网络安全 频道

众厂商各抒己见 NGFW如何博采众长?

  【IT168 评论】防火墙时安全硬件市场的重要组成部分,在企业安全领域扮演着重要角色。下一代防火墙的提出一度引起业内热议,安全向云端的迁移以及互联网公司与企业安全的碰撞也让安全行业迸发出新的火花,而硬件市场的活力也进一步被激发。据IDC数据统计,2014 年,防火墙硬件市场的规模为 US$ 415.9M,同比增长 24.1%,2014 年上、下半年的市场规模占比分别为 40.2%和 59.8%。可以看出,防火墙市场的需求还在与日剧增,而位居市场前列的领军厂商对于自身的解决方案都有持续提升。

  下一代防火墙无论是噱头还是传统安全硬件的本质提升都将在企业安全市场占据了不俗的市场份额,而下一代防火墙与统一威胁管理之间的界线也越来越模糊,下一代防火墙将会更精简还是更复杂,用户和解决方案供应商将如何看待防火墙硬件本身的发展,下一代防火墙如何解决功能性能无法兼顾的遗留问题?这些针对产品的问题一直存在。移动化和社交化使得安全威胁层出不穷,针对不同移动办公安全架构和安全组件,下一代防火墙会针对不同用户,甚至不同应用场景做出什么具体改变,同时会衍生出何种新技术?

  带着这些问题,笔者采访了市场占有率位居行业前列的天融信、华为,还有国外知名安全厂商Fortinet,国内更有深信服、网康、山石网科、绿盟。各大安全厂商对下一代防火墙各有见解,下面我们就看各大厂商各抒己见,共论下一代防火墙的未来。

  华为下一代防火墙如何迎合未来趋势?

  位居国内防火墙市场占有率前列的华为对下一代防火墙有独到的看法,华为认为,作为提供云安全服务的载体,下一代防火墙必须具备全面的虚拟化能力,满足为多租户提供服务的需求。这种虚拟化不仅是基本防火墙功能的虚拟化,还包括入侵防御、防病毒、VPN等全部安全能力的虚拟化。澳大利亚知名的云服务提供商ICITA、东南亚知名的MSSP(托管安全服务提供商)Cenfinity公司,都在使用华为USG6000防火墙为他们的客户提供云安全服务。

  从华为解决方案上看,基于传统防火墙的修修补补不足以满足用户的需求,也无法从根本上平衡性能与功能不可兼顾的尴尬境地,因此华为重新设计了新的硬件平台和软件体系,并采用全新设计理念和管理逻辑设计用户体检,推出了华为USG6000系列下一代防火墙。为了让USG6000真正成为“性能可用”的下一代防火墙,华为主要做了两点全新设计:第一,推出IAE智能感知引擎,一次流量解析多个业务模块并行处理,避免传统防火墙重复对同一报文的多次解析、重复匹配与响应。采用这种架构,能够大幅度提高多个业务功能开启的检测性能;第二,硬件平台采用“多核MIPS”+“硬件协处理加速”+“高速SwitchFabric”的架构,通过高速总线实现多核CPU与业务处理模块、接口扩展模块的通信。专用硬件加速内容层流量处理,并把特征匹配、摘要计算、加解码等消耗大量CPU资源的操作,交由Cavium多核CPU的专用协处理器处理。结合这两种方法,即使开启全部安全防护功能,华为USG6000系列下一代防火墙的性能下降也不会超过50%,这一兼顾功能和性能的特性在业界也是罕有。

  对于NGFW的防御能力,华为不仅仅专注于盒子之内,通过NGFW与沙箱、大数据安全分析系统的实时联动,华为防火墙意在为企业提供几乎具有无限扩展性的威胁感知与协同防御能力。在产品特性上,华为USG6000系列下一代防火墙覆盖了从百兆到Tbps级别的广泛范围,可用于各行业的应用场景。除了传统的应用场景,还对行业的特定场景进行了细化。例如,针对金融行业推出分支上网安全解决方案,针对企业大型数据中心推出数据中心安全解决方案,对教育城域网的安全建设也有相关的方案。

  如何应对日益猖獗的位置威胁

  应用层防护无疑是下一代防火墙的核心,应用识别能力尤为重要。华为USG6000系列下一代防火墙能识别业界最多的6000+应用。利用这一优势,可以进行非常细致的访问管控、应用流量加速以及基于应用的策略路由。

  Web防护则不是下一代防火墙的重点,目前web服务器的防护主要靠WAF。下一代防火墙防护的目标是整个网络,保护的是一个面,而不是具体的某个点。通俗点讲,它更像一个门卫,而不是保镖。NGFW是门卫,专门保护Web服务器的WAF设备是保镖。NGFW可以针对web的入侵型流量进行防护,但这不意味着它可以取代WAF。两者保护的对象不同,决定了它们需要的资源类型和使用方式都不同。如果把功能强行捏合在一起,要么会牺牲性能,要么会牺牲检测的准确性。

  对未知威胁的防护是当前大家都很关注的问题。华为USG6000系列下一代防火墙是未知威胁防护整体方案的重要组成,并主要从以下方面解决强化下一代防火墙的核心防御能力:

  更精细访问管控,缩小未知威胁的攻击面;

  管控员工对恶意网站的防护,防止钓鱼型的攻击;

  协同华为的沙箱产品、大数据分析产品检测出未知威胁,并进行阻断;

  检测流量中是否有包含敏感信息的文件,防止通过未知威胁非法外传。

  用户需求在何方?

  华为前期对企业用户的大量调研表明,企业网络管理员最大的困惑是下一代防火墙的管理变得复杂多了。传统防火墙基于IP和端口定义安全策略,端口其实代表了他们使用的业务,常见的端口数量并不多。而下一代防火墙是基于用户和应用进行管理的,管理的粒度更细。举个例子,同样的80端口对应的应用会有多少?如果说之前只需要用80端口定义一条策略,映射出来的下一代防火墙应用管控策略可能会有成百上千条。所以华为USG6000系列下一代防火墙才会推出解决这个问题的Smart Policy技术,它能够智能的优化、精简下一代防火墙策略。帮助企业简化管理,TCO降低30%。

  举例来说,在企业分支远程互联的场景,由于广域网不稳定而引发VPN上远程业务的不稳定。华为推出VPN智能选路技术,在一组VPN加密隧道中进行流量负载均衡,当VPN故障时可以使用质量最优的备选作为替代。既能优化了体验,又降低了租用专线的需求。这个技术在京东商城遍及全国的物流系统中用的非常成功。在大型企业中,大量防火墙策略的管理和优化是个难题。华为推出的Smart Policy技术能够智能的优化、精简下一代防火墙策略。帮助企业简化管理,TCO降低30%。这些都是华为USG6000下一代防火墙根据场景衍生出的新技术。基于移动用户地址位置的访问控制,也是华为NGFW为移动办公安全量身定制的体贴特性之一。

0
相关文章