从互联网时代发展之初到今天,防火墙技术一直是网络安全领域中最为重要的、活跃的安全技术,这是由防火墙的部署位置和实现机制而决定的,防火墙永远是网络 安全防护体系中的第一道屏障,是企业保障网络安全,保护企业资产的重要手段,也是企业实现网络安全时最先考虑的安全设备。自从1986年美国 Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念之后,防火墙技术就一直在飞速的发展。防火墙从传统防火墙发展到了加入更多威胁检测等功能的UTM,现在防火墙进入了一个新的时代,Gartner首先提出了下一代防火墙(NGFW)的概念,NGFW无疑是防火墙发展史上一个里程碑式的产品。
下一代防火墙的特点
1、 传统防火墙:
NGFW必须拥有传统防火墙所提供的所有功能,如基于连接状态的访问控制、NAT、VPN等。虽然我们总是在说传统防火墙已经不能满足需求,但它仍然是一种无可替代的基础性访问控制手段。
2、 支持与防火墙自动联动的集成化IPS:
在同一硬件内集成IPS功能是必须的,但这不是Gartner想表达的重点。该机构认为,NGFW内置的防火墙与IPS之间应该具有联动的功能,例如IPS检测到某个IP地址不断地发送恶意流量,可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是由NGFW自动完成的,而不再需要管理员介入。比起前些年流行的传统防火墙/IDS间的联动机制,这次升级并不是一个特别高深的技术进步,但我们必须承认它能让管理和安全业务处理变得更简单、高效。
3、 应用识别、控制与可视化:
NGFW必须具有以与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性,但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。
4、 智能化联动:
获取来自“防火墙外面”的信息,做出更合理的访问控制,例如从域控制器上获取用户身份信息,将权限与访问控制策略联系起来,或是来自URL Filter判定的恶意地址的流量直接由防火墙去阻挡,而不再浪费IPS的资源去判定。我们理解这个“外面”也可以是NGFW本体内的其他安全业务,它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系,实现自动联动的效果(如思科的“云火墙”解决方案)。
防火墙与云
云计算作为当前最热门的计算技术和很多产品都有结合,防火墙也不例外。IT巨头思科提出云防火墙的概念,思科认为云防火墙应该具有的特点包括防僵尸网络/木马,防止网络内部主机感染;云检测–全球IPS联动;云接入—SSL VPN;云监控–唯一支持Netflow的防火墙,实现了NOC和SOC 的二合一。
我国防火墙产业现状
现在来讲中国的防火墙市场发展已经形成一定的规模。相对于思科、McAfee等安全巨头,本土的防火墙企业,像天融信、深信服以及启明星辰等都有自己的产品和市场。深信服的下一代防火墙(NGAF)除了具有状态监测、VPN、抗DDoS、NAT等网络安全功能,还实现了宽带滥用、非法访问、WEB入侵等应用安全防护功能,这些功能被加到防火墙中使得下一代防火墙更实用。NGAF的功能符合了现在大部分企业即需要传统防火墙的攻击防范功能又需要对企业网络进行管理的功能。
防火墙前景展望
美国《网络世界》的专家对近期举行的RSA大会的观察文章中提及在过去,有两家防火墙厂商似乎是最突出的,这就是Crossbeam和Juniper。然后又有了来自Check Point、F5、Fortinet、SonicWall和Sourcefire的防火墙产品。厂商的增多加上不断增长的网络攻击威胁,下一代防火墙产品也异常喧闹。提及我国的下一代防火墙发展前景,不得不说去年年底的泄漏门,这个事件给各大互联网企业甚至其他产业的公司敲响了安全警钟。数据防泄漏市场今年伊始就非常活跃,下一代防火墙也借势得到了相当的发展。NGFW相对与UTM等网络防火产品来说还是一个新生事物,所以可以说NGFW虽然现在发展比不上传统防火墙市场成熟,但NGFW是防火墙发展的趋势。
