众所周知,传统防火墙已经无法应对日益复杂的安全环境,愈来愈复杂的网络环境使传统防火墙囧态尽显,据权威调研机构Gartner统计表明,高达3/4的网络威胁是基于应用层而非网络层的,而基于网络层的传统防火墙愈发力不从心。这主要体现在以下三个方面:
一、安全问题的先天不足。传统防火墙工作在控制三层,也就是说在OSI的协议模型里,对应用层没办法进行控制和识别。
二、流控方面的无力感。在单一链路的条件下,对于用户不同带宽的不同应用,传统防火墙无法做到方便正确地提取重要应用。
三、运维管理的缺陷。传统防火墙缺乏通过的策略管理,在少量部署的情况下缺陷尚不明显,但在较大规模部署的情况下,维护便成为了一个大问题,成本也相应增加了许多,这对于企业来说是不能容忍的。
既然传统防火墙已经无法满足用户的需求,那么新的产品与技术便呼之欲出,而对于新安全问题的解决,业界出现了一些分歧,主要是下一代防火墙与UTM(统一威胁管理产品)的优劣高下之争上。
下一代防火墙VS UTM
UTM这个概念与下一代防火墙相比,要久得多,它是指由硬件、软件和网络技术组成的具有专门用途的设备,它通常具有反病毒、反垃圾邮件、内容过滤、防数据泄露等多个功能。
而下一代防火墙的概念要相对新一些,它的出现就是为了应对当前与未来新一代的网络安全威胁而对传统防火墙进行的一次改头换面,通常条件下,下一代防火墙产品需要满足下面三大要素:第一,下一代防火墙是基于角色和应用的管理设备;第二,它具有传统防火墙的所有功能;第三,具备智能的流量管理控制和策略配合。
1)二者相比,各有优势,UTM的优势更多体现在它的广泛的融合性上面。
整合所带来的成本降低
将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用,相比于单个功能的累加功效更强,颇有一加一大于二的意味。现在很多组织特别是中小企业用户受到成本限制而无法获得令人满意的安全解决方案,UTM产品有望解决这一困境。包含多个功能的UTM安全设备价格较之单独购买这些功能为低,这使得用户可以用较低的成本获得相比以往更加全面的安全防御设施。
降低信息安全工作强度
由于UTM安全产品可以一次性获得以往多种产品的功能,并且只要插接在网络上就可以完成基本的安全防御功能,所以在部署过程中可以大大降低强度。另外,UTM安全产品的各个功能模块遵循同样的管理接口,并具有内建的联动能力,所以在使用上也远较传统的安全产品简单。同等安全需求条件下,UTM 安全设备的数量要低于传统安全设备,无论是厂商还是网络管理员都可以减少服务和维护工作量。
降低技术复杂度
由于UTM安全设备中装入了很多的功能模块,所以为提高易用性进行了很多考虑。另外,这些功能的协同运作无形中降低了掌握和管理各种安全功能的难度以及用户误操作的可能。对于没有专业信息安全人员及技术力量相对薄弱的组织来说,使用UTM产品可以提高这些组织应用信息安全设施的质量。
2)而下一代防火墙则在安全领域倾注了更多的精力。它的优势体现在:
更精细的应用层安全控制
应用已成为网络的主要载体,而网络安全的威胁更多的来源于应用层,这使得用户对于网络访问控制提出更高的要求。如何阻断有安全隐患的应用、保证合法应用正常使用、防止端口盗用等问题,已成为用户关注的焦点。NGA可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了传统设备只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。
更全面的内容级安全防护
NGAF融合了漏洞防护、web安全防护、病毒防护等多种安全技术,具备2000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、 1000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。通过灰度威胁关联分析技术将数据包还原的内容进行全面的威胁检测,并可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客的攻击行为,有效阻断威胁风险的发生。
更完整的安全防护方案
只提供基于应用层安全防护功能的方案,并不是一个完整的安全方案。用户还需要采购基础网络层的安全设备,既增加了成本,也增加了组网复杂度、提升了运维难度。NGAF涵盖传统防火墙、IPS的主要功能,内部能够实现内核级联动,有效地防范了各种防护设备之间缺乏智能的联动的情况。
而UTM虽然提出了广泛的融合理念,但是由于它一开始是为中小型企业设计,所以在应用效率上一直是它的短板所在,一旦将它的全部功能开启将会让设备的运行效率大打折扣,得不偿失。而不用这些功能则让其成为了摆设,浪费资源。与之不同的是:下一代防火墙的一个重要标签是高性能,通过芯片的加强和模块的扩展,让吞吐量和并发性能有了质的飞跃,管理功能不再是花架子,而是真真正正能帮助用户解决实际问题的手段。
综合而言,对于下一代防火墙与UTM之争,常常是“公说公有理,婆说婆有理”,UTM的主流厂商自然不会放弃自己的阵地,所以会继续对UTM产品进行改良升级,使其能够适应大型企业的需求。而在用户层面上,对于那些已经在企业中部署应用了UTM产品的用户来说,一般还是会忠诚于UTM的产品,毕竟重新选择产品对于企业来说也是兴师动众的一种做法。
而下一代防火墙也并非没有机会,UTM更多被人们看作是一种集大成的产品,它的优势在于功能上的融合性,而下一代防火墙相比之下在安全领域更为专注,它的使命就是在性能、安全性、易用性、可管理性等方面有一个质的飞跃,满足用户新的防御和管理需求,而UTM长久以来应用效率低下的初始印象则为其增加了不小的机会,同时厂商大力度地宣传更是给其未来发展带来有利推动,所以笔者认为二者之间的较量很难在短时间分出胜负,但所谓术业有专攻,下一代防火墙在安全领域的专注还是不容忽视的。
