网络安全 频道

被“定型”的下一代防火墙将走向何方?

  【IT168 评论】悬念大师希区柯克曾说过:“我是一个被定型的导演,即使我拍灰姑娘,观众也会从中寻找尸体。”下一代防火墙可谓已经被安全市场定型概念化。

  下一代防火墙历经多年的发展,日趋成为市场的主流的安全产品,厂商和用户对该产品的研发和应用,已不可同日而语。虽然我们看到,各家厂商在下一代防火墙的出货量在逐年递增,功能优化也不断推陈出新。尤其是在2014年9月1日,由公安部主导的《第二代防火墙安全技术要求》开始施行,进一步在政策和标准层面对下一代防火墙的技术成熟度进行了规范。数据显示安全行业以防火墙为主的硬件需求也在不断增加。

  下一代防火墙走向何方?

  从产品特性上看,统一威胁管理与下一代防火墙的之间的边界越来越模糊,此前参加国外知名安全厂商飞塔(在业内创造了UTM的概念)沟通会,其安全硬件产品已经不在强调一类硬件的概念,NGFW可谓是UTM在国内的一个缩影,而下一代安全的理念往往噱头大于实质。产品本身的特性和功能从一定成熟上反应了行业需求,在传统的安全行业逐渐被打破的今天,单一的攻防已经不复存在,分布式攻击以及未知威胁促成了威胁情报这一新的行业热门词汇,前沿安全厂商趋向于讨论高级持续性威胁治理方案,硬件本身的防护性能和功能受到了行业的质疑,甚至在此前的RSA大会上出现了砸盒子的一幕。

  然而笔者相信,存在即合理,在现有的安全环境下,防火墙硬件市场超过20的年增长是有其必要性存在的,首先政府、金融、运营商领域存在着广泛的安全需求,主要用于保证系统的稳定性和私密性,互联网企业以及中小企业的安全需求也在持续增加,针对不同行业以及不同应用场景的解决方案是未来安全硬件的另一个发展趋势,安全行业在国内还处于蓝海时代。政策对安全自主化的提倡也促使越来越多深入到不同安全领域的创业者将自身技术硬件化。

  伴随云服务的日渐成熟和终端设备的多样化,安全形势也日益错综复杂。时至今日,单一的设备实现多种安全功能或将成为下一代防火墙用户的刚需,在下一代防火墙的附加功能愈加丰富并逐步与云端耦合的趋势下,未来安全讲如何利用搞硬件,防火墙硬件的性能、功能还需要突破哪些瓶颈?在未来安全中,硬件设备将走向何方?

  实际用户感言与体验

  在针对用户的采访中发现,更多企业用户能够体验到下一代防火墙有别于传统防火墙的功能上的提升,特别是带宽限制、应用过滤、URL过滤、DNS过滤等功能之前只有在上网行为管理上才有,现在都集成在下一大防火墙设备中。设备很稳定,稳定运行时间长达数月。在下一代防火墙所提供的防范未知威胁、异常流量监控、Web攻击防护、应用识别、网络监控、细粒度安全策略和日志等方面,因为主要是上网使用,所以用户更加关注应用识别、网络监控和安全策略功能。

  另有用户评论指出:任何一个安全产品的应用都不应该是无谓的跟风,只有企业需求才是最真实的,能满足企业IT需求的安全产品就是好产品,有的厂商NGFW功能和性能不错,但有的安全厂商NGFW做的也不怎么样,UTM、WAF或是上网行业管理做的不错,哪款产品能满足我当前的使用需求就选择哪款产品,哪家厂商的服务最给力就选择哪家的产品。盲目的选择NGFW对企业来说毫无意义。国家公安部去年9月开始实行的《第二代防火墙安全技术要求》也仅限于对有等保需求的企业有效。在选择国内厂商防火墙时更加看重NGFW的服务能力和应急响应能力。

  针对下一代防火墙一直能听到质疑的声音,即所谓的“下一代”,就是一个赚钱的口号。本质上就是在原来二层三层防火墙的基础上,添加了四层以及七层的支持(按internet分层标准)。下一代防火墙主要的是“行为管理”方面的事情:应用分析、web防护等。至于未知威胁防范的功能能否落地或者起到实际作用则要打一个问号。在防火墙选择上,也有用户看重厂商承诺的升级期限,有些厂商一年后就不能升级了,所有的特征库都固定不变,到了“下三代”也不会变,也就无所谓“下一代”了。另外,还要看厂商处理大数据能力,小厂商根本没有实力来做大面积的数据分析,面对异常的攻击很可能会不知所措。

  

0
相关文章