在2013华为企业网络大会上,华为正式发布了华为的下一代防火墙产品(NGFW)。此次发布的全系列的NGFW产品一共有13款设备,覆盖到1G-40G应用层性能,拥有20G全威胁防护的性能。
在2009年Gartner发布了一篇白皮书中,第一次提出了下一代防火墙的概念。在这以后的4年间,用户需求也发生了改变,他们对NGFW的诉求普遍集中在以下问题:
第一,管控是否足够精准。如何识别最新的应用、如何在应用过程中识别风险、如何解决新IT环境下边界失效的问题,重新建立起网络边界的有效管控,成为NGFW首要挑战。
第二,管理是否足够简单。下一代防火墙加了很多管控维度以后,管理配置的复杂度成倍提升,但是对于用户来说,应该做到越简单越好。
第三,可辨未知威胁。近几年新威胁和新挑战持续增加,特别是未知的攻击越来越多,很多的攻击行为非常隐蔽的,需要延时去检测,要能够对新的威胁做防护。
第四,性能是否足够。有些产品一旦开启强制性防护,性能急剧下降,基本不可用,NGFW在性能方面一定要有专门的测试办法和门槛要求。
现在有些防火墙产品只是增加了一些简单的应用识别,或者从流量管控的形态加上一些威胁防控能力就号称为下一代防火墙,大多数还是为了迎合市场宣传。根据Gartner的定义,下一代防火墙必须符合如下几点要求,第一,应该具备基本防火墙的功能,如NAT、VPN等,还有应用识别能力,这个是NGFW的最核心的本质特性;第二是要跟IPS深度的集成,不能是简单的功能叠加; 第三,Gartner还要求NGFW提供诸如智能联动和智能分析的一些辅助功能。另外下一代防火墙在设计之初主要应用场景是大型企业的出口,主要面向的是中高端用户。
华为认为NGFW应该从以下几个方面做相应的改进:一是更细粒度的管控,匹配IT的移动化、虚拟化、社交化,除了价值应用、用户和内容外,还应该感知位置、风险和设备等。二是智能管理,华为希望为NGFW提供一个新的管控手段,给使用者和管理者让IT管理者可以更智能、更简洁的方法来使用下一代防火墙,并且能够自动识别网络中的应用、风险和问题,给出合理的意见和建议。三是全面防护,不仅识别应用,还要识别应用威胁、风险和未知威胁,并拥有ATP的防御技巧和手段。四是高性能体验,NGFW的基础性能是防火墙加上应用识别,开启应用识别后的FW性能,才能代表NGFW的基本性能。为了让NGFW的各种威胁特性可用,全威胁防护开启下的性能相对基础性能,下降幅度不应超过50%。
此外,和其他厂商的产品相比,华为NGFW产品有四个重大的优势:
一是提供最精准的访问控制,通过华为独有的ACTUAL六维管控机制,可提供6000多种应用识别和8500万网页过滤;
二是拥有最简单的管理配置,具有主动流量学习和自动策略建议功能,TCO降低可达30%;
三是最全面的威胁防护,采用了云和沙箱的防御和保护机制,达到应用层全威胁防御和万兆的流量监控;
四的是通过重新设计的硬件和采用先进的专用处理器,为用户提供最高性能体验。