下一代防火墙转折点真的要来了吗

企业级防火墙是相对成熟的安全市场之一,在这个红海市场中不乏主流的供应商和竞争者。安全威胁不断变化,企业的移动性、虚拟化、云计算等已经对防火墙的功能提出了更高的要求。企业的安全产品决策者们必须考虑如何去满足这些特殊的需求,特别是在管理能力,灵活与快速的开发能力,购置成本,厂商支持能力,网络与安全架构的集成等方面考虑更多。

从2009年始,“下一代”这个关键字频频被安全厂商和业界所提及,比如下一代防火墙(NGFW)和下一代IPS(NGIPS)。而这一切都源于2009年10月,Gartner首次提出了定义下一代防火墙,并很快得到了普遍的认可。下一代防火墙从字面上看,并不似IPS入侵防御、AV防病毒等直观表现产品形态,更容易被用户理解为是对传统防火墙的升级,其实并不是这样。

我们都知道,防火墙从上世纪九十年代至今,历经系统架构和软件形态的多次革新,但在技术发展和用户、带宽、终端不断增长的今天,却愈发难以满足多方面的挑战。究其原因,主要是因为来自应用层的安全威胁越来越多,企业从业务层面考虑的越来越多。企业用户对防火墙提出了更高的要求,并期待具备脱胎换骨的产品形态,来满足现在和未来的安全关注点,解决传统防火墙基于IP和端口方式的访问控制形态。

企业曾寄希望于UTM(统一威胁管理)设备,在一段时间内和特定的应用场景,UTM确实给企业安全体系带来新的活力,但也一直受到多功能开启后,性能下降,延时增高,丢包等方面的诟病。不得不承认,UTM作为传统防火墙和下一代防火墙变迁过程中,所起到的承前启后的关键作用。因为UTM,企业和用户开始思考安全设备的变革性问题,业界和厂商也开始思考打破传统老三样的安全体系,更多探究网络接入中,企业高带宽占用率背后是什么应用、行为、人在将带宽吞噬;探究如何管理和限制动态端口和IP的行为;探究如何对基于APT、复杂网络钓鱼、WEB,传统安全威胁等进行控制;探究如何保证多威胁网络及应用环境中高效和可靠的工作。

于是Gartner对下一代防火墙进行了定义。Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制,并使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时必要的演进。下一代防火墙至少要具有如下几方面的特性:支持联机“bump-in-the-wire”配置,不中断网络运行;发挥网络传输流检查和网络安全政策执行平台的作用,具备传统防火墙能力,集成具有高质量的IPS引擎和特征码,应用意识和全栈可见性,额外的防火墙智能;支持新信息馈送和新技术集成的升级路径来应对未来的威胁,可阻止细粒度的网络安全政策违规或发出警报。

2011年12月,Gartner发布了企业级防火墙魔力象限报告,在这份报告中,老牌防火墙厂商,纷纷退出领导者象限,落到了挑战者区间。作为下一代防火墙的定义者,Gartner一直认为NGFW是防火墙行业的未来,这份报告更能说明问题。

虽然我们看到下一代防火墙在企业级防火墙市场的竞争力可圈可点,但就概念本身,却没有当时UTM被提出来后,市场反应那么强烈。UTM的提出更具需求基础,也迎合了当时众多客户集成安全业务心里,而且定义简单,容易被市场和企业所接受,所以一经推出即受到市场的广泛认可,迅速成为安全市场的主流产品之一。而下一代防火墙是以替代者的身份出现,供应商之间的争论不断,导致下一代防火墙的定义在某种程度上,还依然缺乏准确的定义。但业界一直认可的是,下一代防火墙所强调的某些技术,确实能够在未来提供更好的安全保障。也正是因为这点,从2011年以来越来越多的用户开始关注下一代防火墙,因为有了可用的产品和竞争,同时企业的思路也开始转变,主要去了解下一代防火墙的产品应用现状。

Gartner通过调整魔力象限标准,提醒传统的安全设备供应商尽早进入下一代防火墙的市场,而不要留恋于那片经营多年的市场。而目前的现状是,提到下一代防火墙,用户会把思科、瞻博网络等传统防火墙领导者排除在外,除了一些初创型厂商外,如众多专注于等传统防火墙、UTM、IPS的厂商通过自主研发或收购推出了下一代防火墙产品,并推动了这一概念在中国市场的普及。

国内的传统安全设备供应商和应用安全供应商也先后进入这一市场,深信服科技、锐捷网络、天融信先后推出了下一代防火墙产品,华为、启明星辰、网康科技等厂商目前也将其列入了未来的产品研发序列。

作为在国内市场率先推出下一代防火墙产品的深信服,在推动国内防火墙变革的角色中,始终走在最前沿,深信服的NGAF,全称Next- Generation Application Firewall,从名称上突出下一代防火墙更专注于应用层的安全。这在国内市场更容易被企业所接受,深信服认为下一代防火墙是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,并具有应用层处理能力的全新网络安全设备,NGAF 解决的是传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。

深信服科技副总裁张开翼曾向IT168提到,“下一代防火墙关注的是完整的应用层安全,这区别于IPS和WAF产品之关注部分的应用安全;在当前阶段,传统安全仍然需要,但深信服认为用户并不需要继续投入高昂成本来额外建设传统安全,下一代防火墙能够涵盖2-7层的安全能力。”张开翼的观点笔者深表认同,对传统安全架构的变革已经提了多年,但我们总在传统安全设备的更新换代中,止步不前。那时我们可以说,没有革命性的产品让我们止步了,但下一代防火墙的趋势,给企业提供了跨越这一变革的理由。

深信服正以下一代防火墙布道者的身份,给市场传达它们在这一领域的多角度声音,而且与全球市场的步伐十分契合,并通过技术的不断研发、成功案例的塑造、了解行业市场需求等方面等待下一代防火墙市场走向成熟,并迎来转折。据了解,在2011年产品化后,深信服的客户积累已经超过1200多家,覆盖全行业,尤其在政府、金融、大型企业得到用户的认可,在成功案例中,不乏人社部、公安部、招商银行、国美、东风汽车这些我们耳熟的行业客户,应用场景覆盖数据中心、互联网出口、广域网环境等。

随着以深信服为代表国内安全厂商发力下一代防火墙,我们的技术和产品会逐渐走向成熟,并最终影响到全球安全市场的变革,进入魔力象限只是时间问题。

下一代防火墙被寄予厚望无可厚非,因为它在继承传统防火墙和IPS功能的同时,将应用控制功能提升到了更有效的层级,不论在智能联动、应用控制和引擎优化、性能等层面都引入了全新的技术理念;也引发了业界对于安全与易用性、深度包检测、可靠性、流量控制等方面的更多思考。现在说下一代防火墙能够在未来完全颠覆还为时尚早,但与防火墙、UTM、IPS产品构成新的市场格局已经是不争的事实。企业引入下一代防火墙势必会给安全运营、硬件性能、访问控制策略制定,技术支持能力等带去全新的面貌。

不管如何,安全无定势,只要有新的应用需求和安全威胁变化,产品形态就会随之发生改变,防火墙变革预兆正在发生,这对企业是好事,而且NGFW 的转折点也悄悄出现了,有更多产品加入竞争,吃传统防火墙老本的厂商已经不再是这一技术领域的领导者,企业也在从应用需求角度审视它的可行性。