UTM缔造者Fortinet解读下一代防火墙

       首先，并不是说传统防火墙无法兼顾功能和性能，而是传统防火墙只是基于传统五元组的过滤方式，并无法基于应用进行识别和过滤，所以才有了下一代防火墙。所谓的功能与性能无法兼顾这一个“遗留”问题是NGFW上市的时候提出的说辞，并且现在已经解决。比如Fortinet的NGFW就能够很好地平衡功能与性能，主要原因就是Fortinet的FortiGate下一代防火墙采用了混合架构的处理方式，使用多块FortiASIC芯片来帮助核心CPU来卸载网络和应用流量。一颗FortiASIC NP6网络处理器可以处理40Gbps的网络流量，并且对于流量中的数据包大小不敏感，并且处理IPv6网络流量的性能与IPv4的网络流量性能相同。这样就能够保证即使在很高流量负载的情况下，CPU的使用率仍然很低，这样就能够保障CPU还有能力处理突发的业务请求。FortiASIC CP8内容处理器能够对加密流量进行解密，还可以对应用流量，IPS性能进行加速。通过全方位的流量卸载与加速，FortiGate足以保障用户在开启多功能时依然可以让我们的下一代防火墙不成为网络瓶颈。

       我们需要明确两点：纯粹的边界安全是不足够的，安全性不足的无线网络是巨大隐患。

　　传统的防火墙或NGFW部署在企业和互联网的边界处，虽然表面上看可以过滤全部的流量，但也只是流出的流量，对于企业网内部不上到边界网关的流量，比如无线网络流量，传统边界网关+无线AC的独立部署模式。但是FortiGate下一代防火墙集成了无线控制器功能，可以在FortiGate上面直接管理由FortiAP组成的无线网络。由于FortiGate把无线网络和有线网络无缝地整合到了一起，在管理方面对于用户来说就是一张网络，因此可以对无线网络部署IPS，IDS，应用控制，DLP，URL过滤等等NGFW的功能。

　　所以，FortiGate下一代防火墙将有线网络的安全性完美地移植到了无线网络中，而且还是通过一个管理窗口进行管理，极大地提升了安全性。

    飞塔防火墙优势所在

　　Fortinet的FortiGate下一代防火墙广泛应用在我们日常能见到的各种行业领域，比如金融行业，互联网行业，制造业等等。未来Fortinet将针对广大的互联网客户进行分业务场景的解决方案定制。

　　行业应用广泛的原因在于Fortinet提供的NGFW是无处不在的，从传统部署的边界网关部署模式，到内网隔离使用的NGFW，再到虚拟化环境，SDN环境的NGFW，甚至还在NGFW中集成了交换和无线功能。在数据中心场景，Fortinet提供完备的虚拟化和SDN解决方案，比如在Vmware NSX环境中，OpenStack环境中以及Cisco ACI架构中帮助数据中心解决内部东西向流量的安全问题。未来在云计算、虚拟化和SDN领域也将继续扩大生态系统，为用户提供更强大的安全解决方案。

　　 下一代防火墙关注应用识别是必须的，但是Web防护能力则不必须

　　主流NGFW技术应与WAF配合，而非集成。因为从部署位置上，NGFW可以部署在任何地方，WAF定位于Web服务器前端;从技术原理上，NGFW是状态检测+深度包检测，WAF是应用层代理。下一代防火墙部署的位置应该是在企业内网的业务组之间进行内网隔离，或者在企业与互联网边界进行整体企业网络的安全隔离。而Web服务器的防护是有专门的WAF设备放在Web服务器前面进行基于Web的威胁防御的。虽然NGFW和WAF都是以应用层为主进行安全保护，但是NGFW具有防火墙的基因，能够进行网络层安全保护，这个是WAF无法做到的，虽然WAF对于应用的理解更细，能够到参数级，但是只能针对Web应用，特点十分鲜明，而NGFW则是对全流量应用给予可视化及细粒度管控的。

　　对于未知威胁的防御，目前主流的的做法都是基于行为进行判定。FortiGate的其中一个功能就是基于行为打分。首先定义威胁权重，开启后系统将自动开启所有策略的流量日志。管理员可以调配每一个威胁项的权重值，以适配企业网络的流量特点。然后可以根据每个用户的具体分数进行重点控制，比如施加额外的应用控制、Web过滤等等。这也是一种实现帮助用户针对性进行策略配置的方式。此外，随着网络攻击越来越复杂，很多传统的方式以及无法抵御目前的高级复杂攻击，但是管理员通过FortiGate可以对网络流量中的行为进行威胁权重定义，通过行为的蛛丝马迹来发现攻击和被攻击对象。另外，FortiGate可以与FortiSandbox沙盒产品集成，通过将未知文件上传到沙盒去进行虚拟执行，来进行基于行为的判定。对于大型企业网络或者服务提供商网络，FortiGate可以作为探针部署在网络内部的很多地方，做细致的内网隔离的同时，为FortiSIEM提供内网多位置的安全情报，交由FortiSIEM进行统一分析，通过资产关联，交叉关联和清单关联后确定风险等级。

      下一代安全趋势下防火墙主要角色依然是网络隔离

　　防火墙的主要角色肯定还是网络隔离，随着威胁的演进，只在内外网之间放置防火墙进行隔离已经不够，内网的安全隔离也要使用下一代防火墙，这样可以提供内网全流量可视化。只有让用户看清楚自己网络内的流量情况，才能进行更好的防御。

　　云时代，防火墙的重要性更加不可动摇。我们需要微分段、零信任、无处不在的NGFW来防御APT攻击。远在天边的云安全服务只是安全体系的一部分，而不是全部。

　　企业用户对下一代防火墙的应用目前有哪些困惑?

　　首先是用户的投资过于集中在企业网络边界，实际上内网安全更重要。现在很多第三方咨询公司和调研公司都讲“零信任”网络，就是说内网也不安全，必须把每个内网组、段、域当成做外网隔离一样进行下一代安全过滤，最好也要部署NGFW，但实际上用户并没有这么想和这么做。

　　其次就是用户把NGFW 当成传统防火墙或VPN网关来使用。原因在于设备自身功能过多，配置复杂，报表展示不友好等等。虽然在NGFW的经典定义中功能只包含：防火墙、IPS、应用控制这三个主要功能，但是实际上业界所有的NGFW全都是有至少5个以上的安全功能，比如多了URL过滤，反病毒等等。功能多了之后，一旦配置不友好，改动不方便，用户可能就会放弃使用这个功能，然后时间长了就变成了只当成普通防火墙来使用。另外就是功能做的不细致，导致实际使用效果不好，用途不大。

　　最后是实际性能与厂商声称的有时差距很大，比如企业网络1Gbps出口带宽，很难说拿一台1Gbps性能的NGFW就能搞定，甚至有的厂商拿2Gbps，3Gbps的都不一定能搞定。如何选型是用户采购的时候比较困惑的。

　　下一代防火墙性能、功能、服务缺一不可。

　　不管是企业内网还是数据中心网络，带宽都在迅速增加。尤其是在内网，由于接入设备多，长连接应用多，导致对于网络设备的需求不论是新建，并发还是吞吐量方面都要求更高。作为网络基础设施设备的下一代防火墙肯定不能成为网络的瓶颈。其处理性能要能够跟得上网络的发展，比如内网高性能交换的高密10G接口，以及40G、100G接口等等都要支持，当然性能也要能跟上。

　　功能方面，寄希望于一台设备实现功能大一统其实并不现实。因为所处的网络位置决定了这台设备需要处理的流量特性。比如说NGFW，WAF，邮件网关之间肯定是不能相互替代的。NGFW需要解决的问题还是如何能够提供给用户更好的易用性。让用户充分将NGFW的功能发挥到最大化，这样才能够帮助用户提升安全水平，如果这一代的安全都做不好，何谈下一代安全呢。

　　另外就是服务，安全是一个动态的过程，攻防双方都是持续不断地进行较量，因此，作为防守方必须要能够持续不断地输出最新的安全威胁情报。Fortinet在安全行业有十余年的积累，而且FortiGuard安全威胁研究与响应实验室在欧洲，亚洲，和北美有200余位安全研究专家，为Fortinet的客户提供24x7x365的安全威胁情报的更新。