【IT168 评论】悬念大师希区柯克曾说过:“我是一个被定型的导演,即使我拍灰姑娘,观众也会从中寻找尸体。”下一代防火墙可谓已经被安全市场定型概念化。
下一代防火墙历经多年的发展,日趋成为市场的主流的安全产品,厂商和用户对该产品的研发和应用,已不可同日而语。虽然我们看到,各家厂商在下一代防火墙的出货量在逐年递增,功能优化也不断推陈出新。尤其是在2014年9月1日,由公安部主导的《第二代防火墙安全技术要求》开始施行,进一步在政策和标准层面对下一代防火墙的技术成熟度进行了规范。数据显示安全行业以防火墙为主的硬件需求也在不断增加。
下一代防火墙走向何方?
从产品特性上看,统一威胁管理与下一代防火墙的之间的边界越来越模糊,此前参加国外知名安全厂商飞塔(在业内创造了UTM的概念)沟通会,其安全硬件产品已经不在强调一类硬件的概念,NGFW可谓是UTM在国内的一个缩影,而下一代安全的理念往往噱头大于实质。产品本身的特性和功能从一定成熟上反应了行业需求,在传统的安全行业逐渐被打破的今天,单一的攻防已经不复存在,分布式攻击以及未知威胁促成了威胁情报这一新的行业热门词汇,前沿安全厂商趋向于讨论高级持续性威胁治理方案,硬件本身的防护性能和功能受到了行业的质疑,甚至在此前的RSA大会上出现了砸盒子的一幕。
然而笔者相信,存在即合理,在现有的安全环境下,防火墙硬件市场超过20的年增长是有其必要性存在的,首先政府、金融、运营商领域存在着广泛的安全需求,主要用于保证系统的稳定性和私密性,互联网企业以及中小企业的安全需求也在持续增加,针对不同行业以及不同应用场景的解决方案是未来安全硬件的另一个发展趋势,安全行业在国内还处于蓝海时代。政策对安全自主化的提倡也促使越来越多深入到不同安全领域的创业者将自身技术硬件化。
伴随云服务的日渐成熟和终端设备的多样化,安全形势也日益错综复杂。时至今日,单一的设备实现多种安全功能或将成为下一代防火墙用户的刚需,在下一代防火墙的附加功能愈加丰富并逐步与云端耦合的趋势下,未来安全讲如何利用搞硬件,防火墙硬件的性能、功能还需要突破哪些瓶颈?在未来安全中,硬件设备将走向何方?
实际用户感言与体验
在针对用户的采访中发现,更多企业用户能够体验到下一代防火墙有别于传统防火墙的功能上的提升,特别是带宽限制、应用过滤、URL过滤、DNS过滤等功能之前只有在上网行为管理上才有,现在都集成在下一大防火墙设备中。设备很稳定,稳定运行时间长达数月。在下一代防火墙所提供的防范未知威胁、异常流量监控、Web攻击防护、应用识别、网络监控、细粒度安全策略和日志等方面,因为主要是上网使用,所以用户更加关注应用识别、网络监控和安全策略功能。
另有用户评论指出:任何一个安全产品的应用都不应该是无谓的跟风,只有企业需求才是最真实的,能满足企业IT需求的安全产品就是好产品,有的厂商NGFW功能和性能不错,但有的安全厂商NGFW做的也不怎么样,UTM、WAF或是上网行业管理做的不错,哪款产品能满足我当前的使用需求就选择哪款产品,哪家厂商的服务最给力就选择哪家的产品。盲目的选择NGFW对企业来说毫无意义。国家公安部去年9月开始实行的《第二代防火墙安全技术要求》也仅限于对有等保需求的企业有效。在选择国内厂商防火墙时更加看重NGFW的服务能力和应急响应能力。
针对下一代防火墙一直能听到质疑的声音,即所谓的“下一代”,就是一个赚钱的口号。本质上就是在原来二层三层防火墙的基础上,添加了四层以及七层的支持(按internet分层标准)。下一代防火墙主要的是“行为管理”方面的事情:应用分析、web防护等。至于未知威胁防范的功能能否落地或者起到实际作用则要打一个问号。在防火墙选择上,也有用户看重厂商承诺的升级期限,有些厂商一年后就不能升级了,所有的特征库都固定不变,到了“下三代”也不会变,也就无所谓“下一代”了。另外,还要看厂商处理大数据能力,小厂商根本没有实力来做大面积的数据分析,面对异常的攻击很可能会不知所措。
下一代防火墙 用户的深度感知
关于下一代防火墙的优势用户最直观的感知有以下几点:1、 支持在线BITW(线缆中的块)配置,同时不会干扰网络运行;2、 可作为网络流量检测与网络安全策略执行的平台,在第一代防火墙产品的基础上集成式而非托管式网络入侵防御。业务识别与安全可视性:识别应用程序并在应用层执行网络安全策略。3、 支持新信息流与新技术的集成路径升级,以应对未来可能出现的各种威胁
针对《信息安全技术 第二代防火墙安全技术要求》,是由公安部3所主持,邀请深信服、绿盟、网神三家厂商共同讨论编写的,是一个新的国家标准,与国际上的下一代防火墙的概念有所区别。从用户角度看要求指出:第一,新增应用层控制功能。第二,入侵防御、恶意代码防护与国际接轨。第三,web攻击防护、信息泄露防护符合用户业务安全需求。有用户表示,如果公司有布局需求的话,应该会考虑这些要求,因为这算是一个很好的选择标准了。
在功能方面,异常流量监控、Web攻击防护、细粒度安全策略和日志这几个方面要重点关注。异常流量监控是为了防止数据的流逝安全性能比较重要。。这几个都是侧重于信息安全数据安全的,未来的战争是信息战,所以信息安全是第一位的。
下一代防火墙是用户需求和厂商技术的碰撞
大量调研表明,企业网络管理员最大的困惑是下一代防火墙的管理变得复杂多了,在大型企业中,大量防火墙策略的管理和优化是个难题。以华为为例,从运营商级别到企业级安全,其Smart Policy技术能够智能的优化、精简下一代防火墙策略。帮助企业简化管理,TCO降低30%。这些都是下一代防火墙根据场景衍生出的新技术。基于移动用户地址位置的访问控制,NGFW为移动办公安全量身定制的体贴特性之一。
云安全服务日渐流行,很多专业的安全厂商都在做。从厂商角度看,下一代安全服务是大数据和云服务的结合。作为防火墙市场占有率第一的天融信认为,更加先进的安全系统架构以及需要和多核硬件技术进行完美融合,而这种融合就体现在安全引擎对多核处理器计算资源的使用方面。因此,引擎的设计是实现下一代防火墙2-7层高性能的关键因素,而引擎中的一体化内容检测机制又是实现应用层高性能的关键。下一代防火墙产品来应对大量的南北向流量,虚拟化功能则有助于支持云数据中心的耦合。
由此看起,运营商级别的安全还是比较注重下一代防火墙的策略,移动安全打破了原有的安全边界。企业用户对安全和云服务的双重需求促使解决方案供应商要双管齐下,推动下一代防火墙衍生更多的新功能。
编辑观点:下一代防火墙需要解决的是安全本质上的攻防身份的互换,传统安全防护时代的结束让防御本身更具主动性,针对个人端设备的攻击已经成为很低级的攻击行为,时有发生的安全事件往往在移动端泛滥并很容易被发现,而企业用户所面临的未知威胁甚至是无感知的。下一代防火墙主要优势在于主动防御,是把病毒和入侵扼杀在萌芽阶段。
对于未知威胁的防护和APT防护业界恐难在解决方案层面一蹴而就,潜在的安全需求让企业用户对安全硬件提出了更高的标准,产品本身的性能和可靠性必然是丰富功能的保障,checkpoint、飞塔、juniper等老牌国外厂商的解决方案必然有其优势存在,天融信、华为、深信服、网康、网神、启明星辰、绿盟等国内厂商也在不断角逐市场,下一代防火墙的功能在短期内还会有增无减,在不影响性能的基础上功能的增加将是短期趋势,防火墙和云端的联动也将成为互联网公司和传统安全厂商的一个契合点。
