下一代防火墙的定义目标比较明确,针对应用安全。在功能模块组成上,Gartner并未明确规定功能细节组成,定义的功能覆盖比较合理。我们认为NGFW的发展诉求应该是,把传统防火墙将访问控制对象从网络层、传输层(L3~L4)调整为应用层(L7)协议。因此,对于NGFW的主要基础不再是各个模块协同工作,而是依托于网络应用的识别能力来实施安全访问控制措施。从这一点上,虽然技术和知识上存在相通性,但由于访问控制对象的不同,使NGFW与UTM在系统设计方面会存在本质差异。NGFW定义更强调应用识别能力、用户行为管理和应用安全,提供面向应用控制的网关安全防护,但UTM针对整个内网强调全方位的安全能力,提供比较适中的,具有更高性价比的网关安全防护。UTM与NGFW相比,还可提供VPN、SSL、反垃圾邮件、防病毒、防攻击、内网管理等针对于内网的安全防护能力。从目前来看,还没有一个厂商可以实现UTM、NGFW特性高效融合的案例,更多还是在应用、安全分别各自见长。
NGFW与FW、UTM最大的不同在于,NGFW更多的考虑了用户在上网行为管理方面的诉求,加强了应用识别、细粒度控制和展示,适合于关注上网行为管理的用户群。就目前了解到的市场情况而言,NGFW在其他功能方面和性能方面并未有足够多的差异化优势,表现出来的情况就是,NGFW集成的功能越来越多,已经完全超过了Gartner的定义,与UTM也越来越像(尽管前面提到“NGFW与UTM在系统设计方面会存在本质差异”,但二者在功能方面却越来越类似),对最终用户而言,选择一款适合自己业务需求的产品才是硬道理。
NGFW从功能上满足了用户多个层次的安全需求(如FW、IPS及应用访问控制),可以简化企业边界安全部署。从架构上来说,NGFW仍属于边界安全产品,对于传统安全架构影响不大。对于新建网络来说,部署NGFW比较简单;但是在网络改造过程中的替代部署,则需要企业与厂商仔细评估NGFW对原设备功能的替代度。这里举一个例子,原有FW系统支持VPN,这就需要评价NGFW的VPN协议的支持、隧道数的支持、用户数的支持、算法的支持、认证模式等多项指标。企业在向NGFW迁移时,首先要考虑自身的边界安全需求,包括性能及功能两个方面,现有的NGFW是否能够替代原有多个安全设备,能否满足新的安全需求?如果不能完全替换,则需考虑跟NGFW如何配合使用,以及在配合使用下的综合运营成本,不能简单考虑只是设备的替换。
NGFW在性能方面的追求对硬件平台的专业化提出了更高的要求,国内安全厂商对专用硬件平台的驾驭能力会一定程度影响NGFW产品在国内市场化的发展。不论是UTM还是NGFW,其硬件平台的选择大致雷同,比如多核、X86、ASIC等承载平台。在没有颠覆性软硬件技术革新网关商用模式的前提下,UTM、NGFW之间还难以形成替代关系,只是会出现用户更迫切解决什么问题。而二者差异的存在,使其在部署上反而会存在一定的互补性,在网络边界形成安全网关网发挥各自优势,满足用户的多维度需求。
回到下一代防火墙的核心功能,面对网络入侵的表现。启明星辰边界安全产品部副经理马骏告诉记者,网络入侵往往包含了多种攻击手段,从攻击过程来看,是一个动态的、长期的、变化的过程,涉及人员、网络、设备、操作系统、应用系统多个方面。从纵深防御体系来看,NGFW是定位在边界防御,考量NGFW的重要指标在于其全面防御能力以及事件库的更新速度,这方面取决于厂商在漏洞研究、漏洞验证、入侵检测、快速响应、硬件整合等多方面的能力,是厂商综合能力的体现。专业设备在这方面目前做得很成熟,并已经获得市场和用户的认可。在NGFW上还需要时间和市场应用的检验。
在问到NGFW在国内市场的应用前景时,马骏表示,NGFW将对传统FW市场、UTM市场、上网行为管理市场和IPS市场产生冲击,国内各传统安全设备厂商会根据NGFW的冲击不断调整自身产品形态,将一定程度影响到国内网关市场的调整与分布。NGFW的出现是紧跟应用安全需求下的产物,NGFW的应用层访问控制跟上网行为管理没有本质区别,在国内最可能首先冲击上网行为管理市场,最终替代上网行为管理产品,与FW、UTM和IPS产品形成新的市场布局。
【编辑推荐】