【IT168专稿】自2009年Gartner定义了下一代防火墙概念以来,下一代防火墙便开始雨后春笋般的出现。众多国内外安全厂商都推出了其下一代防火墙产品,甚至一些原本专注于其他领域的厂商也开始涉足下一代防火墙。在国内,下一代防火墙市场可谓异常火热,各家在基于Gartner定义的下一代防火墙概念基础上,结合自身优势推出了各具特色的下一代防火墙产品。
如此复杂繁多的下一代防火墙产品,哪个才是真正实用的下一代防火墙?哪个才能代表未来的发展趋势?对于用户,该如何区分和选择适合自己的下一代防火墙产品?基于此,我们采访了绿盟科技的两位安全专家,请他们共同来探讨这些话题。
(左起:绿盟科技产品推广经理 黄海/绿盟科技产品市场经理 段继平/IT168安全频道编辑 董建伟)
当前网络安全环境探讨
随着云计算、移动、社交网络等新兴IT技术的发展,给企业IT基础架构带来了翻天覆地的变化,同时也为企业IT系统的安全带来全新的挑战,在这种趋势下,企业IT的安全发生了根本性的变化。绿盟科技产品市场经理段继平表示,这些新的趋势给IT带来的第一个变化就是传统网络边界逐渐变得模糊或者消失,这使得企业现有防护策略体系变得千疮百孔,而传统的基于IP地址和端口的用户和应用识别及管理机制可以说已完全失效。
段继平接着谈到,面对这些新的变化,企业需要重新梳理和规划现有安全体系架构,通过建立体系化的安全防护体系,实现对企业IT架构的全面防御,而不能向过去那样一味的堆积产品,或者通过补洞的方式对现在的安全体系进行修修补补。另外企业在选择安全防护方案的时候也要重点考虑能够适应企业全新IT架构的新一代的网络安全解决方案,避免选择一些过时的方案搞重复建设,这对企业来说是不够明智的。
而下一代防火墙是否能够适应企业当前的IT架构变革呢?下一代防火墙能为企业带来哪些好处呢?绿盟科技产品推广经理黄海认为,下一代防火墙不能说完全解决企业目前面临的问题,但确实改善了很多问题。像目前的应用流量泛滥、难以管控的问题,通过下一代防火墙的应用识别和与策略结合的能力就可以得到很好的解决。过去采用IP地址进行管理和日志记录会导致配置和溯源上的困难,下一代防火墙也可以通过用户身份管理的功能来解决,这样可以使IT管理人员不需再关心网络层面的IP地址和端口的问题,仅需要从业务的角度进行安全策略配置并回溯问题就可以。
“下一代防火墙内部引擎的高效实现又保障了设备拥有比过去更优良的性能,让单台设备支持多种安全能力成为了一种可能,从而实现过去需要购买多台设备才能完成的安全组网现在仅需一台设备就能完成。这也从实际上降低了企业对安全设备投资和管理维护成本,把很多企业从安全与投资这个矛盾问题当中解救出来。”黄海这样介绍到。
下一代防火墙发展趋势探讨
1、NGFW应用识别技术
Web2.0时代的到来使得大量的应用进入企业网络,这些应用帮助企业提高了工作效率,但同时也带来了更多的安全风险。因此,针对应用层的安全防护能力成为判断下一代防火墙能力的重要标准。黄海介绍到,目前下一代防火墙的应用识别技术主要有三种:深度包检测、深度流检测和会话关联检测,深度包检测主要对单个报文中的明显应用特征进行匹配,技术实现上比较简单和原始,但应用还是较多的;深度流检测可以对一条流上的多个前后相关联的报文进行检查和匹配,有时候甚至是双向的报文都要检测,这样能更好的应对多变的应用环境;会话关联检测主要是针对一些多会话应用,要做到会话之间的关联识别,保证最终的结果无遗漏。
黄海谈到,“技术上的大同小异使得很多厂家在推广产品宣传应用识别能力的时候会集中在特征库大小这个问题上,现在来看,各个厂家的应用库数量已经从过去的几百全面的过渡到了1000+,但这里其实还是有一些陷阱和误区,就是一些老旧应用特征是不是应该算到这个库里的问题,算进去就可以增加特征库数量甚至达到几千种应用,但对于用户使用来讲意义却不大。”
除了优秀的应用识别能力,下一代防火墙还必须具备对应用威胁的分类和分析能力。由于应用的数量实在太多,而一些用户所不熟悉的应用却又是潜在风险最多的,如何区分、鉴别这些威胁成为一个很重要的问题。黄海介绍到,绿盟科技在下一代防火墙中首度尝试了对所有应用进行多维度分类,将应用按照类型、威胁大小、实现技术和功能特点进行归类,并最终通过一个应用过滤器方便用户筛选出一个更精确的应用集中来制定策略,这样才可以提供更安全的应用环境。
2、NGFW与UTM对比
从NGFW概念提出之初,人们对于NGFW和UTM的对比就没停止过。那么到底两者区别在哪呢?在本次的采访中,黄海分别从两款产品的市场定位和技术实现为我们做了详细的解释。
从市场定位来看UTM和NGFW是完全不同的,UTM定位在提供全面的安全防护能力,会尽可能多的集成各种安全功能,而下一代防火墙定位在基础安全功能的高效集成。当前来看两款产品很多功能出现了重叠,比如IPS、流量管控。这主要是因为随着技术发展,大家对基础安全功能的定义出现了变化,过去的基础安全功能可能也就是包过滤,NAT,VPN,但是随着技术进步各种业务对安全的需要也越来越高,而Gartner在2009年推出了下一代防火墙的分析报告,这个时候人们开始逐渐的意识到当前的一些IPS,应用识别等安全功能也将逐渐的成为基础功能,所以下一代防火墙成为了一种新的选择。
从技术实现上讲UTM为了实现全面的功能集成,各个模块间往往没有很强的关联,可以认为是多个软件模块在一个盒子里面堆的堆叠,这个时候如果是高端的插板式设备,可以通过增加插板来保证业务模块的增加不会影响设备性能,但是如果是中低端设备,就会面临业务模块互相争夺资源的问题,结果是模块越多性能越低。而下一代防火墙在技术实现上则强调多种功能的高效集成,如绿盟科技下一代防火墙就是利用一体化引擎将IPS、应用识别等7层安全功能集成,在引擎内部仅作一次解码就可以将多个功能模块并行处理完成。
黄海谈到,未来随着大家安全意识的逐步提高,基础安全定义逐渐扩展,不排除下一代防火墙替代UTM产品的可能,但这还需要一定的时间,毕竟现在很多UTM产品集成的安全功能太多了,要做到这些安全功能的高效集成一方面需要技术上突破一些瓶颈,另一方面还需要安全厂商在自身能力建设上走的更远。如果现在就快速简单的把很多功能拿过来堆在一起,那下一代防火墙就真的成为了噱头,和UTM设备没什么差别了。
3、云安全服务是福是祸?
随着云计算的深入发展,近两年来出现了大量的云安全服务,如DDoS防护、邮件安全、网站安全等。云安全服务的出现对传统安全硬件市场是否会带来冲击呢?段继平认为,与其说带来冲击,不如说更多是带来改变和机会。对于硬件防火墙市场来说,传统的硬件防火墙虽然过去很长一段时间内确实满足了客户很多安全需求,但是随着近几年安全威胁的发展,单独依靠硬件防火墙已经无法解决用户面临的新问题,如果防火墙自己不求变化,会很大的制约防火墙技术本身和防火墙产品市场的发展,而由于云安全服务的出现,对硬件防火墙来说是一个机遇,因为云安全其实为安全企业和用户之间提供了一个便利的连接管道,它可以使企业的安全能力更加容易的交付给用户,并且可以通过类似于闭环安全响应,实时安全事件监控等方式切切实实帮助他们去解决他们面临的很多问题。
因此,从安全行业的角度来讲,增加了云安全服务的硬件防火墙市场等于是为硬件防火墙打了一针强心剂,同时为防火墙市场重新注入了一种活力。目前对于下一代防火墙来说,主流的产品形态还是以硬件为主,但是相信将来肯定会出现基于云安全服务的下一代防火墙,但不管是硬件还是云安全服务,最终依托基础还是厂商的安全能力,这个是核心,如果没有这个核心,云安全服务就无从谈起。
下一代防火墙应用实践
1、下一代防火墙选型参考
下一代防火墙对于业界来说已经是一个谈论火热的话题,但对于企业来讲还是一个全新的概念,如果企业要选择下一代防火墙,那具体该怎样选型?黄海给出了参考建议:其实从选型和部署的流程上来讲,下一代防火墙与传统设备之间没有太明显的区别。还是要先明确业务,再确定需求,然后选择设备,最终确定方案,只是在各个环节上需要考虑的问题比以前多了。
在明确业务阶段,过去可能只需要了解下网络规划和网络中的业务类型、流量走向和重要服务器的物理分布就可以开始防火墙组网的规划,但下一代防火墙由于IPS和防病毒等安全功能的出现,在明确业务阶段如果加入信息资产评估和风险管理的相关工作就会对整体的方案选择提供较大帮助和参考。
在确定需求阶段,过去主要就是传统防火墙的几个功能点,现在需要考虑的更多,由于当前下一代防火墙产品众多,良莠不齐,对性能的考虑要比之前更谨慎,单纯的考虑传统三层转发性能已经远远不够,还需要重点参考七层安全性能。
在产品选择阶段重点考虑三点,一是产品对需求的满足程度以及各种功能在未来的扩展性;二是厂商的安全实力和服务能力,这里要考虑的是安全研究方面的储备和安全业务的一个长期稳定性,要保证设备的安全功能长期可用,并且好用,否则投资无法保障;三是价格,要在前面性能需求可以很好满足的情况下去进行参考。
在方案制定阶段,很多厂商都能够提供各种建议并进行实施,而且现在的下一代防火墙在各种组网方案的适应性都要比以前要好,所以这方面用户不需要太过操心。
2、下一代防火墙运维实践
根据业界调研显示,由于下一代防火墙功能的增多,其运维的难度并没有向一些下一代防火墙厂商所说的简化了运维,反而是增加了运维的复杂性。分析原因,黄海解释到,造成这个问题的原因主要有两点:
第一是我国当前的网络发展状况与国际相比还处于稍显落后的位置,很多和下一代防火墙配套的设施和技术发展缓慢,这就让很多下一代防火墙的新理念难以实行,反而成了麻烦事。比如用户识别的概念,这是下一代防火墙为了简化运维,改进溯源而提供的一个重要功能。但现实情况是,有些用户在采购防火墙设备之前根本没有统一的用户认证服务器,即使在采购了下一代防火墙之后也不考虑在下一代防火墙上使用本地认证。原因一方面可能是用户信息较多不愿意去做,另一方面可能是还没认识到用户识别所能带来的好处。最终的结果就是客户用了下一代防火墙之后没有改善运维复杂度,反而还要在所有策略选项里多用户这么一个没用的选项。但随着时间的推移,我们国家的网络管理运维理念会逐渐的升级,那这个问题就能迎刃而解,并不是最主要的问题。
二是当前一些厂家在下一代防火墙的定义和定位上把握不准,产品本身又走了UTM的老路,很多厂商在下一代防火墙产品上集成了大量功能,有些甚至支持了漏洞扫描等功能。从表面看,是下一代防火墙对UTM进行了完全替代,但从内核上看,产品内部各个功能模块之间还是孤立的,这样的产品实际上就是个UTM。而真正的下一代防火墙产品在有了一体化引擎这样一个好的功能实现载体之后,在它上面可以开发出一体化策略配置功能,这个一体化策略配置功能可以让管理员在一个界面就配置完所有的安全策略,而且便于后期查看。