下一代防火墙国内首先冲击上网行为管理市场

安全 应用安全
NGFW的出现是紧跟应用安全需求下的产物,NGFW的应用层访问控制跟上网行为管理没有本质区别,在国内最可能首先冲击上网行为管理市场,最终替代上网行为管理产品,与FW、UTM和IPS产品形成新的市场布局。

下一代防火墙的定义目标比较明确,针对应用安全。在功能模块组成上,Gartner并未明确规定功能细节组成,定义的功能覆盖比较合理。我们认为NGFW的发展诉求应该是,把传统防火墙将访问控制对象从网络层、传输层(L3~L4)调整为应用层(L7)协议。因此,对于NGFW的主要基础不再是各个模块协同工作,而是依托于网络应用的识别能力来实施安全访问控制措施。从这一点上,虽然技术和知识上存在相通性,但由于访问控制对象的不同,使NGFW与UTM在系统设计方面会存在本质差异。NGFW定义更强调应用识别能力、用户行为管理和应用安全,提供面向应用控制的网关安全防护,但UTM针对整个内网强调全方位的安全能力,提供比较适中的,具有更高性价比的网关安全防护。UTM与NGFW相比,还可提供VPN、SSL、反垃圾邮件、防病毒、防攻击、内网管理等针对于内网的安全防护能力。从目前来看,还没有一个厂商可以实现UTM、NGFW特性高效融合的案例,更多还是在应用、安全分别各自见长。

NGFW与FW、UTM最大的不同在于,NGFW更多的考虑了用户在上网行为管理方面的诉求,加强了应用识别、细粒度控制和展示,适合于关注上网行为管理的用户群。就目前了解到的市场情况而言,NGFW在其他功能方面和性能方面并未有足够多的差异化优势,表现出来的情况就是,NGFW集成的功能越来越多,已经完全超过了Gartner的定义,与UTM也越来越像(尽管前面提到“NGFW与UTM在系统设计方面会存在本质差异”,但二者在功能方面却越来越类似),对最终用户而言,选择一款适合自己业务需求的产品才是硬道理。

NGFW从功能上满足了用户多个层次的安全需求(如FW、IPS及应用访问控制),可以简化企业边界安全部署。从架构上来说,NGFW仍属于边界安全产品,对于传统安全架构影响不大。对于新建网络来说,部署NGFW比较简单;但是在网络改造过程中的替代部署,则需要企业与厂商仔细评估NGFW对原设备功能的替代度。这里举一个例子,原有FW系统支持VPN,这就需要评价NGFW的VPN协议的支持、隧道数的支持、用户数的支持、算法的支持、认证模式等多项指标。企业在向NGFW迁移时,首先要考虑自身的边界安全需求,包括性能及功能两个方面,现有的NGFW是否能够替代原有多个安全设备,能否满足新的安全需求?如果不能完全替换,则需考虑跟NGFW如何配合使用,以及在配合使用下的综合运营成本,不能简单考虑只是设备的替换。

NGFW在性能方面的追求对硬件平台的专业化提出了更高的要求,国内安全厂商对专用硬件平台的驾驭能力会一定程度影响NGFW产品在国内市场化的发展。不论是UTM还是NGFW,其硬件平台的选择大致雷同,比如多核、X86、ASIC等承载平台。在没有颠覆性软硬件技术革新网关商用模式的前提下,UTM、NGFW之间还难以形成替代关系,只是会出现用户更迫切解决什么问题。而二者差异的存在,使其在部署上反而会存在一定的互补性,在网络边界形成安全网关网发挥各自优势,满足用户的多维度需求。

回到下一代防火墙的核心功能,面对网络入侵的表现。启明星辰边界安全产品部副经理马骏告诉记者,网络入侵往往包含了多种攻击手段,从攻击过程来看,是一个动态的、长期的、变化的过程,涉及人员、网络、设备、操作系统、应用系统多个方面。从纵深防御体系来看,NGFW是定位在边界防御,考量NGFW的重要指标在于其全面防御能力以及事件库的更新速度,这方面取决于厂商在漏洞研究、漏洞验证、入侵检测、快速响应、硬件整合等多方面的能力,是厂商综合能力的体现。专业设备在这方面目前做得很成熟,并已经获得市场和用户的认可。在NGFW上还需要时间和市场应用的检验。

在问到NGFW在国内市场的应用前景时,马骏表示,NGFW将对传统FW市场、UTM市场、上网行为管理市场和IPS市场产生冲击,国内各传统安全设备厂商会根据NGFW的冲击不断调整自身产品形态,将一定程度影响到国内网关市场的调整与分布。NGFW的出现是紧跟应用安全需求下的产物,NGFW的应用层访问控制跟上网行为管理没有本质区别,在国内最可能首先冲击上网行为管理市场,最终替代上网行为管理产品,与FW、UTM和IPS产品形成新的市场布局。

 

【编辑推荐】

  1. 梭子鱼下一代防火墙为中欧银行提供安全稳定网络环境
  2. 下一代防火墙简化传统安全架构 提升用户和应用感知能力
  3. 下一代防火墙NGAF成功问世
  4. 深信服发布下一代防火墙NGAF 进军防火墙市场
  5. 2011上网行为管理渠道深入解析
责任编辑:Writer 来源: zdnet
相关推荐

2013-08-08 09:26:07

2012-12-10 16:15:43

下一代防火墙NGWF

2011-06-30 11:02:22

2012-12-12 10:29:57

2013-09-11 20:09:08

下一代防火墙NGFW

2011-06-27 13:31:21

2013-06-27 11:21:17

2011-12-08 10:16:53

2010-12-10 10:16:54

下一代防火墙

2014-08-06 11:46:53

2011-07-09 08:39:33

2010-09-29 11:01:46

2013-02-21 10:25:57

2013-09-27 10:14:46

2011-07-13 10:30:34

2010-12-08 09:33:51

2010-12-06 16:45:32

下一代防火墙

2014-10-11 10:47:50

2013-06-19 10:38:58

下一代防火墙下一代智能防火墙山石网科

2010-12-08 09:02:24

点赞
收藏

51CTO技术栈公众号