近日,随着网康WEB应用防火墙(WAF)的发布,意外地在安全圈内引起了热烈探讨。探讨的主题就是——下一代防火墙和WAF究竟应该做成一款产品,还是两款产品。
之所以会引起安全圈子的讨论,主要原因就在于网康科技之前已推出了下一代防火墙,现在又推出了一款WAF产品,那么很显然,网康科技是属于支持这两款产品应该独立部署的。但是在国内发布的另一款下一代防火墙产品中,又把WAF的功能融入了其中,这就使得广大用户乃至安全业界都不得不思考一个问题,这两款产品究竟是该合还是该分?
有关安全专家认为,从技术的角度来看,这个问题并不复杂。
首先从防护对象来说,NGFW的防护对象是网络中的外部应用,例如FACEBOOK、P2P下载等。而WAF的防护对象是网络内部的WEB服务器。也就是说这两款产品的保护对象、防护的威胁种类、安全需求都是不一样的。
而从产品设计的角度看,针对不同问题最好采用不同的产品来独立完成,强行放在一起,反而会使得两方面都做不好。其次,从部署位置来说,NGFW一般部署在整个网络的网关位置,而WAF部署在WEB服务器之前,二者的性能压力完全不一样。
以一个高校网络为例,在总体1个G的带宽中,web访问的流量不超过20M。假如将二者做成一款产品的话,就只能把WAF也部署在网关,这就会带来两种后果:要么是WAF处理了太多非WEB访问流量,导致压力太大而处理不了;要么就是用户支付了不必要的成本,使得本来只需要处理几十兆流量的WAF必须处理1个G的流量。所以,从这个角度看,这两款产品也不适合做在一起。
另外从采用的技术上看,下一代防火墙采用的是包转发技术,而WAF采用的是代理技术。这是两种完全不同的技术手段,如果通过代理技术来做NGFW,将会极大地限制NGFW的吞吐能力。而如果采用包转发技术来做WAF,则会严重影响waf的安全防护能力。所以,从技术上看这两者也不适合放在一起。
那么那么除了网康科技之外,业界厂商的各个产品情况又是如何呢?
下一代防火墙的开山鼻祖PALOALTO是全球先进台下一代防火墙的创造者。在PA的产品实现中,我们并没有发现WAF的设计。除了PA之外,Sonicwall、Checkpoint、梭子鱼等众多国外下一代防火墙厂商也都没有将WAF放在他们的NGFW产品中。而在国内,今年堪称下一代防火墙的爆发之年,先后有绿盟、启明、山石等一大批安全厂商发布了下一代防火墙。但无一例外,他们都没有将WAF放在他们的产品之中。
既然众多厂商都没有将NGFW与WAF合为一体,为何市场上仍会存在着WAF与NGFW的分合之争呢?关于这一点,下一代防火墙的定义者Gartner在最新发布的企业防火墙魔力象限报告(Magic Quadrant for Enterprise Network Firewalls)中就正式指出,导致这种混乱现象的原因主要有两个:
一个是在技术术语上,不同产品之间确实有重合之处(Overlapping terminology);另一个方面则是由于厂商混淆视听的营销宣传( confusing marketing)所致。
Gartner同时强调,下一代防火墙有其独特的产品价值,与WA等产品有着明显的区别,企业在选型时需要着重留意。