网络安全 频道

下一代防火墙面面观:NGFW未来趋势探讨

  第三方独立测试、分析、咨询机构格物资讯的创始人韩勖(网络ID:学生小韩):“面对错综复杂的互联网应用发展趋势,NGFW必须更智能、更精准,才能让用户更省心、更安全。”

韩勖
▲第三方独立测试、分析、咨询机构格物资讯的创始人韩勖

  我坦白现在已经看不懂NGFW了,并且最近一直为此感到困惑。正好有机会向PaloAlto Networks的毛总请教了两个问题:1、在产品层面UTM和NGFW到底有啥不同?2、贵司如何用简单易懂的方式告诉用户NGFW的作用?

  毛总是这样回答的:

  NGFW和UTM所面对的问题是一样的,但体系结构使它们在有效性、可用性和可管理性上的表现大不一样。UTM要赶上,必须做很大改进来满足Gartner对NGFW的要求。NGFW在功能细粒度和深度上的要求是明显高于UTM产品的。举个例子,用户使用Google Service,入口是Gmail,那UTM通常只识别成WebMail-Gmail,后续的安全防护手段也随之确定。但在实际应用中,同一个连接承载的业务是不唯一的,也许Gmail转变成Gtalk,然后又变成共享应用,需要对应到不同的安全防护手段。所以现实要求应用识别不能基于一个点,必须时时刻刻都在进行,否则会在管理和安全防护方面留下漏洞。而这,只有NGFW才能做到。

  我个人比较认同这个解读。面对错综复杂的互联网应用发展趋势,NGFW必须更智能、更精准,才能让用户更省心、更安全。不过显然不是所有号称NGFW的产品都能做到这一点,有的甚至没有满足最基本的定义,让用户对NGFW印象不佳。毛总提到的这个应用场景很经典,也许用户在评估NGFW的时候可以借鉴。

  PaloAlto Networks对用户的宣导方式很简单,就是从业务而非产品本身入手。举个例子,现在邮件安全的解决方案比较成熟,可以基于信誉,可以基于算法判别,也可以做病毒扫描等等,是多层立体的安全防护体系。PaloAlto Networks的NGFW产品做了拓展,能为用户提供全业务的立体防护,可以让用户在Web浏览、即时通信、文件传输等主流应用中享受到与邮件一样的全面安全防护。因为涉及到的业务场景多种多样,不同的NGFW产品在细节上会体现出差异。

  这个角度很有新意,从业务入手可以让用户少关注技术实现,多关注实用效果,把选型从攀比规格的怪圈中解放出来。以前总觉得NGFW比UTM多了应用识别和控制,对应到产品形态上就是加入应用防火墙或流控功能,却没想到DPI对安全业务的整体支撑。

  本页内容引用自:http://www.gawainresearch.com/blog/293.html

1
相关文章