抢滩NGFW:从拼速度走向拼实力

原创
安全 应用安全
从时间点来看,华为正式推出NGFW产品相对其他国内外安全厂商而言并不算早。但实际上,从防火墙的发展历史看,华为一直是引领产业发展方向的角色。

Gartner正式提出下一代防火墙(NGFW)概念已有4年。在这4年间,无论是IT应用环境、用户需求,还是安全厂商战略,都发生着巨大的改变。下一代防火墙的发展,正是在各种力量的综合作用下,在争议中前行。而厂商们对下一代防火墙这块领地的争夺,也从最初的抢速度逐步进入拼实力的新时代。未来,谁将执NGFW之牛耳?恐怕终究还是要拿实力来说话。

NGFW仍挑战重重

自Gartner提出下一代防火墙概念以来,国内外各大安全厂商都从不同角度进入了这一领域。但IT产业的巨大变革及随之而来的用户需求变化,让NGFW面临着新的巨大挑战。目前,市面上已有的NGFW产品良莠不齐,有的甚至被业界认为算不上严格意义上的NGFW产品,而一些能称之为NGFW的产品离用户的实际需求也还有一定差距。

从Gartner的定义看,下一代防火墙产品有四个必备功能属性:传统防火墙所有功能(如基于连接状态的访问控制、NAT、VPN等);支持与防火墙自动联动的集成化IPS(而非简单的功能叠加);应用识别、控制与可视化;智能化联动。NGFW概念已经过4年的市场洗礼,目前,业界对这一产品形态达成了基本的共识:与之前的高端防火墙、UTM不同,下一代防火墙应该是对传统防火墙的全面替代,它是基于新威胁、新应用环境、新应用习惯和新安全模式的全新安全产品,其管理逻辑和理念都有所改变,而非只是在传统防火墙增加部分新功能。与此同时,它还需要通过硬件和软件的设计来提高自身性能,使之与越来越高的业务需求相匹配,在威胁防御能力全部开启后,性能不出现大幅下滑,以确保可用性。基于此,市场上一些以NGFW冠名的产品被认为算不上真正的NGFW,它们有的只是在传统防火墙的基础上加了些简单的应用识别功能,有的NGFW产品应用识别和管控能力较强,但在安全方面的积累不足,特别是开启威胁防护后的性能显著下降,变得基本不可用。

下一代防火墙概念提出已经有4年,这4年中,IT环境发生了巨大的变革:社交化、移动化、虚拟化、云化,让移动和web应用成为安全的主战场;黑客攻击产业化使得攻击活动更密集,威胁环境更加险恶;APT让发现威胁所需的时间变得更长,恶意行为难以发现。4年间,用户需求也发生了改变,他们对NGFW的诉求普遍集中在以下问题:希望NGFW产品集中较多功能;希望能简化NGFW的策略配置;希望NGFW产品有较强的应用识别能力(本土化、细粒度)。NGFW由此面临着新的挑战:管控需要足够精准,并识别移动互联、云计算等带来的新应用风险,解决新IT环境下边界失效问题;管理需要足够简单,因为NGFW增加了很多管控维度,管理配置的复杂度成倍提升;新威胁持续增长,未知攻击越来越多,面对组织化甚至国家化的黑客,防火墙需要做好网络出口的“把门人”;NGFW在运用新管控手段后,性能需要保持在一定水平,而不是开启强制性防护后性能仍然像传统UTM一样下降很多,安全功能不能沦为摆设。

重新定义NGFW

面对日益险恶的威胁环境及其对防火墙产品带来的新挑战,一些安全产品供应商开始对下一代安全进行了重新思考。

在企业级业务领域聚焦于ICT管道战略的华为,安全业务也紧紧围绕ICT管道来开展,其安全解决方案覆盖了云数据中心安全、局域网和广域网安全、移动办公安全等各个层面,在安全产品设计和规划中已将各种应用场景考虑在内。而针对现有NGFW产品在管控精度、自动化、威胁感知、防护性能各方面均存在不足的现状,华为提出了全新的NGFW理念。

在华为看来,今天,NGFW需要细粒度管控,以适应IT移动化、虚拟化、社交化趋势,除了感知应用、用户和内容外,还需要感知位置、风险和设备;NGFW需要实现智能管理,提供新管控方式下的策略建议,以及安全风险的智能分析和处理建议;NGFW需要实现全面防护,不仅识别应用还能识别应用威胁,并具备未知威胁和APT的防御机制;NGFW还需要具备高性能,不仅有“防火墙+应用识别”的基础性能,而且在全威胁防护开启时,性能下降不小于50%。

在细粒度管控方面,华为NGFW产品以"ACTUAL(App,Cantent,Time,User,Attack,Location)"全局环境感知为核心,将网络环境转换为具体的"应用+内容+时间+用户+威胁+位置"的应用层信息,可实现对移动办公、云计算等新环境下网络边界的感知,提供基于应用层的精确访问控制和动态威胁防御。华为NGFW能识别6000种应用,并可识别应用中的威胁。在智能管理配置方面,华为NGFW产品能实现多维、多级配置,将6000多种应用分为5大类、33个子类,并基于应用子类快速部署;可实现策略主动优化,通过流量分析生成调优建议,通过应用风险分析生成防护动作建议;还可实现策略冗余分析,进行策略命中率统计。威胁防护方面,华为NGFW基于云实现了对未知威胁的防御,通过沙箱模拟运行系统,生成云端特征库和云端信誉库,在此基础上快速发现未知威胁。高性能方面,华为通过重新设计NGFW硬件和软件引擎,IPS性能和全威胁防御性能均达到业界顶尖水平。

华为:不容小觑的NGFW新主角

9月初,华为将在首届企业网络大会(HENC)上正式推出全系列NGFW产品,包括10余款设备,能覆盖1G-40G应用层性能,20G全威胁防护性能。

从时间点看,华为正式推出NGFW产品相对其他国内外安全厂商而言并不算早。但实际上,从防火墙的发展历史看,华为一直是引领产业发展方向的角色。早在2008年,以华为为首的一些公司,通过自身硬件积累,采用专门的多核芯片,并采用分布式架构将防火墙的性能大幅度提升,率先推出高端防火墙产品。当时,离下一代防火墙概念的提出还有1年时间。

今年2月,Gartner发布2013年“企业防火墙魔术象限”,华为成为首位且唯一进入该象限的中国厂商;今年7月,Gartner发布2013年“UTM魔术象限”,华为再次成为首位且唯一进入该象限的中国厂商。这标志着华为已经成为全球防火墙&UTM市场的主流厂商。

那么,为何在NGFW概念出现4年后才正式推出NGFW?华为有自己的考虑。华为企业网络产品线防火墙及应用网关领域营销经理朱峰告诉记者,如果按照Gartner对NGFW的定义,华为在2011年就已经拥有符合该定义的下一代防火墙产品,但华为认为当时该产品在客户体验方面没有达到目标,还不足以从根本上解决用户面临的新问题。华为希望在NGFW产品中真正注入自己的实力后再正式发布,而不是为了迎合市场宣传而仓促推出。因此,华为对NGFW产品重新设计了硬件,改写了软件,并站在新的角度设计用户体验。

在企业领域,要做就要做最好,做不到最好就不做。这在华为NGFW领域也同样得到体现。作为一家以技术性为主导的公司,华为每年有10%的收入用于研发。这种与生俱来的技术创新基因也成为华为对NGFW底气十足的有力支撑。华为企业网络产品线安全产品总经理左文树表示,为了让NGFW产品在开启威胁防御能力后不出现性能的大幅下滑,华为早在2009年就在全球范围内招募了顶级专家,专门研究并解决威胁防御全部开启后的防火墙性能问题,在本质上实现了关键的突破,为今后赢得市场奠定了坚实的基础。

看来,在今后的下一代防火墙竞争中,光有速度还不够,只有真正的实力派才能最终赢得用户。

责任编辑:吴玮 来源: 51CTO.com
相关推荐

2017-06-07 12:33:46

智慧工业智慧医疗人工智能

2024-06-26 13:45:12

2013-04-01 09:51:48

4GLTE宽带网络

2011-11-24 09:29:05

应用商店盈利模式

2023-11-29 20:03:03

2021-02-19 22:54:30

存储市场存储

2013-02-26 17:39:15

2015-11-10 17:36:18

2010-07-01 22:16:57

2021-01-08 08:30:04

996ICUPDD

2015-08-13 13:49:14

格力董明珠小米

2019-01-28 05:10:36

拼多多电商促销模型

2017-02-27 14:57:17

戴尔

2019-06-13 16:10:18

FirefoxChrome前端

2017-01-19 11:58:35

阿里

2015-03-27 11:39:59

2017-03-21 13:53:17

运维戴尔企业级解决方案

2017-03-06 16:59:22

戴尔

2011-09-30 11:27:45

51CTO博客一周热门网络营销
点赞
收藏

51CTO技术栈公众号