下一代防火墙发展趋势探讨
1、NGFW应用识别技术
Web2.0时代的到来使得大量的应用进入企业网络,这些应用帮助企业提高了工作效率,但同时也带来了更多的安全风险。因此,针对应用层的安全防护能力成为判断下一代防火墙能力的重要标准。黄海介绍到,目前下一代防火墙的应用识别技术主要有三种:深度包检测、深度流检测和会话关联检测,深度包检测主要对单个报文中的明显应用特征进行匹配,技术实现上比较简单和原始,但应用还是较多的;深度流检测可以对一条流上的多个前后相关联的报文进行检查和匹配,有时候甚至是双向的报文都要检测,这样能更好的应对多变的应用环境;会话关联检测主要是针对一些多会话应用,要做到会话之间的关联识别,保证最终的结果无遗漏。
黄海谈到,“技术上的大同小异使得很多厂家在推广产品宣传应用识别能力的时候会集中在特征库大小这个问题上,现在来看,各个厂家的应用库数量已经从过去的几百全面的过渡到了1000+,但这里其实还是有一些陷阱和误区,就是一些老旧应用特征是不是应该算到这个库里的问题,算进去就可以增加特征库数量甚至达到几千种应用,但对于用户使用来讲意义却不大。”
除了优秀的应用识别能力,下一代防火墙还必须具备对应用威胁的分类和分析能力。由于应用的数量实在太多,而一些用户所不熟悉的应用却又是潜在风险最多的,如何区分、鉴别这些威胁成为一个很重要的问题。黄海介绍到,绿盟科技在下一代防火墙中首度尝试了对所有应用进行多维度分类,将应用按照类型、威胁大小、实现技术和功能特点进行归类,并最终通过一个应用过滤器方便用户筛选出一个更精确的应用集中来制定策略,这样才可以提供更安全的应用环境。
2、NGFW与UTM对比
从NGFW概念提出之初,人们对于NGFW和UTM的对比就没停止过。那么到底两者区别在哪呢?在本次的采访中,黄海分别从两款产品的市场定位和技术实现为我们做了详细的解释。
从市场定位来看UTM和NGFW是完全不同的,UTM定位在提供全面的安全防护能力,会尽可能多的集成各种安全功能,而下一代防火墙定位在基础安全功能的高效集成。当前来看两款产品很多功能出现了重叠,比如IPS、流量管控。这主要是因为随着技术发展,大家对基础安全功能的定义出现了变化,过去的基础安全功能可能也就是包过滤,NAT,VPN,但是随着技术进步各种业务对安全的需要也越来越高,而Gartner在2009年推出了下一代防火墙的分析报告,这个时候人们开始逐渐的意识到当前的一些IPS,应用识别等安全功能也将逐渐的成为基础功能,所以下一代防火墙成为了一种新的选择。
从技术实现上讲UTM为了实现全面的功能集成,各个模块间往往没有很强的关联,可以认为是多个软件模块在一个盒子里面堆的堆叠,这个时候如果是高端的插板式设备,可以通过增加插板来保证业务模块的增加不会影响设备性能,但是如果是中低端设备,就会面临业务模块互相争夺资源的问题,结果是模块越多性能越低。而下一代防火墙在技术实现上则强调多种功能的高效集成,如绿盟科技下一代防火墙就是利用一体化引擎将IPS、应用识别等7层安全功能集成,在引擎内部仅作一次解码就可以将多个功能模块并行处理完成。
黄海谈到,未来随着大家安全意识的逐步提高,基础安全定义逐渐扩展,不排除下一代防火墙替代UTM产品的可能,但这还需要一定的时间,毕竟现在很多UTM产品集成的安全功能太多了,要做到这些安全功能的高效集成一方面需要技术上突破一些瓶颈,另一方面还需要安全厂商在自身能力建设上走的更远。如果现在就快速简单的把很多功能拿过来堆在一起,那下一代防火墙就真的成为了噱头,和UTM设备没什么差别了。
3、云安全服务是福是祸?
随着云计算的深入发展,近两年来出现了大量的云安全服务,如DDoS防护、邮件安全、网站安全等。云安全服务的出现对传统安全硬件市场是否会带来冲击呢?段继平认为,与其说带来冲击,不如说更多是带来改变和机会。对于硬件防火墙市场来说,传统的硬件防火墙虽然过去很长一段时间内确实满足了客户很多安全需求,但是随着近几年安全威胁的发展,单独依靠硬件防火墙已经无法解决用户面临的新问题,如果防火墙自己不求变化,会很大的制约防火墙技术本身和防火墙产品市场的发展,而由于云安全服务的出现,对硬件防火墙来说是一个机遇,因为云安全其实为安全企业和用户之间提供了一个便利的连接管道,它可以使企业的安全能力更加容易的交付给用户,并且可以通过类似于闭环安全响应,实时安全事件监控等方式切切实实帮助他们去解决他们面临的很多问题。
因此,从安全行业的角度来讲,增加了云安全服务的硬件防火墙市场等于是为硬件防火墙打了一针强心剂,同时为防火墙市场重新注入了一种活力。目前对于下一代防火墙来说,主流的产品形态还是以硬件为主,但是相信将来肯定会出现基于云安全服务的下一代防火墙,但不管是硬件还是云安全服务,最终依托基础还是厂商的安全能力,这个是核心,如果没有这个核心,云安全服务就无从谈起。
