自出現(xiàn)之日起,下一代防火墻(Next-Generation Firewall,以下簡稱NGFW)就一直在爭議中前行。究其原因,在于概念提出得比較超前、產(chǎn)品跟進卻相對緩慢。
就在不久前,梭子魚與深信服在國內(nèi)先后發(fā)布了NGFW產(chǎn)品,加上產(chǎn)品已經(jīng)正式在售的SonicWall、Check Point和Palo Alto,市場上儼然一副山雨欲來風滿樓的景象。
那么,NGFW究竟是如何定義的?它與傳統(tǒng)防火墻、UTM有哪些不同?用戶部署NGFW又需從哪些角度考慮?請隨我們一起走進NGFW的神奇世界,共同領(lǐng)略這類新產(chǎn)品的價值所在。
何謂NGFW?
什么是下一代防火墻?這一代、上一代防火墻指的又是什么?在討論NGFW之前,我們必須先正確認識“防火墻”這個概念。
在經(jīng)歷了多次技術(shù)變革后,防火墻的概念正在變得模糊,在不同語境中有著不同的含義。在描述具體產(chǎn)品時,防火墻大部分指代的是作用在2~4層,采用狀態(tài)檢測機制、集成IPSec VPN、支持橋/路由/NAT工作模式的訪問控制設(shè)備;而宏觀意義上的防火墻,實際上指的是以性能為主導的、在網(wǎng)絡(luò)邊緣執(zhí)行多層次的訪問控制策略、使用狀態(tài)檢測或深度包檢測機制、包含一種或多種安全功能的網(wǎng)關(guān)設(shè)備(Gateway)。國內(nèi)的廠商、用戶習慣將前者稱為“傳統(tǒng)防火墻”,國外的分析機構(gòu)和廠商在描述產(chǎn)品形態(tài)時則更多地傾向于使用宏觀的防火墻概念,其包含了傳統(tǒng)防火墻、IPS、UTM及一些廠商市場推廣時宣稱的“多功能安全網(wǎng)關(guān)”、“綜合安全網(wǎng)關(guān)”等多種產(chǎn)品形態(tài)。隨著用戶安全需求的不斷增加,廣義的防火墻必然將集成更多的安全特性。
得益于許多廠商市場部門行之有效的推廣工作,我們在市場上可以看到不少針對NGFW概念的解釋(即便其中可能存在著完全不同的理解)。而業(yè)內(nèi)普遍認同的關(guān)于NGFW的定義,來自市場分析咨詢機構(gòu)Gartner于2009年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文章。Gartner注意到,在應(yīng)用模式、業(yè)務(wù)流程和安全威脅不斷變化的今天,傳統(tǒng)防火墻已經(jīng)無法滿足用戶的需求。即便在此基礎(chǔ)上再加入IPS,也很難有效識別并阻止存在濫用行為的應(yīng)用程序。在這種形勢下,Gartner定義了“NGFW”這個術(shù)語來形容防火墻的必然發(fā)展階段,以應(yīng)對攻擊行為和業(yè)務(wù)流程使用IT方式的變化。
在Gartner看來,NGFW應(yīng)該是一個線速(wire-speed)網(wǎng)絡(luò)安全處理平臺,定位于企業(yè)網(wǎng)絡(luò)防火墻(Enterprise Network Firewall,F(xiàn)irewall指宏觀意義上的防火墻)市場。這里的企業(yè)指的是大型企業(yè),國內(nèi)很大一部分都歸為行業(yè)用戶范疇。NGFW在功能上至少應(yīng)當具備以下幾個屬性:
傳統(tǒng)防火墻:NGFW必須擁有傳統(tǒng)防火墻所提供的所有功能,如基于連接狀態(tài)的訪問控制、NAT、VPN等。雖然我們總是在說傳統(tǒng)防火墻已經(jīng)不能滿足需求,但它仍然是一種無可替代的基礎(chǔ)性訪問控制手段。
支持與防火墻自動聯(lián)動的集成化IPS:在同一硬件內(nèi)集成IPS功能是必須的,但這不是Gartner想表達的重點。該機構(gòu)認為,NGFW內(nèi)置的防火墻與IPS之間應(yīng)該具有聯(lián)動的功能,例如IPS檢測到某個IP地址不斷地發(fā)送惡意流量,可以直接告知防火墻并由其來做更簡單有效的阻止。這個告知與防火墻策略生成的過程應(yīng)當是由NGFW自動完成的,而不再需要管理員介入。比起前些年流行的傳統(tǒng)防火墻/IDS間的聯(lián)動機制,這次升級并不是一個特別高深的技術(shù)進步,但我們必須承認它能讓管理和安全業(yè)務(wù)處理變得更簡單、高效。
應(yīng)用識別、控制與可視化:NGFW必須具有以與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進行應(yīng)用識別的能力,并執(zhí)行訪問控制策略。例如允許用戶使用QQ的文本聊天、文件傳輸功能但不允許進行語音視頻聊天,或者允許使用WebMail收發(fā)郵件但不允許附加文件等。應(yīng)用識別帶來的額外好處是可以合理優(yōu)化帶寬的使用情況,保證關(guān)鍵業(yè)務(wù)的暢通。雖然嚴格意義上來講應(yīng)用流量優(yōu)化(俗稱應(yīng)用QoS)不是一個屬于安全范疇的特性,但P2P下載、在線視頻等網(wǎng)絡(luò)濫用確實會導致業(yè)務(wù)中斷等嚴重安全事件。
智能化聯(lián)動:獲取來自“防火墻外面”的信息,做出更合理的訪問控制,例如從域控制器上獲取用戶身份信息,將權(quán)限與訪問控制策略聯(lián)系起來,或是來自URL Filter判定的惡意地址的流量直接由防火墻去阻擋,而不再浪費IPS的資源去判定。我們理解這個“外面”也可以是NGFW本體內(nèi)的其他安全業(yè)務(wù),它們應(yīng)該像之前提到的IPS那樣與防火墻形成緊密的耦合關(guān)系,實現(xiàn)自動聯(lián)動的效果(如思科的“云火墻”解決方案)。
除此之外,文檔中也提到了NGFW在部署、升級方面的一些規(guī)定,但并未做更多的強制性約束。正如文章作者、Gartner研究副總裁Greg Young在接受本報記者采訪時強調(diào)的那樣,集成傳統(tǒng)防火墻、可與之聯(lián)動的IPS、應(yīng)用管控/可視化和智能化聯(lián)動就是NGFW要具備的四大基本要素。
發(fā)現(xiàn)用戶需求及產(chǎn)品形態(tài)變化的并不只Gartner一家,國際著名第三方安全產(chǎn)品評測機構(gòu)NSSLabs也在今年正式開始了NGFW產(chǎn)品的公開測試工作。從官方發(fā)布的信息來看,該機構(gòu)基本認同Gartner對NGFW的定義,只是在智能化聯(lián)動方面并未做過多的強制性要求,但突出了對用戶/用戶組的控制能力。從測試的角度出發(fā),NSSLabs的工程師對產(chǎn)品配置的復雜度和易用性都有很深刻的了解,他們的觀點可以代表許多用戶。此外,該機構(gòu)還認為企業(yè)并沒有準備在數(shù)據(jù)中心中用任何方案替換獨立的IPS設(shè)備,所以NGFW集成的IPS模塊應(yīng)該提供對客戶端保護(主要在特征庫方面體現(xiàn))在內(nèi)的完整方案,并且將針對于此的配置歸納到預定義策略模版中去。
NGFW產(chǎn)品加入應(yīng)用識別后的訪問控制量效果
NGFW與UTM:
競合或互補,但非競爭
需要注意的是,不同機構(gòu)對NGFW做出的定義都是最小化的功能集合。站在廠商的角度,勢必要根據(jù)自身技術(shù)積累的情況,在產(chǎn)品上集成更多的安全功能。這導致不同廠商的NGFW產(chǎn)品在功能上可能存在差異,同時更像一個大而全的集中化解決方案,給用戶造成了很混亂的印象。我們在采訪中聽到用戶最多的也是最經(jīng)典的反問就是:NGFW不就是一個加強型的UTM么?
實際上,這里提到的NGFW和UTM都是對廠商包裝后的產(chǎn)品的認知,已經(jīng)脫離了最原始的定義。市場分析咨詢機構(gòu)IDC曾經(jīng)這樣定義UTM:這是一類集成了常用安全功能的設(shè)備,必須包括傳統(tǒng)防火墻、網(wǎng)絡(luò)入侵檢測與防護和網(wǎng)關(guān)防病毒功能,并且可能會集成其他一些安全或網(wǎng)絡(luò)特性。所有這些功能不一定要打開,但是這些功能必須集成在一個硬件中。IDC對UTM的定義無疑是非常聰明的,它簡單明了,讓人易于接受并容易做出判斷。“所有功能不一定要打開”這句話,除了說明安全業(yè)務(wù)要由用戶需求決定外,也考慮了早年間硬件平臺的實際處理能力。而安全業(yè)務(wù)的集成化,也確實符合當時的市場需求。有了這樣一個寬泛的準入條件,UTM的概念一經(jīng)推出便受到廠商與用戶的一致認同,市場份額迅速擴大,成長為目前安全市場上的主流產(chǎn)品。
與IDC的寬松態(tài)度不同,Gartner在其市場分析報告中對UTM產(chǎn)品形態(tài)則有著更為細致的描述。該機構(gòu)在調(diào)研后認為,除了傳統(tǒng)防火墻與IPS,UTM至少還應(yīng)該具有VPN、URL過濾和內(nèi)容過濾的能力,并且將網(wǎng)關(guān)防病毒的要求擴大至反惡意軟件(包括病毒、木馬、間諜軟件等)范疇。另一方面,Gartner對UTM的用戶群體有著自己的看法,認為該產(chǎn)品主要面對1000人以下的中小企業(yè)或分支機構(gòu)。這類用戶通常對性能沒有太高要求,看中的是產(chǎn)品的易用性和集成安全業(yè)務(wù)乃至網(wǎng)絡(luò)特性(如無線規(guī)格、無線管理、廣域網(wǎng)加速)的豐富度。實際上,Gartner之前一直使用SMB多功能防火墻(SMB Multifunction Firewalls,這里的Firewall也指宏觀意義上的防火墻)來描述這類產(chǎn)品,只是在2010年因為UTM這個名稱被市場普遍接受,才在分析報告中修改了稱謂。該機構(gòu)認為它與NGFW集成安全功能的差異主要體現(xiàn)在時延敏感性上——作為邊緣網(wǎng)關(guān),NGFW必須滿足時延敏感型應(yīng)用的需求,與之有悖的功能不適合出現(xiàn)在NGFW上。而從Gartner針對其他產(chǎn)品市場的分析報告中可以推斷,安全Web網(wǎng)關(guān)(Secure Web Gateway)似乎是該機構(gòu)認為的NGFW聯(lián)合部署的理想對象,此外獨立的WAF、反垃圾郵件產(chǎn)品也應(yīng)被考慮。
通過上面的分析,我們可以得出明確的結(jié)論:至少在Gartner看來,UTM和NGFW只是針對不同級別用戶的需求,對宏觀意義上的防火墻的功能進行了更有針對性的歸納總結(jié),是互為補充的關(guān)系。無論從產(chǎn)品與技術(shù)發(fā)展角度還是市場角度看,它們與IDC定義的UTM一樣,都是不同時間情況下對邊緣網(wǎng)關(guān)集成多種安全業(yè)務(wù)的階段性描述,其出發(fā)點就是用戶需求變化產(chǎn)生的牽引力。對此,美國飛塔有限公司創(chuàng)始人、CTO、工程副總裁謝華在接受《計算機世界》報記者采訪時有著非常精辟的總結(jié):“UTM的概念在不斷地進化,包含了越來越多的安全功能。但像500強那樣的大企業(yè)對UTM的接納相對保守,不過他們也開始從獨立的安全設(shè)備開始轉(zhuǎn)向集成化的道路,其關(guān)注重點就是Gartner定義的以傳統(tǒng)防火墻與IPS為基礎(chǔ)元素的NGFW——UTM進化中的一個細化分支。無論如何,我們將看見安全功能整合的革命將繼續(xù)進行下去。”
途牛旅游網(wǎng)的工程師們在配置NGFW
NGFW產(chǎn)品
現(xiàn)狀
理論上的定義總是滯后于用戶需求和技術(shù)發(fā)展,從市場上可以購買到的實際產(chǎn)品來看,NGFW集成的安全功能已經(jīng)遠遠超過了咨詢機構(gòu)給出的最小化定義。雖然不同廠商在功能提供上還存在差異,但大家的目標都是一樣的,那就是功能最大化集成,性能(產(chǎn)品規(guī)格)通吃低端到高端,這與Gartner細分功能、用戶群體的追求有很大出入。其實廠商這樣做無可厚非,只有功能模塊化加系統(tǒng)平臺化的方式才能做到成本最低和利潤最大化。
近日,《計算機世界》報記者走訪了發(fā)布了NGFW產(chǎn)品的5個廠商和部分用戶,梳理出一些國內(nèi)用戶在選型時最關(guān)注/最值得關(guān)注的功能和評估經(jīng)驗,供讀者參考。
應(yīng)用識別、控制與可視化:作為NGFW定義中明確要求具備的特性,應(yīng)用識別、控制與可視化可以解決給企業(yè)用戶帶來極大壓力的網(wǎng)絡(luò)濫用問題,受到了所有受訪用戶的關(guān)注。而5家提供NGFW產(chǎn)品的廠商均表示,該功能已經(jīng)成為各自產(chǎn)品中的標準配置,也就是說,即便用戶在購買時不包含其他任何安全功能的使用許可,也會得到一個“應(yīng)用防火墻”形態(tài)的產(chǎn)品,我們認為這也將成為未來NGFW產(chǎn)品商業(yè)模式方面的常態(tài)。但多數(shù)受訪廠商也希望用戶認識到,NGFW產(chǎn)品只能做到上網(wǎng)行為管理產(chǎn)品中基于應(yīng)用的訪問控制與優(yōu)化功能,并不提供法規(guī)遵從及審計相關(guān)的特性,不存在完全的取代關(guān)系。
全方位的本土化:應(yīng)用特征庫的本土化是影響NGFW產(chǎn)品使用效果的關(guān)鍵因素,每一個廠商都需在協(xié)議種類與更新響應(yīng)速度方面做出最大努力。采訪中有用戶就抱怨,目前使用的國外某UTM產(chǎn)品在IPS模塊中雖然也集成了對應(yīng)用的識別控制功能,但擴充更新速度太慢,以至于上線不久就失去了對迅雷等頻繁更新應(yīng)用的控制能力,同時全英文的操作/報表界面也加大了使用難度,對于IT管理效率有著不可忽視的影響。
對此,SonicWALL中國研發(fā)中心總經(jīng)理陳中在接受采訪時有針對性地提到,目前該公司的NGFW產(chǎn)品在每次系統(tǒng)版本更新后1~2個月內(nèi)即可提供中文版,并且有專人負責國內(nèi)應(yīng)用特征的添加與維護,達到平時每周1次、緊急情況下1天響應(yīng)的更新頻率。而以內(nèi)容和應(yīng)用安全起家的深信服科技在這方面顯然也有著先天性的優(yōu)勢,該公司技術(shù)總監(jiān)殷浩表示,本土化的應(yīng)用識別和應(yīng)用防護功能是NGFW用戶獲得良好使用體驗的基礎(chǔ),深信服目前使用的識別引擎已經(jīng)能夠辨析600多種應(yīng)用,可以滿足不同部署場景的要求。
用戶識別與控制/統(tǒng)一的策略框架:雖然它們不全是Gartner的NGFW定義中的強制性功能,但我們發(fā)現(xiàn)目前所有的NGFW產(chǎn)品都有提供,并且在此領(lǐng)域做著更加深入的嘗試。NGFW應(yīng)當可以通過獲取域控制器信息或Web認證等手段,做到IP與用戶身份的綁定,再通過統(tǒng)一的策略框架進行更加直觀、簡單的權(quán)限定義。據(jù)Palo Alto公司創(chuàng)始人、首席架構(gòu)師毛宇明介紹,該公司的NGFW產(chǎn)品將用戶識別與應(yīng)用識別、內(nèi)容識別并列為3大核心功能,最大化地融合了用戶權(quán)限與策略配置的描述,例如“允許市場部門的所有員工從任何位置訪問新浪微博”、“只允許IT部門員工從特定位置使用SSH、Telnet、遠程桌面應(yīng)用”等等,并且這種融合會讓報表更具實用價值。
集中管理平臺:NGFW集成了更多的安全功能,我們認為在管理尤其是集中管理上還應(yīng)該給行業(yè)用戶提供更強大、易用的解決方案。梭子魚網(wǎng)絡(luò)有限公司中國區(qū)技術(shù)總監(jiān)谷新就特別提到,該公司在集中管理平臺的構(gòu)建上投入了很大精力,可以管理維護多達數(shù)千臺NGFW產(chǎn)品。該平臺還結(jié)合獨特的圖形化管理維護技術(shù),利用業(yè)界獨特的“梭子魚NG地球”特性,使分布網(wǎng)絡(luò)的管理變得簡單高效。
在實驗室級別的測試方面,目前業(yè)界對出現(xiàn)在市場上不久的NGFW產(chǎn)品還沒有一個公認的測試標準,甚至獨立的測試報告都寥寥無幾。NSSLabs曾經(jīng)在幾個月前發(fā)布了針對Check Point Power-1 11065的單品測試報告,這也是該機構(gòu)第一次發(fā)布NGFW類別的測試報告。我們從中可以看出,針對NGFW產(chǎn)品的測試方法可以理解為在傳統(tǒng)防火墻和IPS測試的基礎(chǔ)上,補充了針對用戶/應(yīng)用的識別與控制能力的測試。據(jù)Check Point中國區(qū)技術(shù)經(jīng)理劉剛介紹,該產(chǎn)品在測試中有著非常優(yōu)秀的性能表現(xiàn),在防火墻、身份識別以及應(yīng)用程序控制執(zhí)行的各項評測中取得100%的有效率,成為業(yè)界首個獲得NSSLabs NGFW“推薦”級別的廠商。但用戶也應(yīng)認識到,實驗室環(huán)境中的測試結(jié)果代表了一種特殊的應(yīng)用場景,在選型時還應(yīng)結(jié)合自身業(yè)務(wù)需求尋找更多的評估依據(jù)。例如未來如果打算啟用DLP功能,就一定要關(guān)注重組大小、解碼種類等方面的限制,最好能創(chuàng)造環(huán)境去測試設(shè)備在此條件下的最差性能。此外,我們注意到NSSLabs在應(yīng)用識別與控制測試中使用的多為歐美地區(qū)流行的應(yīng)用樣本,國內(nèi)用戶應(yīng)當重點考察NGFW產(chǎn)品對迅雷、新浪微博、開心網(wǎng)等本土熱門應(yīng)用的識別與控制能力。
鏈接一
防火墻技術(shù)發(fā)展簡介
從技術(shù)發(fā)展角度看,到目前為止,防火墻大致經(jīng)歷了4代變革。
首先出現(xiàn)在市場上的是包過濾防火墻,這類產(chǎn)品可以根據(jù)IP數(shù)據(jù)包的五元組(源地址、目的地址、源端口、目的端口、協(xié)議類型)做訪問控制,代表性的產(chǎn)品是具備ACL能力的路由器。因為處理邏輯比較簡單,包過濾防火墻可以做到相對較高的性能。
包過濾防火墻的缺點是處理不夠智能,不能很好地適應(yīng)網(wǎng)絡(luò)應(yīng)用發(fā)展的需要,所以逐步被使用狀態(tài)檢測技術(shù)(Stateful Packet Inspextion,SPI)的防火墻所取代。狀態(tài)檢測機制在基于五元組執(zhí)行包過濾的基礎(chǔ)上引入了會話的概念,維護一個全局的連接狀態(tài)表,使訪問控制功能更加完善、易用。即便在今天,它仍然是絕大多數(shù)防火墻或UTM產(chǎn)品中最基礎(chǔ)的處理模塊,其地位不可動搖。
應(yīng)用代理防火墻則采用了與狀態(tài)檢測完全不同的處理機制,改由透明代理中斷連接、重組數(shù)據(jù)。雖然這種技術(shù)可以做到非常細粒度的訪問控制,但僅支持有限的應(yīng)用協(xié)議,只適用于非常特殊的應(yīng)用場景。并且該機制注定了相對較低的執(zhí)行效率,不易于性能的提升(用過ISA的朋友可以仔細體會)。也許是時間比較久遠,我們并不記得曾經(jīng)測試過這類硬件產(chǎn)品,只是在一些使用狀態(tài)檢測機制的防火墻上看到它以功能模塊的形式出現(xiàn)。如果您在正在使用的防火墻上看到了針對HTTP、FTP、SMTP等常見協(xié)議的指令級或字符串級的過濾功能,不妨嘗試開啟一下,看看是不是會對性能造成很大影響。截至目前為止,可能只有國標中所定義的安全審計產(chǎn)品仍然在使用應(yīng)用代理機制。
而深度包檢測技術(shù)(Deep Packet Inspection,DPI)則可以看做是性能與功能平衡的產(chǎn)物,它在狀態(tài)檢測技術(shù)的基礎(chǔ)上,嘗試對數(shù)據(jù)流中更多的內(nèi)容進行檢測,以在資源消耗較少的情況下提供部分應(yīng)用代理級別的安全性。正如名稱中強調(diào)的那樣,大部分采用深度包檢測的設(shè)備依然不會去做太多的重組工作,僅依靠特征比對的方式執(zhí)行更復雜的訪問控制策略。IDS與IPS就是使用這種技術(shù)的標志性產(chǎn)品,它們表現(xiàn)出來的性能雖然比起使用狀態(tài)檢測機制的傳統(tǒng)防火墻還有一定的差距,卻遠高于使用應(yīng)用代理機制的產(chǎn)品。近年來,DPI在不斷改進中又衍生出深度流檢測技術(shù)(Deep Flow Inspection,DFI),以更好地實現(xiàn)各類安全特性。
鏈接二
NGFW產(chǎn)品選購指南
用戶在選購NGFW產(chǎn)品時肯定會感到更多的困惑。一方面,UTM和NGFW短期內(nèi)不存在取代關(guān)系,經(jīng)過包裝推廣的產(chǎn)品在形態(tài)上會越來越相似。另一方面,NGFW必然還會加入更多的安全特性,從著名信息安全培訓機構(gòu)SANS的專家結(jié)合現(xiàn)有產(chǎn)品和用戶需求給出的未來NGFW產(chǎn)品將需集成的功能列表來看,目前市場上所有主流安全技術(shù)都被涵蓋在內(nèi)。亂花漸欲迷人眼,用戶(尤其是中小企業(yè)用戶)難免會像幾年前剛接觸UTM那樣,產(chǎn)生一種不理智的選購心態(tài)。
所以,用戶在選型前必須先明確自己的需求是什么,再利用NGFW體系結(jié)構(gòu)上的集成化優(yōu)勢對未來部署做出合理性的規(guī)劃,否則必將帶來過猶不及的負面效果。途牛旅游網(wǎng)的資深網(wǎng)絡(luò)工程師吳康就談到這樣的體會:該公司在明確自身安全需求后,選擇了NGFW產(chǎn)品取代UTM搭配上網(wǎng)行為管理的方案,保護包括訂單系統(tǒng)在內(nèi)的在線OA平臺。經(jīng)過長達半年的細致測試,途牛旅游網(wǎng)的IT團隊在用戶身份關(guān)聯(lián)的基礎(chǔ)上逐步實現(xiàn)了策略的統(tǒng)一配置,成功地在滿足需求的同時大幅提升了管理效率。
由此可見,充分的測試也是必不可少的環(huán)節(jié),鑒于大部分用戶都會同時啟用NGFW產(chǎn)品提供的多種功能,我們建議無論是否進行實驗室級別的測試,都要做至少3個月以上的、結(jié)合自身業(yè)務(wù)需求的上線測試,盡可能地與原有信息系統(tǒng)磨合,排除潛在隱患。
[page]
百舸爭流NGFW
業(yè)界對下一代防火墻(NGFW)的產(chǎn)品形態(tài)和市場前景都趨于認同。面對越來越多的選擇,用戶對NGFW產(chǎn)品應(yīng)理智地分析自身的安全需求,更多地結(jié)合測試評估工作進行選型。
■ 本報記者 韓勖 李智鵬
作為一類新的產(chǎn)品形態(tài),下一代防火墻(以下簡稱NGFW)在市場上已然形成潮流。在被用戶充分接受之前,這個產(chǎn)品市場能否順利發(fā)展,很大程度上取決于業(yè)內(nèi)的態(tài)度。所以,除了5家已經(jīng)正式發(fā)售NGFW產(chǎn)品的廠商,本次我們還對另外14家信息安全廠商提出了采訪邀請,希望了解整個行業(yè)對這一新產(chǎn)品形態(tài)的看法——這些廠商全部都有防火墻或/及UTM產(chǎn)品在市場上銷售,并且長期活躍于國內(nèi)信息安全市場。經(jīng)過長時間的溝通,我們最終收到了13份正式答復。業(yè)界巨擘思科成為惟一沒有接受采訪的廠商,讓人深感遺憾。
此次采訪圍繞著NGFW的產(chǎn)品形態(tài)和市場前景兩大主題進行。從13份答復中可以看出,絕大多數(shù)廠商都對Gartner所定義的NGFW產(chǎn)品形態(tài)表示充分認同,雖然也有廠商表示個別細節(jié)值得商榷,但終歸沒有明確的反對意見出現(xiàn)。可以認為,Gartner所定義的NGFW標準是對用戶需求的高度抽象,是防火墻發(fā)展到一個歷史階段的自然產(chǎn)物。除了定義中明確要求必須具有的基礎(chǔ)特性,各廠商基本是從自身所擅長的技術(shù)領(lǐng)域,以及目標客戶需求的視角,來定義NGFW應(yīng)具有的其他功能。例如:有獨立組網(wǎng)能力的H3C與瞻博網(wǎng)絡(luò)重點提到了超高性能、擴展性、虛擬化、抗DDoS等特性,而傳統(tǒng)意義上的信息安全廠商則更關(guān)注網(wǎng)關(guān)防病毒、內(nèi)容管理、網(wǎng)絡(luò)準入控制乃至報表與人機交互功能的集成實現(xiàn)。
對于NGFW產(chǎn)品在國內(nèi)的市場前景,受訪廠商也普遍表示看好。雖然不少廠商認為NGFW與UTM現(xiàn)階段存在競爭,但必將逐漸替代防火墻、IPS、UTM,成為階段性的終結(jié)者。啟明星辰還提到了上網(wǎng)行為管理產(chǎn)品,認為NGFW的發(fā)展會對這類產(chǎn)品的市場產(chǎn)生沖擊。綠盟科技的觀點則更加明確,認為NGFW短期內(nèi)不會有獨立市場,中期來看將從行業(yè)用戶處開始普及,最終會成為綜合網(wǎng)關(guān)市場的核心產(chǎn)品。而華為賽門鐵克則認為,有中國特色的NGFW必將成為市場的寵兒。
可以看出,業(yè)界對NGFW的產(chǎn)品形態(tài)和市場前景都趨于認同。也正基于此,13個受訪廠商中的5家已明確表示有NGFW產(chǎn)品研發(fā)計劃,今明兩年內(nèi)我們很可能看到至少4款來自不同廠商的NGFW產(chǎn)品出現(xiàn)在市場上。迪普科技、山石網(wǎng)科則表示現(xiàn)有產(chǎn)品已符合NGFW標準規(guī)范,只是未進行過有針對性的包裝推廣。瞻博網(wǎng)絡(luò)聲稱,其2008年發(fā)布的SRX系列防火墻是NGFW的代表作,但在該公司官方網(wǎng)站及互聯(lián)網(wǎng)上我們暫時沒有找到相關(guān)信息。
如何看待Gartner定義的NGFW標準?
NGFW標準是對用戶需求的高度抽象,是防火墻發(fā)展到一個歷史階段的自然產(chǎn)物。在我們的采訪中,絕大多數(shù)廠商都對Gartner定義的NGFW產(chǎn)品形態(tài)表示充分認同,也有一些廠商認為個別細節(jié)值得商榷。
H3C安全產(chǎn)品部部長馬前祖稱,Gartner提倡的下一代防火墻產(chǎn)品很類似于UTM,都是盡可能將傳統(tǒng)的單一防火墻功能擴充到安全中。“與部分廠商解讀的‘NGFW就是將所有的安全功能盡量集中于一體’不同,H3C更注重從網(wǎng)絡(luò)安全整體的角度看安全產(chǎn)品。Gartner提倡的解決方案是從純安全的角度去看安全的產(chǎn)品,而H3C更提倡系統(tǒng)化安全。”據(jù)介紹,H3C不僅要把防火墻和IPS做成高性能或者互動,同時還要把交換機、路由器與管理中心、桌面控制平臺聯(lián)合到一起,這樣可以從各個層面來完善整網(wǎng)的安全解決方案。
“基于應(yīng)用的流量識別與控制,給客戶帶來投資減少和管理方便是顯而易見的。但它們受制于軟、硬件設(shè)計和處理能力以及深度安全防御的專業(yè)程度限制,因此產(chǎn)品形態(tài)缺乏標準,指標隨意。”馬前祖說。
傳統(tǒng)防火墻廠商天融信對NGFW的概念有所保留。“隨著業(yè)務(wù)、應(yīng)用、需求的變化,防火墻的定義和功能也一直在變化,總體趨勢是做一個功能更加豐富、性能更高的網(wǎng)關(guān)或防火墻。Gartner定義的NGFW標準在一定程度上反映了產(chǎn)業(yè)發(fā)展的狀況,但還存在一些不足。首先精確性有待探討,實際上,業(yè)界各個廠家也有各自的理解,定義還缺乏廣泛性和權(quán)威性。”北京天融信公司總工程師吳亞飚表示。
吳亞飚認為,Gartner的定義對當前防火墻發(fā)展的理解存在片面性,比較適合企業(yè)級客戶對應(yīng)用的控制,并不適合大型IDC數(shù)據(jù)中心的業(yè)務(wù)。
“根據(jù)Gartner的定義,NGFW不是UTM和現(xiàn)有防火墻的簡單升級,而是提供了更全面的應(yīng)用、用戶識別機制,更靈活的控制機制,以及更全面的安全防御。NGFW主要對以下方面進行了大的改進:What, NGFW采用基于DPI/DFI技術(shù)的檢測,能夠深入到應(yīng)用層報文,通過簽名、行為特征識別技術(shù),將應(yīng)用或威脅進一步區(qū)分出來,便于制定不同的控制策略;Who,NGFW改變了傳統(tǒng)防火墻/UTM依賴于物理設(shè)備地址(MAC/IP)和用戶身份對應(yīng)的機制,結(jié)合身份認證機制和深度挖掘,更主動和更精準地關(guān)聯(lián)用戶的實際身份;Where,在一些應(yīng)用場合,特別是遠程應(yīng)用,NGFW可以準確判定用戶的位置;How,靈活的控制策略和豐富的可視化內(nèi)容。” 漢柏科技戰(zhàn)略產(chǎn)品中心總經(jīng)理時培昕認為。
NGFW應(yīng)具備哪些其他功能?
除了Gartner定義的NGFW標準中明確要求必須具有的基礎(chǔ)特性之外,各廠商還根據(jù)自身擅長的技術(shù)領(lǐng)域,以及目標客戶的需求,定義了NGFW應(yīng)具有的其他功能。
“具備多種安全防護功能是下一代防火墻需具備的特點之一,但與此同時,我們注意到目前IT界兩大發(fā)展趨勢:一是帶寬越來越寬,以太網(wǎng)標準開始由萬兆向40G、100G邁進;二是云計算風生水起,已成為眾多企業(yè)CIO的關(guān)注焦點。NGFW要躋身這個市場,在具有融合的安全防護功能同時,還必須滿足以下兩個基本要求:高吞吐和高并發(fā)的性能彈性匹配,云計算環(huán)境中虛擬化技術(shù)帶來的安全虛擬化需求。”H3C安全產(chǎn)品部部長馬前祖認為。
“Gartner定義的NGFW標準主要強調(diào)了在應(yīng)用層抗攻擊的重要性,從技術(shù)層面上看,我公司認為NGFW需要在應(yīng)用層實現(xiàn)豐富的審查與控制功能,例如實現(xiàn)應(yīng)用層的流量分析與過濾、應(yīng)用層QoS,以及對應(yīng)用層DDoS攻擊的防護,都是下一代防火墻的重要特征。在產(chǎn)品層面,下一代防火墻需要在高可擴展性方面做出更多革新,通過在軟件和硬件層面的模塊化設(shè)計,實現(xiàn)功能、接口數(shù)量、處理能力的即插即用式可全面升級,才能夠使下一代防火墻具有更長的生命周期。因此,具有長遠的技術(shù)前瞻性,架構(gòu)設(shè)計優(yōu)秀的產(chǎn)品才能夠作為下一代防火墻的代表。”瞻博網(wǎng)絡(luò)系統(tǒng)工程師侯志昂表示。
侯志昂認為,NGFW應(yīng)該實現(xiàn)控制、轉(zhuǎn)發(fā)、抗攻擊三方面的硬件模塊化分離設(shè)計。由于下一代防火墻需要在高性能網(wǎng)絡(luò)中承擔應(yīng)用層審查和攻擊抵御的責任,其轉(zhuǎn)發(fā)平面勢必面臨比傳統(tǒng)防火墻更為繁重的壓力。把控制層面獨立出來,在高速安全處理的同時保證管理層面的暢通無阻是提升防火墻的穩(wěn)定性和可靠性的保障。下一代防火墻中,在高端產(chǎn)品線引入交換矩陣是非常重要的理念,只有通過交換矩陣的方式才能突破跨板卡流量性能的瓶頸,真正實現(xiàn)無阻塞轉(zhuǎn)發(fā)。下一代防火墻需要能夠?qū)崿F(xiàn)性能、接口的零配置平滑升級,而決不能是簡單的多臺獨立防火墻堆砌式升級。另外,高可管理性也是下一代防火墻實現(xiàn)的目標。
與具有獨立組網(wǎng)能力的H3C和瞻博網(wǎng)絡(luò)相比,傳統(tǒng)意義上的安全廠商則更關(guān)注防數(shù)據(jù)泄露、立體防護、終端接入控制等功能的集成實現(xiàn)。
“就NGFW的定義來看,我公司覺得還需要補充以下兩方面內(nèi)容:一是在Gartner的定義中對威脅關(guān)注點是由‘外’向‘內(nèi)’(或稱之為攻擊),對內(nèi)部的數(shù)據(jù)安全考慮較少,面對日益嚴重的數(shù)據(jù)泄漏問題,有必要在網(wǎng)絡(luò)邊界處增加對內(nèi)部數(shù)據(jù)安全的解決方案;二是以用戶為訪問控制的策略上,需要考慮終端與邊界防護的立體防護方案,在終端的接入上進行必要的控制。”北京安氏領(lǐng)信科技發(fā)展有限公司研發(fā)總監(jiān)杜永峰表示。
山石網(wǎng)科技術(shù)市場經(jīng)理任磊則認為,NGFW應(yīng)打破傳統(tǒng)的單一功能疊加,實現(xiàn)基于應(yīng)用的綜合控制,其中只拆一次包和并行處理是關(guān)鍵。在識別應(yīng)用的基礎(chǔ)上,應(yīng)能夠?qū)f(xié)議中的行為做深層次的可視、管理和安全控制。“除去安全功能外,在網(wǎng)絡(luò)技術(shù)發(fā)展的今天,應(yīng)用的變化不僅使數(shù)據(jù)流量增加,更高的并發(fā)連接和更多的會話一直困擾著傳統(tǒng)設(shè)備;另外,當把多項功能集中于一臺設(shè)備上的時候,軟硬件的高可靠設(shè)計也是至關(guān)重要的。軟件方面,AA、集群等可以通過軟件算法實現(xiàn)多臺設(shè)備之間的互備;而硬件方面,多控制冗余、多處理冗余、多進程冗余、多電源冗余等設(shè)計可以幫助設(shè)備在根本上提高穩(wěn)定性。”
NGFW在國內(nèi)的市場前景如何?
對于NGFW產(chǎn)品在國內(nèi)的市場前景,受訪廠商普遍看好。雖然不少廠商認為NGFW與UTM現(xiàn)階段存在競爭,但其必將逐漸替代防火墻、IPS、UTM,成為階段性的終結(jié)者。
“短期內(nèi)NGFW在國內(nèi)不會形成獨立的市場,將會與傳統(tǒng)的防火墻、UTM,甚至IPS、上網(wǎng)行為等網(wǎng)關(guān)類產(chǎn)品形成直接競爭。中期內(nèi),由于國內(nèi)各類用戶對新產(chǎn)品的認可度不同,NGFW產(chǎn)品將會先在大型企業(yè)、金融、電信等中高端領(lǐng)域被用戶接受。長期看,由于NGFW代表了未來綜合安全網(wǎng)關(guān)的發(fā)展方向,國內(nèi)其他防火墻、UTM廠商會逐漸改進現(xiàn)有產(chǎn)品線以符合NGFW方向。最終,NGFW會成為綜合網(wǎng)關(guān)市場最核心的產(chǎn)品形態(tài)。”綠盟科技產(chǎn)品管理中心總監(jiān)王偉認為。
“NGFW代表著防火墻產(chǎn)品發(fā)展的一種趨勢,在數(shù)據(jù)處理模式和效率方面有質(zhì)的提升,這種提升已經(jīng)與國內(nèi)網(wǎng)絡(luò)發(fā)展的需求相匹配,理應(yīng)成為未來用戶解決網(wǎng)絡(luò)安全問題的主流選擇。而隨著云計算環(huán)境下安全的需求和虛擬化技術(shù)的不斷普及,在安全方面針對應(yīng)用的高性能深層防護將出現(xiàn)井噴式需求,市場潛力是巨大的。” 山石網(wǎng)科技術(shù)市場經(jīng)理任磊表示。
“盡管目前NGFW在整體安全市場上的占有率不足1%,但我們對其未來的發(fā)展充滿信心,尤其是在中小企業(yè)市場。很多人都會拿UTM來與NGFW進行比較,權(quán)且不論國際市場如何,就國內(nèi)情況來看,UTM大而全、性能低下、沒有整體防御邏輯的詬病較難被國內(nèi)用戶接受,NGFW全新的產(chǎn)品理念在迎合企業(yè)管理需求上能很好地彌補UTM的不足,市場前景看好。”北京安氏領(lǐng)信科技發(fā)展有限公司研發(fā)總監(jiān)杜永峰認為。
北京啟明星辰信息安全技術(shù)有限公司產(chǎn)品管理中心產(chǎn)品部副經(jīng)理任平特別提到了NGFW對上網(wǎng)行為管理市場的沖擊:“NGFW在國內(nèi)最可能首先沖擊上網(wǎng)行為管理市場,最終替代上網(wǎng)行為管理產(chǎn)品,與防火墻、UTM和IPS產(chǎn)品形成新的市場布局,并形成相對長期的競爭態(tài)勢,相互功能也會不斷融合。”任平認為,NGFW的出現(xiàn)是緊跟應(yīng)用安全需求的產(chǎn)物,市場發(fā)展前景相對比較樂觀,但會在經(jīng)歷一個爆發(fā)期后,與各種形態(tài)的網(wǎng)關(guān)產(chǎn)品市場形成比較理性的布局。“NGFW在性能方面的追求對硬件平臺的專業(yè)化提出了更高的要求,國內(nèi)安全廠商對專用硬件平臺的駕馭能力會在一定程度上影響NGFW產(chǎn)品在國內(nèi)市場的發(fā)展。在沒有顛覆性軟硬件技術(shù)革新網(wǎng)關(guān)商用模式的前提下,UTM、NGFW之間還難以形成替代關(guān)系。而兩者差異的存在,使其在部署上反而會存在一定的互補性,滿足用戶的多維度需求。”
網(wǎng)御神州副總裁王剛則認為,NGFW會帶動整個防火墻市場實現(xiàn)突破:“防火墻產(chǎn)品作為邊界安全第一道防線,仍是安全市場的需求熱點,且仍會占據(jù)安全市場的最大份額。NGFW作為防火墻產(chǎn)品中的一員,自然會在這個市場中占有一席之地。短期來看,用戶接受NGFW還需要一個過程;長期來看,NGFW能更好地解決部分現(xiàn)有防火墻難解決的問題,市場增長速度會超過防火墻整體市場增長速度。當國內(nèi)廠商積極引導客戶的需求,一致推出NGFW產(chǎn)品時,會掀起市場的熱潮,不僅NGFW市場需求會擴大,而且整個防火墻市場也會受益、獲得更大的突破。”
計劃何時推出NGFW產(chǎn)品?
在13家受訪廠商中,有3家廠商宣稱已有符合NGFW標準規(guī)范的產(chǎn)品推出,只是沒有按照NGFW的提法進行包裝;有5家明確表示已有NGFW產(chǎn)品研發(fā)計劃,今明兩年內(nèi)將推出產(chǎn)品。總體來說,廠商對NGFW產(chǎn)品的態(tài)度比較積極。
瞻博網(wǎng)絡(luò)認為,其2008年發(fā)布的SRX系列防火墻就是NGFW的代表作。
山石網(wǎng)科也聲稱,從產(chǎn)品功能來看,該公司產(chǎn)品早在2008年就具備了Gartner定義的NGFW特征。
迪普科技產(chǎn)品部副部長孫曉明認為,其現(xiàn)有的FW1000和UTM2000都可以歸入NGFW類中。“其中FW1000應(yīng)用防火墻除具有基本防火墻功能以外,還具有對四層攻擊、拒絕服務(wù)攻擊的抵御能力,可以對P2P、網(wǎng)絡(luò)游戲、炒股軟件等各種應(yīng)用協(xié)議進行識別并進行限流或者阻斷,可以基于自帶的1000萬條的URL庫進行URL過濾等功能。而UTM2000系列產(chǎn)品在FW1000應(yīng)用防火墻產(chǎn)品的基礎(chǔ)上還增加了IPS、防病毒、應(yīng)用控制、關(guān)鍵字過濾、行為審計等功能。無論是FW1000還是UTM2000,都是采用‘一次解析、多次匹配’、單引擎+多庫合一(協(xié)議庫、漏洞庫、病毒庫、URL庫)的模式,使產(chǎn)品在設(shè)計上具有非常好的伸縮性。” 孫曉明表示。
“網(wǎng)御星云早在2010年初就已立項啟動下一代智能感控防火墻的研發(fā),當前正在最后試驗階段,產(chǎn)品功能包括所有NGFW的特性,并融合了網(wǎng)御星云的云防御理念,預計將于2011年下半年全面上市。”網(wǎng)御星云副總裁、CTO畢學堯說。
東軟集團股份有限公司網(wǎng)絡(luò)安全產(chǎn)品營銷中心產(chǎn)品策劃部部長王軍民的態(tài)度則相對比較冷靜:“對新技術(shù)的跟蹤,我公司一直以來都是非常關(guān)注的,但產(chǎn)品化要看市場的成熟度,上市太早沒有銷量,投資的資金壓力會很大,而上市太晚又會失去很多市場機會。如何拿捏好產(chǎn)品上市的尺度,是需要進行周密考慮的。總體上看,未來兩年將是NGFW產(chǎn)品發(fā)展的高速上升期。”
華為賽門鐵克科技有限公司安全市場與產(chǎn)品行銷部部長武鵬表示,該公司早就開始研究下一代網(wǎng)絡(luò)安全產(chǎn)品技術(shù)、并積累了大量的經(jīng)驗,今年全面整合研發(fā)資源、研發(fā)下一代網(wǎng)絡(luò)安全產(chǎn)品。“目前我們的挑戰(zhàn)是如何設(shè)計一個高效率的新的體系架構(gòu)。我們致力于為中國客戶提供下一代的網(wǎng)絡(luò)安全產(chǎn)品,一體化的安全防御、更高的性能、更豐富的策略、更簡便的管理,全系列產(chǎn)品都將向下一代產(chǎn)品演進,這對客戶是個很好的消息。”
京公網(wǎng)安備 11010502049343號