,導(dǎo)致大量的資源消耗。而NGFW則不同,它會(huì)一次性的對(duì)數(shù)據(jù)流完成識(shí)別、掃描,因而可以達(dá)到更高的性能。吳亞彪表示,UTM開始的設(shè)計(jì)就是針對(duì)中小企業(yè)網(wǎng)絡(luò)的,性能受到了很大的局限。UTM的理念是不需要用戶開啟全部功能。NGFW擁有靈活的架構(gòu)與擴(kuò)充性,這主要得益于NGFW支持虛擬化,使得NGFW能夠更靈活的架構(gòu)。除了定制化能力外,還有一點(diǎn)很重要的就是硬件資源可以通過虛擬化技術(shù)進(jìn)行分配的。舉例來說,NGFW很有可能有能力多臺(tái)防火墻串連虛擬為單一的防火墻設(shè)備,或是將單臺(tái)防火墻虛擬為多臺(tái)小型防火墻,達(dá)到分開處理流量的效果。
雖然NGFW產(chǎn)品與UTM相比具有了先天性的優(yōu)越性,但對(duì)于追求高性價(jià)比的中小企業(yè)用戶來說,UTM在最近的幾年中無疑還有巨大的市場潛力。作為非下一代防火墻廠商,H3C安全產(chǎn)品部總工李彥賓提出了比較中立的觀點(diǎn),他認(rèn)為短期來看,下一代防火墻產(chǎn)品比UTM有一定的優(yōu)勢(shì)。但從技術(shù)的演進(jìn)來看,受中小企業(yè)客戶的強(qiáng)烈需求推動(dòng)和UTM廠商自身軟硬件能力的提升,或許UTM會(huì)具備一些新的功能。吳亞彪也認(rèn)為,NGFW雖然有可能會(huì)取代之前的網(wǎng)絡(luò)防火墻、IPS、UTM等產(chǎn)品,但這取決于用戶的根據(jù)自身需求和投入來選擇,無論UTM還是NGFW可能在未來一段時(shí)間內(nèi)會(huì)并存下去。
百家爭鳴
除了遵循Gartner所提出的NGFW定義之外,下一代防火墻廠商都自己的產(chǎn)品添加了特色功能,以滿足不同用戶的需求。
潘淵認(rèn)為,在NGFW產(chǎn)品中應(yīng)該增加網(wǎng)絡(luò)性能提升的功能,如自適應(yīng)網(wǎng)絡(luò)路由,帶寬管理,遠(yuǎn)程接入控制,網(wǎng)絡(luò)延展性等技術(shù)。而使用梭子魚下一代防火墻產(chǎn)品的信息管理人員就可以輕松管理基于應(yīng)用的路由配置,根據(jù)多鏈路、多通道和不同的流量情況安排鏈路的優(yōu)先順序。
深信服將目光鎖定在了本土化應(yīng)用的識(shí)別問題上,利用其有優(yōu)勢(shì)的應(yīng)用層技術(shù),其NGAF可以基于應(yīng)用做流量管控,保障關(guān)鍵流量。另外,它還可以做到第二層至第七層的全面防護(hù)。
SonicWALL的NGFW的獨(dú)特之處在于其免重組深度數(shù)據(jù)包檢測(cè)技術(shù)。它允許用戶檢測(cè)網(wǎng)絡(luò)內(nèi)外的一切情況,并且不會(huì)造成延遲。因此用戶在應(yīng)用任何標(biāo)準(zhǔn)協(xié)議或者臨時(shí)協(xié)議之前,仍然可以保持原有的性能。
而以軟刀片架構(gòu)著稱的CheckPoint,雖然在下一代防火墻的概念上一直很低調(diào),但在“一體化”的概念上卻很有發(fā)言權(quán),它的每款設(shè)備都可以運(yùn)行多個(gè)軟刀片,用戶可根據(jù)需要自行選擇所需要的功能刀片。最為獨(dú)特的是,用戶在以后的功能添加過程中,無需購買新的設(shè)備,也無需更改自身的網(wǎng)絡(luò)設(shè)置,只需要更新一下原有設(shè)備即可完成。更是為用戶提供了統(tǒng)一的管理平臺(tái),這也是劉剛認(rèn)為下一代防火墻應(yīng)該具有的特征。
天融信的NGFW產(chǎn)品集成了防火墻、VPN、帶寬管理、防病毒、內(nèi)容過濾等功能的,具有高性能、高可靠性、高安全性的特點(diǎn),天融信NGFW還提供了強(qiáng)大的網(wǎng)絡(luò)應(yīng)用控制功能,用戶可以輕松的針對(duì)一些典型網(wǎng)絡(luò)應(yīng)用。由于采用了天融信自主知識(shí)產(chǎn)權(quán)的安全操作系統(tǒng)TOS(TopsecOperatingSystem),并采用模塊化結(jié)構(gòu)設(shè)計(jì),既提高了產(chǎn)品性能,又提高了產(chǎn)品的靈活性、高效性和安全性。
由于下一代防火墻還未標(biāo)準(zhǔn)化,但安全廠商卻在不斷推進(jìn)這件事情。但是,行業(yè)總有領(lǐng)頭人,誰將主宰NGFW的標(biāo)準(zhǔn)化進(jìn)程,還要看誰抓住了用戶的需求。
統(tǒng)一是未來
不管是對(duì)于大型用戶還是小型用戶來說,他們都希望用最簡單的管理實(shí)現(xiàn)最多總類的安全。相較于以往采購單個(gè)專業(yè)安全設(shè)備的方式來說,在功能、性能和一體化方面都比較出色的NGFW產(chǎn)品無疑代表了市場潮流。
在記者采訪宅急送信息部副總監(jiān)唐輝輝時(shí),他明確表示出了自己對(duì)于NGFW產(chǎn)品非常感興趣,但是他也表達(dá)了自己的擔(dān)憂。NGFW是否只是一個(gè)盒子?他認(rèn)為在一個(gè)硬件盒子上實(shí)現(xiàn)多種功能的集合必定會(huì)有性能方面的局限性,就如UTM一般。同時(shí),他也認(rèn)為,對(duì)于大型企業(yè)或電信級(jí)用戶來說,他們是否會(huì)相信一個(gè)平臺(tái)下面可以實(shí)現(xiàn)多種安全的保障。
由此可見,用戶對(duì)于NGFW產(chǎn)品還存有一定的困惑,尤其是在先進(jìn)還沒有標(biāo)準(zhǔn)化,各家廠商的產(chǎn)品功能都有所不同時(shí),這也是NGFW廠商需要去解決的問題。劉剛在接受采訪時(shí)也表示,目前具有專業(yè)性的安全長品,例如WAF等也會(huì)在近幾年長期存在,因?yàn)镹GFW產(chǎn)品在有正式的標(biāo)準(zhǔn)出來之前,市場恐怕難以出現(xiàn)實(shí)質(zhì)性的進(jìn)展。
在記者看來,NGFW不應(yīng)該只是一個(gè)產(chǎn)品,它應(yīng)該是一個(gè)平臺(tái),該平臺(tái)可以實(shí)現(xiàn)高性能的擴(kuò)展,多功能的集成,以及多功能之間的聯(lián)動(dòng)。同時(shí),用戶使用和管理起來應(yīng)該簡便。每種新興的技術(shù)或產(chǎn)品都需要經(jīng)過市場的檢驗(yàn),NGFW產(chǎn)品目前剛剛開始發(fā)展,但是安全產(chǎn)品走向統(tǒng)一的腳步卻不會(huì)改變了。我們期待NGFW產(chǎn)品成熟和市場爆發(fā)的那一刻。
編看編想:冷思考
不可否認(rèn),UTM和NGFW產(chǎn)品都代表了IT界的統(tǒng)一方向,但是下一代防火墻產(chǎn)品也面臨著新技術(shù)的一些挑戰(zhàn)。一方面,下一代防火墻產(chǎn)品發(fā)展還未成熟,用戶對(duì)下一代防火墻的認(rèn)知還有迷惑,市場接受度遠(yuǎn)沒有傳統(tǒng)防火墻和UTM那樣高;另一方面,云計(jì)算和虛擬化技術(shù)在用戶中的流行也必然會(huì)對(duì)安全產(chǎn)品的需求產(chǎn)生影響,例如虛擬化的安全問題、云計(jì)算的安全問題,以及最近大數(shù)據(jù)引起的數(shù)據(jù)爆炸對(duì)安全產(chǎn)品的影響等,這是否應(yīng)該成為下一代防火墻產(chǎn)品需要納入的新功能?這都是安全廠商需要考慮的因素。在這個(gè)新技術(shù)層出不窮的時(shí)代,NGFW廠商要想獲取用戶信任必須緊跟技術(shù)的潮流,不斷更新自身的產(chǎn)品,才能把握市場的先機(jī)。
【編輯推薦】
