何谓NGFW?
什么是下一代防火墙?这一代、上一代防火墙指的又是什么?在讨论NGFW之前,我们必须先正确认识“防火墙”这个概念。
在经历了多次技术变革后,防火墙的概念正在变得模糊,在不同语境中有着不同的含义。在描述具体产品时,防火墙大部分指代的是作用在 2~4 层,采用状态检测机制、集成 IPSec VPN、支持桥/路由/NAT工作模式的访问控制设备;而宏观意义上的防火墙,实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备(Gateway)。国内的厂商、用户习惯将前者称为“传统防火墙”,国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念,其包含了传统防火墙、IPS、UTM 及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加,广义的防火墙必然将集成更多的安全特性。
得益于许多厂商市场部门行之有效的推广工作,我们在市场上可以看到不少针对 NGFW 概念的解释(即便其中可能存在着完全不同的理解)。而业内普遍认同的关于NGFW 的定义,来自市场分析咨询机构 Gartner 于 2009 年发布的一份名为《Defining the Next-Generation Firewall》的文章。Gartner注意到,在应用模式、业务流程和安全威胁不断变化的今天,传统防火墙已经无法满足用户的需求。即便在此基础上再加入 IPS,也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下,Gartner 定义了“NGFW”这个术语来形容防火墙的必然发展阶段,以应对攻击行为和业务流程使用 IT 方式的变化。
在 Gartner 看 来,NGFW应该是一个线速(wire-speed)网络安全处理平台,定位于企业网络防火墙(Enterprise Network Firewall,Firewall 指宏观意义上的防火墙)市场。这里的企业指的是大型企业,国内很大一部分都归为行业用户范畴。NGFW 在功能上至少应当具备以下几个属性:
传统防火墙:NGFW 必须拥有传统防火墙所提供的所有功能,如基于连接状态的访问控制、NAT、VPN 等。虽然我们总是在说传统防火墙已经不能满足需求,但它仍然是一种无可替代的基础性访问控制手段。
支持与防火墙自动联动的集成化IPS:在同一硬件内集成 IPS 功能是必须的,但这不是 Gartner 想表达的重点。该机构认为,NGFW内置的防火墙与 IPS 之间应该具有联动的功能,例如 IPS 检测到某个IP 地址不断地发送恶意流量,可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是由 NGFW 自动完成的,而不再需要管理员介入。比起前些年流行的传统防火墙 /IDS间的联动机制,这次升级并不是一个特别高深的技术进步,但我们必须承认它能让管理和安全业务处理变得更简单、高效。
应用识别、控制与可视化:NGFW 必须具有以与传统的基于端口和 IP 协议不同的方式进行应用识别的能力,并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性,但 P2P 下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。
智能化联动:获取来自“防火墙外面”的信息,做出更合理的访问控制,例如从域控制器上获取用户身份信息,将权限与访问控制策略联系起来,或是来自 URL Filter判定的恶意地址的流量直接由防火墙去阻挡,而不再浪费 IPS 的资源去判定。我们理解这个“外面”也可以是 NGFW 本体内的其他安全业务,它们应该像之前提到的 IPS那样与防火墙形成紧密的耦合关系,实现自动联动的效果(如思科的“云火墙”解决方案)。
除此之外,文档中也提到了NGFW 在部署、升级方面的一些规定,但并未做更多的强制性约束。正如文章作者、Gartner 研究副总裁Greg Young 在接受本报记者采访时强调的那样,集成传统防火墙、可与之联动的 IPS、应用管控/可视化和智能化联动就是NGFW要具备的四大基本要素。
发现用户需求及产品形态变化的并不只 Gartner 一家,国际著名第三方安全产品评测机构 NSSLabs也在今年正式开始了 NGFW 产品的公开测试工作。从官方发布的信息来看,该机构基本认同 Gartner 对 NGFW的定义,只是在智能化联动方面并未做过多的强制性要求,但突出了对用户/用户组的控制能力。从测试的角度出发,NSSLabs的工程师对产品配置的复杂度和易用性都有很深刻的了解,他们的观点可以代表许多用户。此外,该机构还认为企业并没有准备在数据中心中用任何方案替换独立的 IPS 设备,所以 NGFW 集成的 IPS 模块应该提供对客户端保护(主要在特征库方面体现)在内的完整方案,并且将针对于此的配置归纳到预定义策略模版中去。
NGFW与UTM:竞合或互补,但非竞争
需要注意的是,不同机构对NGFW 做出的定义都是最小化的功能集合。站在厂商的角度,势必要根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的 NGFW 产品在功能上可能存在差异,同时更像一个大而全的集中化解决方案,给用户造成了很混乱的印象。我们在采访中听到用户最多的也是最经典的反问就是:NGFW 不就是一个加强型的UTM 么?
实际上,这里提到的 NGFW和 UTM 都是对厂商包装后的产品的认知,已经脱离了最原始的定义。市场分析咨询机构 IDC 曾经这样定义 UTM:这是一类集成了常用安全功能的设备,必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能,并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开,但是这些功能必须集成在一个硬件中。IDC 对UTM 的定义无疑是非常聪明的,它简单明了,让人易于接受并容易做出判断。“所有功能不一定要打开”这句话,除了说明安全业务要由用户需求决定外,也考虑了早年间硬件平台的实际处理能力。而安全业务的集成化,也确实符合当时的市场需求。有了这样一个宽泛的准入条件,UTM 的概念一经推出便受到厂商与用户的一致认同,市场份额迅速扩大,成长为目前安全市场上的主流产品。
与IDC的宽松态度不同,Gartner在其市场分析报告中对 UTM产品形态则有着更为细致的描述。该机构在调研后认为,除了传统防火墙与 IPS,UTM 至少还应该具有VPN、URL 过滤和内容过滤的能力,并且将网关防病毒的要求扩大至反恶意软件(包括病毒、木马、间谍软件等)范畴。另一方面,Gartner 对 UTM 的用户群体有着自己的看法,认为该产品主要面对 1000 人以下的中小企业或分支机构。这类用户通常对性能没有太高要求,看中的是产品的易用性和集成安全业务乃至网络特性(如无线规格、无线管理、广域网加速)的丰富度。实际上,Gartner之前一直使用 SMB 多功能防火墙(SMB Multifunction Firewalls,这里的 Firewall 也指宏观意义上的防火墙)来描述这类产品,只是在2010 年因为 UTM 这个名称被市场普遍接受,才在分析报告中修改了称谓。该机构认为它与 NGFW 集成安全功能的差异主要体现在时延敏感性上——作为边缘网关,NGFW 必须满足时延敏感型应用的需求,与之有悖的功能不适合出现在 NGFW 上。而从 Gartner 针对其他产品市场的分析报告中可以推断,安全 Web 网关(Secure Web Gateway)似乎是该机构认为的NGFW 联合部署的理想对象,此外独立的 WAF、反垃圾邮件产品也应被考虑。
通过上面的分析,我们可以得出明确的结论:至少在 Gartner 看来,UTM 和 NGFW 只是针对不同级别用户的需求,对宏观意义上的防火墙的功能进行了更有针对性的归纳总结,是互为补充的关系。无论从产品与技术发展角度还是市场角度看,它们与 IDC 定义的UTM 一样,都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述,其出发点就是用户需求变化产生的牵引力。