当前,业界对于防火墙的安全防御能力似乎总是存在些许偏见。诸多媒体或厂商在向用户推荐安全产品时,纷纷指出传统的防火墙无法满足用户的安全需求,更有甚者提出“防火墙已死”的论调。作为网络安全的“元老”级设备,防火墙的未来将何去何从?
众所周知,防火墙凭借其成熟的访问控制技术,已占据了IT硬件安全市场的半壁江山,凡是需要策略控制、访问控制的网络就必然有防火墙的身影。然而随着用户业务形态的转变,各种Web应用迅速普及,传统的安全边界正变得越来越模糊,用户对于安全的需求发生了改变。安全威胁正逐渐由网络边缘转移到用户存储的关键信息与应用,甚至是基于网络的核心业务系统。
只有用户不断地提出需求,信息安全产业才能实现快速发展,作为存在已久的防火墙产品更是要因需而变。业界对于防火墙的抨击和质疑,多是因为传统防火墙2~4层工作原理的局限。如今,防火墙这一“先天劣势”在新一代防火墙设计和生产中已经发生了本质的改变。作为国内信息安全产业的领导者,天融信的X3战略之X-Firewall系列就在此方面率先做出改变,不仅实现了模块化的安全功能,统一的安全策略管理,还打破了传统防火墙部署方式的局限,可灵活部署于网络中的各个节点。X-Firewall已经为我们预言了新一代防火墙的发展趋势。
今天的防火墙正在因需而变
纵观信息安全产业发展历程,我们发现十几年中防火墙技术经历了多次重大的变革。与路由器同时出现的第一代防火墙技术,采用了包过滤技术,实现了简单的ACL功能;进入90年代,第二、三代防火墙面世,在用户需求的基础上防火墙发生了改变,应用层防火墙(代理防火墙)的雏形建立;随后第四代防火墙基于动态包过滤(Dynamic packet filter)技术,为状态监控技术奠定了基础;到1998年第五代防火墙更新了安全代理(Proxy)技术,给防火墙赋予了全新意义;如今随着安全网关性能瓶颈的打破,UTM(统一威胁管理)等新一代防火墙产品迅速推出市场,拉开了安全网关激烈竞争的序幕。防火墙这一系列的变革都与用户更高的要求有着不可分割的关系。
或许是由于思科停产了PIX防火墙带来的影响,或许是因为安全需求的改变,当前诸多厂商对于炒作UTM的神奇功效乐此不疲,但各家似乎都在刻意回避UTM源自防火墙的现实,在突出UTM产品功能特色的同时,却忽略了其与防火墙检测标准的如出一辙。理性的讲,在多核技术、模块化设计日臻完善的今天,UTM是防火墙发展的必然经过,称其将完全取代防火墙最终独占鳌头却有失偏颇。用户必须意识到,几乎所有标榜万兆多核的高性能UTM,其设计模型都在借鉴防火墙多年积累的成功经验。
2009年3月IDC报告显示,防火墙市场占有率依然高达43.4%,其安全网关的核心地位不可动摇。作为国内最大的信息安全产品与服务提供商,天融信公司连续八年占据国内防火墙市场和安全总体市场份额排名双第一,其成功的秘诀正是一切从需求出发,为用户构建可信安全防御体系,而不仅局限于一款产品。
天融信公司市场总监张龙勇表示,“随着多核技术、加速芯片技术以及产品设计上的日臻完善,安全网关具备多种安全防护功能已是必然趋势。如今,用户需要的并不是简单的几合一的安全网关,特别是行业用户需要的是可以保证其业务稳定运行的高质量安全防御体系,这就需要提升用户的综合安全能力建设,即防护能力、监控能力和运维能力的建设。为此天融信对安全网关提出了更高的要求,力求使用户的安全防御实现按需定制,在安全设备间形成联动的防御体系。”
新目标:安全按需定制
正如天融信公司董事长兼总裁贺卫东所言,“中国的信息安全,只能靠中国人自己解决。”当越来越多的外来安全产品、技术和理念进入中国市场,理性的思考我国用户安全需求显得尤为重要。伴随我国信息化建设的快速发展,各种新业务与应用快速出现于用户网络,用户需求的改变是对我国信息安全厂商提出的更加严格要求。
如何满足用户安全建设扩容,如何保障业务可持续健康发展,如何构建可信安全防御体系?新一代防火墙必须实现“安全按需定制”。
与过往不同,以X-Firewall为代表的新一代防火墙打破了固有的安全防护形态,强调设计一体化、功能模块化,以及安全策略的统一调度与管理。为实现“安全按需定制”的目标,安全网关的技术变革需要贯穿产品的软硬件选型与设计。其中开发专用的安全操作系统已被业界认可。
全球知名市场调研公司Forrester于2009年2月发布的报告就指出,单一网络操作系统是确保网络操作效率与灵活性的最佳方式之一。安全同样如此,开发专用安全操作系统,满足安全设备间的统一策略管理,实现安全功能的模块化设计显得尤为重要。
作为国内第一家推出专用安全操作系统的天融信公司,在产品开发初期便着重思考了国内用户安全需求的变化。借鉴思科与Juniper等公司的成功经验,TOS安全操作系统不但实现了多安全功能的融合,也实现了困扰业界已久的统一策略管理问题,为企业安全防御体系的建立提供了有力支撑。
新挑战,大作为
据中国互联网络信息中心的报告显示,今年上半年有1.95亿网民上网时遇到过病毒和木马的攻击,1.1亿网民遇到过账号或密码被盗的问题。如今业务和互联网的结合,对于用户的安全防御体系建设的要求更加严格。不论是单纯的从网关进行拦截,或者由终端进行强化,安全威胁都随时有可能出现。用户对于安全的需求已不再局限于产品,安全体系建设需求,满足等级保护要求,都将为新一代防火墙提供广阔的市场。
市场需求越大,挑战难度越大。美国超级计算机中心的安全专家近日指出,新一代防火墙必须克服先天的缺陷,首先是解决单点故障问题,其次要实现统一的策略管理,最后对于来自企业内部人员的安全威胁也必须形成有效的管控。
越来越多的证据显示,安全体系的建设绝不仅依赖于一款产品,整合安全已是大势所趋。只有让用户的安全策略形成有效的统一和流程化管理,实现网络各节点的安全联动,才能让用户的信息安全得到最大限度的保障。新一代防火墙拥有“按需定制”的特性,正好满足了用户新形势下的安全需求,为实现网络的统一安全管理调度提供了保证。
在信息技术快速发展的今天,防火墙正随着用户的需求变化而快速完善。固然前方困难重重,但我们有理由相信新一代防火墙将会在质疑声中带来更全面、更智能和更有效的安全保护。