【IT168选型指南】自2009年Gartner定义了下一代防火墙(NGFW)概念,这一新兴产品就开始以井喷的态势发展,时至今日,下一代防火墙市场格局竞争已经白热化,众多厂商都在自己的下一代防火墙产品中充分体现自身的亮点和差异化优势,以吸引用户的眼球。而作为用户而言,如何从众多的下一代防火墙产品中选出最适合企业自身的产品呢?下一代防火墙与UTM之争孰是孰非?接下来,我们将主要和大家探讨这些问题。
在本篇文章中,我们将从以下几个方面来分步介绍:首先是下一代防火墙背景的简单交待,其次是市场趋势分析,接下来是目前主流下一代防火墙产品盘点,最后我们还会给出一些专家选型建议。希望能通过这样一篇深入、立体的选型指南文章,对您的NGFW选型有所帮助。
一、 下一代防火墙背景
随着企业业务形态的变化以及IT架构的升级,进而导致企业面临的安全威胁也不断升级,各种针对关键业务应用的黑客攻击、核心价值数据泄密、以及有针对性攻击层出不穷,传统防火墙已无力应对这些新兴的安全威胁。因此,面对这些问题,企业防火墙必须升级至Gartner称之的“下一代防火墙”。
由于企业目前更多的采用基于服务的架构与Web2.0的普及,更多的数据通讯都只是通过少数几个端口及采用有限的几个协议进行,这也就意味着基于端口/协议类安全策略的关联性与效率会越来越低。另外,深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏洞部署补丁的软件进行检查,但却不能有效的识别与阻止应用程序的滥用,更不用说对于应用程序中的具体特性的保护了。因此,Gartner提出了“下一代防火墙”概念来解决这些新的安全威胁。
总结来说,Gartner认为下一代防火墙至少应该具备四个方面的能力,首先必须具备标准防火墙功能(如网络地址转换、状态检测、VPN等);其次还需具有应用识别能力,这也是下一代防火墙的核心本质特性;另外下一代防火墙要能与IPS做深度的集成,而不仅是简单的功能叠加;最后下一代防火墙还需拥有智能联动与分析能力。
二、 下一代防火墙市场趋势分析
Gartner认为正是不断变化的威胁环境,以及不断变化的业务和IT流程将促使CSO们在他们的下一个防火墙/IPS更新周期时寻找下一代防火墙。并预计,到2014年底这个比例将增加到占安装量的35%,同时60%新购买的防火墙将是下一代防火墙。
回看下一代防火墙在国内的发展趋势,梭子鱼技术总监贾玉彬表示,下一代防火墙的市场前景很好,伴随互联网的飞速发展和人们对信息产品应用的改变,下一代防火墙的需求与应用不断增加。近年来,国内市场客户安全意识不断提高,企业对于安全问题也越来越重视,因此在企业领域下一代防火墙的需求也开始呈上升趋势。
作为刚刚在今年完成收购Stonesoft 下一代防火墙的迈克菲,对于下一代防火墙的发展又有怎样的观点呢?现任迈克菲Stonesoft 高级售前顾问的刘权峰认为,目前企业对下一代防火墙产品的需求将会爆发式增长,下一代防火墙将是未来安全市场的宠儿。而目前下一代防火墙市场也正面临着巨大的变革,一方面推出下一代防火墙产品的厂商越来越多,鱼目混杂需要重新进行洗牌,另一方面对于下一代安全每个厂商的定义不同,安全厂商和用户都需要清楚的认识到什么产品技术才是真正代表下一代安全。
深信服安全产品部王帆也认为,下一代防火墙目前市场发展良好,从过去教育市场、引导市场到现在基本已达到用户自主选择的阶段了。可以肯定的是下一代防火墙市场在未来几年内一定会快速发展起来,会替换现有的传统防火墙、IPS、UTM等设备。
华为企业网络产品线安全产品总经理左文树表达了全新的观点,他认为下一代防火墙上市至今已经五年,在这期间云计算、大数据、社交网络、BYOD相继出现,下一代防火墙开始面临更多全新的挑战。这些挑战来自网络管控、运维管理、未知威胁防御和性能等方面。
三、 下一代防火墙与UTM之争
相信有很大一部分企业用户在选型时都会纠结于下一代防火墙和UTM到底选哪个好,其实,从下一代防火墙概念提出之初,人们对于下一代防火墙和UTM的对比就没停止过。在本节介绍中,我们将从产品架构和市场定位来做对比,给您以参考。但还是想在介绍之初先把我们的观点给出来:“无论选择下一代防火墙还是UTM,适合才是最好的。企业怎样才能知道是适合的呢?做好调研和规划才是关键,选型是第二步的事情了!”
言归正传,从架构来看,下一代防火墙采用了集成化、单引擎,将应用层安全检测模块统一到一个检测引擎,各个功能模块可以形成联动。而UTM也提供了集成多种安全功能于一体的单一设备,但只是把多种安全引擎叠加在了一起,这会使数据流在每个安全引擎分别执行解码、状态复原等操作,因此可能会导致设备的性能损耗。
而在这里我们不得不提一点:目前市场上虽然有很多下一代防火墙产品,他们也实现了Gartner定义的下一代防火墙一些基本功能,甚至还在这一基础上根据厂商自身技术优势增加了一些新的功能和应用,但这并不能说明什么。反之一些专业做UTM的厂商,基于他们在UTM领域长期积累下来的专业优势,他们推出的UTM产品性能并不逊色,甚至可能会与一些所谓的下一代防火墙性能相同或更高。
另外一点,从市场定位来看UTM和下一代防火墙是完全不同的,UTM定位在提供全面的安全防护能力,会尽可能多的集成各种安全功能,而下一代防火墙定位在基础安全功能的高效集成。当前来看两款产品很多功能出现了重叠,比如IPS、流量管控。这主要是因为随着技术发展,大家对基础安全功能的定义出现了变化,过去的基础安全功能可能也就是包过滤,NAT,VPN,但是随着技术进步各种业务对安全的需要也越来越高,这个时候人们开始逐渐的意识到当前的一些IPS,应用识别等安全功能也将逐渐的成为基础功能,所以下一代防火墙成为了一种新的选择。
四、 主流下一代防火墙产品盘点
在本节中,我们将给出一些目前业界主流的下一代防火墙推荐,包括国内国外厂商。在本节中,您可以先对下一代防火墙产品有一个大概的了解,在接下来的第五部分(选型指南)我们将为您详细介绍下一代防火墙的选型经验。
1、Palo Alto下一代防火墙
作为下一代防火墙的创新者,Palo Alto是Gartner魔力象限企业防火墙市场的领导者,这一点是毋庸置疑的。Palo Alto下一代防火墙的基础是一种单通道平行处理架构,它采用一种独特的软体和硬体整合方法,可以简化管理程序、使处理流程化且最大程度地提高性能。对于给定的一组通信流,单通道软体可以同时执行政策查询、应用程式识别与解码、Active Directory 使用者对映,与内容扫描(病毒、间谍软体及IPS)。此软体运行在一个平行处理硬体平台之上,平台使用特定功能的处理器执行联网、安全、威胁预防及管理等方面的任务,从而获得最大执行效能,并将延迟时间减至最少。
产品官网:https://paloaltonetworks.com/products.html
2、Check Point下一代防火墙
Check Point下一代防火墙通过增加IPS及应用控制保护而扩展了防火墙的能力,不仅仅只是阻止非授权访问。Check Point下一代防火墙可以提供高达110Gbps的吞吐量。并在NSS Labs的下一代防火墙测试中获得了最高分。Check Point所有产品都基于统一的软件刀片架构,让企业能够抵御快速发展的威胁,并通过一个单一的统一控制台执行安全管理。
产品官网:http://www.checkpoint.com.cn/products/firewall-next-gen/index.html
3、梭子鱼下一代防火墙
梭子鱼拥有遍及全球的安全样本分析实验室,7*24小时不断收集,分析和更新各类安全问题,梭子鱼下一代防火墙也不例外。梭子鱼于2009年底收购了欧洲著名的防火墙厂商Phion,Phion成立于2000年,是全球最早提出下一代防火墙概念的厂商之一,在全球尤其是欧洲拥有众多的大型客户。梭子鱼收购Phion后保留了整个Phion团队,并在下一代防火墙产品中注入了更多更好的梭子鱼应用和内容安全领域的安全技术和经验。同时,梭子鱼下一代防火墙更注重用户体验,倡导满足用户的不同定制需求,注重支持新应用程序与工具等,每次的产品研发与创新,都是以不断更新的应用需求和客户需求为出发点。
产品官网:http://www.barracuda.com.cn/products/ngfirewall/
4、华为下一代防火墙
华为USG6000下一代防火墙是业界首个识别6000+应用的下一代防火墙,可以提供最精准的访问控制、最全面的威胁防护、最简单的配置管理、最高速的性能体验。提供6维环境感知及管控能力,以“ACTUAL(Application,Content,Time,User,Attack,Location)”全局环境感知为核心,将网络环境转换为具体的"应用+内容+时间+用户+威胁+位置"的应用层信息,可实现对移动办公、云计算等新环境下网络边界的感知,提供基于应用层的精确访问控制和动态威胁防御。
产品官网:
http://enterprise.huawei.com/cn/products/network/network-security/firewall-and-utm/hw-204792.htm
5、绿盟科技下一代防火墙
绿盟科技下一代防火墙是构筑在最新一代64位多核硬件平台基础之上,采用最新的应用层安全防护理念,结合多核高速数据包并发处理技术,研发而成的企业级下一代边界安全产品。其核心理念是在用户网络边界建立以应用为核心的网络安全策略,通过智能化识别、精细化控制、一体化扫描等逐层递进方式实现用户/应用行为的可视、可控、合规和安全,最终保障网络应用被安全高效的使用。
产品官网:http://www.nsfocus.com/1_solution/1_2_15.html
6、深信服下一代防火墙
作为国内最早发布下一代防火墙产品的厂商,深信服从2000年左右的时间开始构建攻防团队、研发团队并开始研发下一代防火墙。深信服下一代防火墙是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
产品官网:http://www.sangfor.com.cn/product/ngaf/outline.html
7、Fortinet下一代防火墙
作为多功能安全网关设备的鼻祖,Fortinet公司早在十几年前就认识到传统防火墙的局限性(不能识别应用,不能保护内容层安全等),因此在公司成立之初便致力于开发超越传统防火墙的下一代安全产品,将大量应用层安全技术融入防火墙中,在NGFW概念诞生之前,FortiGate安全网关设备实际已经完全覆盖满足NGFW的定义。目前,FortiGate在NGFW领域,无论从技术先进性还是市场认可度方面都具有极强的竞争力。例如,在2013年度NSS NGFW SVM FortiGate名列前茅,位于推荐产品象限。
产品官网:http://www.fortinet.com.cn/solutions/next_generation_firewall.html
8、山石网科下一代防火墙
山石网科提出了下一代智能防火墙的理念,通过对网络中的行为、应用等进行加权算出一个健康指数,并对网络中存在的问题进行分析然后提出解决方案。这种无处不在的分析应该是下一代智能防火墙智能的核心。山石网科认为下一代智能防火墙应该以主动检测和提前预警为主要特点,同时在对网络、行为以及应用进行大量分析的基础上动态的修正管理策略以保证整个系统的畅通。Hillstone T5060下一代智能防火墙(iNGFW)采用智能多维处理架构iMVP, 基于创新的全网健康指数NHI (Network Health Index)智能的为用户预知安全威胁,有效降低企业安全风险。
产品官网:http://www.hillstonenet.com.cn/product/iNGFW/
9、天融信下一代防火墙
天融信将多年的安全产品研发经验以及对用户需求深刻的理解融入到下一代防火墙设计理念中,使天融信下一代防火墙产品具有“基于用户防护”、“面向应用安全”、“高效转发平台”、“多层级冗余架构”、“全方位可视化”及“安全技术融合”六大产品特性。通过借助Intel数据层高速处理技术,以及基于自主研发的NGTOS系统架构,突破了现有产品的性能瓶颈,整体性能达到320G。
产品官网:http://www.topsec.com.cn/ztlm/ngfw/
10、网康科技下一代防火墙
网康科技于2012年10月正式推出下一代防火墙产品。对于下一代防火墙的研发网康完全以用户需求为导向,在产品规划过程各种融入了最新的安全防御理念,借住了云计算、大数据等新技术的优势,尽管投放市场的时间并不算长,但已经得到了来自用户的充分肯定。今年年底,网康下一代防火墙即将发布3.0版本,这是该产品推出以来的第三个大版本。
产品官网:http://www.netentsec.com/productseries/ngfw.html
11、思科下一代防火墙
思科ASA5500系列自适应安全设备是思科推出的下一代防火墙安全解决方案。它是提供了新一代的安全性和VPN服务的模块化平台。无论是入门级、中型、大型企业还是数据中心,都可以根据特定需求定购不同版本,做到逐步购买、按需部署、灵活方便地实现安全功能的扩展。
产品官网:http://www.cisco.com/web/CN/products/buy/5500.html?COUNTRY_SITE=CN&REFERRING_SITE=IT168&CAMPAIGN=Cisco_FY14_Q1_DG&CREATIVE=Banner&POSITION=IT168_SecurityHP_FocusPic_5500_B&KeyCode=000258786
五、 下一代防火墙产品选型
介绍了如此多的下一代防火墙产品,相信大家对于选择适合企业自身的产品还是不能明确,那么接下来我们专门采访了多位业内专家,来听听他们对于选型的建议吧!
Fortinet中国首席技术顾问谭杰介绍到,企业下一代防火墙选型时应当考虑到这些方面,一款优秀的下一代防火墙产品应当具备以下能力,首先是强劲的网络转发性能,下一代防火墙作为网络安全的核心,如果网络转发能力不足,将会成为网络性能的瓶颈,即使安全功能再强大,也不具备可用性;二是完善的安全功能,下一代防火墙需要覆盖网络安全的方方面面,才能消除安全短板;三是基于云的安全技术,能够提供最快速的响应机制,并减轻下一代防火墙设备端的性能压力,适合更大规模网络的性能需求;第四点与网络基础架构的结合,来自内部的安全威胁的危害可能甚于外部威胁,所以下一代防火墙不能只保护网络边界,还应该溶入整个网络,为网络提供全方位立体安全防御。
谭杰表示,当前市场上的概念之争较多(包括NGFW、UTM、智能防火墙……),令用户无所适从。因此建议企业用户在选型时不要陷入概念争论的误区,而将注意力集中于考察具体产品的功能、性能,厂商的技术和服务实力,下一代防火墙的选型尤其到考虑到上面介绍到的四点下一代防火墙的特质,从而选择一个真正优秀的安全解决方案。
迈克菲Stonesoft 高级售前顾问的刘权峰认为,下一代防火墙选型需要结合稳定、安全、可管理三方面来进行选型。稳定性方面,对于企业用户来说设备的稳定是第一位需要考虑的,选型时要充分考虑产品自身架构的稳定。例如是否采用专用的操作系统,是否通过国际认可的 EAL4+ 认证(国际上认可的最高等级的稳定安全方面的认证)等方面;安全性方面,下一代防火墙要能够实现主动地防御,这需要选型时关注下一代防火墙的深度检测技术的能力,这方面可以参考第三方机构的报告;可管理方面,下一代防火墙需具备下一代集中管理平台,集中管理平台可以作为安全信息和事件管理平台(SIEM),管理平台要能够实现对下一代防火墙智能监控和日志的关联分析。
梭子鱼技术总监贾玉彬谈到,如今的企业用户采购已趋于理性,通常都会综合考虑性能、功能和价格等因素进行购买,从自身需求出发,购买真正适合自身的定制防火墙,而不是盲目的追求某些参数值。而在这其中,要避免两个选型误区,一是太过于相信实验数据,许多参数都是实验数据,是在一个相对合理的、干扰因素比较少的情况下得出的,选型时需要结合实际使用环境;二是过于注重多功能的集成,而忽略性能的实用性,信息化技术越来越复杂,竞争也越来越激烈,厂商为了提高市场竞争力,往往会集成更多的功能以增加卖点,对于这些我们要冷静看待。
绿盟科技产品推广经理黄海讲到,下一代防火墙选型最主要是要关注应用层性能,因为这是下一代防火墙的最大的价值,也决定了产品性价比。其次要看厂家在各个功能上完善程度,如果一台设备上的所有功能对于一个厂家都是全新的,那么可以想见这台设备的功能表现是什么样子。最后一点安全功能的多少和性能高低之间基本上是一个反比的关系,现在很多功能众多的下一代防火墙实际上跟UTM之间差异并不明显,真正将性能聚焦到重要的安全功能上才是一台好的下一代防火墙设备。
天融信下一代防火墙产品经理马腾辉表示,企业用户下一代防火墙选型需要注意四个方面,首先对于企业用户而言,如何降低企业的运营成本是企业用户认为下一代防火墙应该具备的最重要特性,由此下一代防火墙必须具备提供多种安全功能灵活组合的能力,以满足企业不同发展时期的不同安全需求;其次为了解决企业网络中所面临的不同位置的安全问题,下一代防火墙还必须能够给企业提供灵活的部署方案;第三下一代防火墙应更加专注对应用层业务的控制与保护,以满足企业用户广泛的基于应用的业务需求,同时对应用层性能的关注也应该作为企业用户选择下一代防火墙的重要指标;最后如何更加人性化的实现对下一代防火墙的统一运维管理,以及快速精准的发现及定位业务风险,也是企业选择下一代防火墙不可或缺的参考指标。
网康科技市场部产品市场经理熊瑛谈到,下一代防火墙的几个比较显著的标签是:基于应用层构建安全、主动防御、多威胁检测机制智能融合,与这些标签相对应的参数或考量标准主要体现在以下几点:应用识别的广度和深度以及与本土用户使用习惯的契合度;可视化及智能分析的能力和操作体验;功能全开启后的性能以及性能衰减趋势。这三点是企业选型下一代防火墙的关键。
六、 下一代防火墙未来发展
从市场方面来看,下一代防火墙会逐渐替代传统防火墙,这种趋势一方面是由企业用户需求所驱动,另一方面也由厂家的技术发展来驱动,很多安全厂家都会主动将传统防火墙设备转型为下一代防火墙,这样传统防火墙会逐渐退出市场,可以使得下一代防火墙进入很多没有明确下一代防火墙需求的场景,比如内网隔离,这也就加速了整个行业趋势的发展。
从技术方面看,云计算是一种安全设备的普遍发展趋势,下一代防火墙也会逐渐的与云技术进行结合,比如基于云的检测技术,基于云平台的管理和维护,基于云和大数据的分析报告等等一系列技术都将是未来的行业发展方向。
另外一种技术趋势就是如何和NGIPS等全新下一代安全体系进行结合,这里会有多种技术发展方向,比如协同管理、威胁识别、下一代入侵分析等。(完)
