防火墙作为互联网和企业内部网络之间的隔离层,起到了防御互联网攻击的作用。传统的防火墙一般都是通过指定过滤某种协议或某些端口,以及限制来自或发送到某个IP地址数据流的方式实现安全防护功能。而如今,很多攻击都是基于Web页面的,它们采用常规的80端口(HTTP)和443端口(HTTPS)进行传播,这使得传统的防火墙很难发现和识别混在正常网页数据流中的恶意程序或攻击信息。而一个可靠的防火墙,必须能够有效的识别和屏蔽此类攻击威胁。
走近下一代防火墙
“下一代防火墙”(缩写NGFW)一般是指带有入侵检测等超出传统防火墙功能的防火墙产品。这一概念和市场目前还相当新潮,最先推出相应产品的是Palo Alto Networks,它们目前推出了三款符合下一代防火墙概念的产品。除了防火墙厂商,市场调研机构Gartner对于这一概念也情有独钟,该机构通过以下标准来衡量防火墙市场的新产品是否可以被称作下一代防火墙:
标准的防火墙功能,诸如包过滤,网址转换以及VPN。
“综合性”的网络入侵预防能力。
具有“程序识别”能力,可以识别程序并在应用程进行控制(比如允许Skype呼叫,但是阻止其传送文件)。
有能力感知并利用“其它防火墙”的信息来提高防御决策,比如使用信誉服务或活动目录中的身份服务获取额外信息。
需要留意的是,不要因为防火墙厂商使用了“下一代防火墙”这个词语,就认为该厂商推出的产品具备以上全部能力。每个厂商都在不断的改进自己的产品,同时会在产品中加入厂商自己所特长的功能,从而区别于竞争对手。
另外还有一个容易混淆的概念需要解释一下,就是UTM(统一威胁管理),这是IDC发明的词汇,用来指超越传统意义防火墙的一类具备多种安全功能的设备。安全产品厂商可以用UTM或NGFW中的任何一个来描述它所生产的新型防火墙产品,也可以将其划分为不同的产品类型。最常见的划分方式是使用UTM 代指针对中小型企业的产品,使用NGFW描述针对大型企业的防火墙产品。由于市场和产品都在不断升级变化中,因此未来很可能其中某个词汇甚至这两个词汇都消失不见。因此我们在选择产品的时候,应该关注于产品的功能和性能,而不是看被厂家冠以了UTM或NGFW这样的头衔。
评估NGFW时要考虑的要点
不论是UTM还是NGFW,它们都是复杂的产品,而且由于缺乏统一的行业标准,因此很难对不同厂家的此类产品进行横向对比。要判断某个产品的功能是否能够帮助你,你必须深刻了解企业的需求,并进行大量的测试:
架构:下一代防火墙设备应该将各种安全功能融入一个独立的架构中,以证明其是真正意义的集成,而不是简单的将多个安全设备塞进一个防火墙外壳里。缺乏集成性能也许表示该产品的安全性能不够令人满意(比如由于数据在不同功能模块间传递导致的数据包检测速度降低)。
吞吐量性能:所有的附加安全功能、检测功能无疑都会在一定程度上降低数据流的速度。因此,要确保当所有安全功能都开启后,设备的数据吞吐量仍然能够达到企业的要求。另外,在测试过程中,还要考虑到防火墙所采用的策略或规则数量,因为这些因素同样会对防火墙处理速度有影响。
使用便利性:选择下一代防火墙的一个重要原因是企业管理人员希望能够简化多种安全设备维护和管理所带来的不便。因此,下一代防火墙应该具有直观的管理界面,简单的规则或策略制定流程。而一些集成度不够好的产品,在不同的安全功能设置界面上,会出现很明显的差异。
和其他安全产品一样,下一代防火墙也不是网络安全的万灵药。部署下一代防火墙也需要大量的工作,并需要不断的维护。不过一旦成功部署NGFW,确实可以有效的减轻管理员的工作压力,并提升应对新型网络攻击的防护效果。