从2007年Palo Alto Networks发布世界第一款下一代防火墙(NGFW)产品至今已经有五年多的光景,这期间不少国内外的厂商相继推出了NGFW。例如:深信服、梭子鱼(Barracuda Networks)、Check Point、网康、天融信等。在防火墙市场,已经展现出一场群雄争霸的局面。
NGFW应企业需求而生
随着互联网的快速发展,各种应用程序的爆发,企业面临着常用应用程序中的漏洞带来的风险。
网络通信不再像以前一样仅仅是依赖于存储和转发应用程序(例如电子邮件),而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息(IM)和P2P应用程序、语音IP电话(VoIP)、流媒体和电话会议,这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序(只是消耗带宽或者带来危险)。
恶意软件和网络攻击者瞄准了这个场所,让企业面临如数据泄露、潜在的渗透等风险。除了带来安全风险,这些应用程序也消耗带宽和生产力,并且与关键业务型应用程序抢夺网络带宽。因此,企业需要工具来保证业务关键应用程序的带宽,并需要应用程序智能和控制来保护入站和出站的流量,同时确保速度和安全性以提供高效的工作环境。
应企业需求,在多种多样大量的应用程序环境下,仅靠传统防火墙的功能似乎显得力不从心,它们的技术实际上已经过时,因为它们无法检查攻击者散播的网络数据包的数据负载。而NGFW可以提供应用智能控制、入侵防御、恶意软件防护和SSL检查,还可扩展到支持最高性能网络。
众说纷纭NGFW
市场呼唤新的防火墙产品。需要注意的是,机构对下一代防火墙所做出的定义是其最小化的功能集合,而从安全厂商的角度看,则会根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异,它们更像一个大而全的集中化解决方案,让用户感到迷惑。而在国内,业内对于Gartner的下一代防火墙定义一直存在争议,而下一代防火墙在各个安全厂商及不同用户心目中也还未能形成一个统一的概念。
2009年,Gartner在题为《Defining the Next-Generation Firewall》的报告中对下一代防火墙进行了定义,Gartner认为,NGFW应该是一个线速(wire-speed)网络安全处理平台,定位于企业网络防火墙(Enterprise Network Firewall,Firewall指宏观意义上的防火墙)市场(这里的企业指的是大型企业),文章作者Greg Young认为,NGFW要具备的四大基本要素是:集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动。
不过,国内一些安全厂商认为,在云计算、WEB2.0及移动互联网等一系列新应用技术被广泛使用的今天,Gartner2009年定义NGFW时的认知已经明显不足。有国内厂商在此基础上,又提出了一代防火墙必须具备的六大特质:基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合。
以国内首个推出下一代防火墙的深信服为例,其下一代防火墙NGAF就有三个最显著的特点:完整应用层安全防御(包括主流的Web攻击、漏洞攻击等各类型的应用层攻击);独特的双向内容检测(不仅检测由外到内流量中是否有攻击,对服务器、终端外发的流量也会进行深入内容的安全检测);智能的安全防御体系(采用了自动建模技术和模块间联动技术。)
一些厂商还声称,其下一代防火墙产品在把多业务全开之后,性能下降不超过25%,以此与UTM区分开来。另外,这些厂商还要求在下一代防火墙产品中集成网络设备的特性,使其成为具备交换特性、路由特性的全功能一体机。
令人欣慰的是,一些业内人士已经看到,在国内,需要把下一代防火墙的技术结合中国市场环境更好地得以实施。首先要满足中国市场上的用户需求;其次要考虑针对中国市场的政策要求,如,下一代防火墙能够集成防病毒特性,这些病毒库就需要用国内厂商的病毒库;最后,还要考虑到中国用户的使用水平,简化部署。
挑灯细看NGFW
与传统防火墙相比,下一代防火墙性能有了很大的提升,体现了极强的可视性、融合性、智能化。那么,究竟何为NGFW的本质特征?NGFW的必备功能是什么?NGFW与UTM的区别究竟在哪里?
从Gartner定义看,对比传统防火墙,NGFW有三个显著的优势:第一,支持联动的集成化IPS,支持面向安全漏洞的特征码和面向威胁的特征码。第二,应用管控与可视化,能识别应用和在应用层上执行独立于端口和协议。第三,智能化联动,防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。
NGFW的功能至少应该包括:基于用户防护:下一代防火墙应具备用户身份管理系统,实现分级、分组、权限、继承关系等功能,充分考虑到各种应用环境下不同的用户需求。面向应用安全:在应用安全方面,下一代防火墙应该包括"智能流检测"和"虚拟化远程接入"两点。安全技术融合:动态云防护和全网威胁联防是技术融合的典范。下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。
NGFW与UTM有三大区别:集成化、单引擎;能适应不同规模的企业;性能更有保证,管理更高效。
目前,对于下一代防火墙,仍存在一些明显的争论,如:NGFW就是个加强型的UTM;NGFW纯粹是厂商概念炒作,没什么新东西;NGFW其实早就有,只是没归纳成概念。
实际上,对于用户企业而言,面对业界纷纷扰扰的概念争论和林林总总的新产品,根本不必拘泥于尚未统一的概念本身,而应避免对厂商包装后的概念的肤浅认识,理解NGFW和UTM的本质特性。最重要的是,在此基础上,根据本企业的特定安全需求,选用最适合的防火墙产品和解决方案。