防火墙产品从上世纪九十年代至今,虽然历经系统架构和软件形态的多次革新,但在技术发展和用户、带宽不断增长的今天,却愈发难以满足多方面的挑战。尤其是在当前最热门的数据中心和云计算环境下,以太网标准由万兆开始向40G/100G迈进,我国各类数据中心和机房总量已经达到50余万个。业务低延迟、高可靠保证和智能化安全管理,都对网关安全产品的性能和功能提出了新的要求。
今年以来,锐捷网络、梭子鱼、深信服陆续在国内发布下一代防火墙(Next Generation Firewall,以下简称NGFW)产品,加上已经在市场上耕耘的SonicWALL、juniper、Check Point等厂商,这个在2009年Gartner定义的来形容防火墙进化发展的产品似乎迎来了春天。
传统的安全架构,如今在面对数据中心带来的大规模整合和互联、云计算和移动计算更为分散和全方位的安全需求时,正在经受考验和CIO的质疑,NGFW的出世是否为安全“老三样”注入“兴奋剂”。经过我们走访和接触数家安全及NGFW厂商发现,各家对NGFW的定义虽不尽相同,但发展诉求是一致的。在提到NGFW能否替代网络防火墙、 IPS、UTM时,各家也是众说纷纭,有斩钉截铁说是的,有认为应根据网络环境来区别对待的,有认为对某产品来说是可以完全替代的,还有提到会对其他网安产品形成冲击的,相信您在犹豫或面临抉择时能找到一份答案。对于用户而言,要的不仅是高性能、多功能的安全产品,在面对威胁时,一款定位于边界防御的安全产品能否表现出稳定和高可靠性至关重要,对此,我们发现各家厂商的回答也是不一,但终究是要经过市场应用考验。其实,很多CIO也发现在面对网络架构的演进和更复杂的终端设备和用户应用,对传统防御造成挑战,然而作为应运而生的一款全新产品NGFW能否挑起大梁,值得关注和讨论。
与传统的网络防火墙和UTM产品相比,NGFW的不同之处在哪里?硬件架构做了哪些改变?NGFW相对传统独立的网络安全架构是否具有稳定和可靠性?企业部署应该做哪些准备,如何选型?
FW力不从心 防火墙在演进
目前不管是网络厂商、专业防火墙厂商、IPS或应用控制网关等厂商都在图谋这一领域,在Gartner定义的产品特性基础上,各家厂商也根据自己的传统优势诠释着自己对NGFW的理解。
企业将面临来自于Internet的病毒、木马、DDOS攻击、网络钓鱼、SQL注入等种类繁多且危害巨大的威胁,H3C网络安全产品部安全技术总监李彦宾表示,H3C认为在数据中心和云计算中下一代防火墙应该具备“虚拟化、高性能、高可靠以及智能化”四个特征,会向高性能、高可靠,虚拟化和智能化演进。
对于SonicWALL来说,下一代防火墙包括以下元素,第一个是入侵防护服务,另外是网关防病毒服务,还有防火墙的保护。同时包括以下特性,如内容过滤功能、反垃圾邮件功能,以及通过策略来管理应用程序的功能,同样也包括确保网络的可视性,并能对网络中的每一个正在进行的数据流进行全面的检测,SonicWALL中国区技术经理蔡永生介绍说。
绿盟科技产品市场经理段继平认为,NGFW除了对web2.0应用的识别管理能力外,还强调区分于UTM最重要的指标之一的性能。并能够集成IPS,Gartner认为NGFW需要集成IPS功能,但不是像UTM那样做简单叠加,而是要将 IPS无缝的功能融合入NGFW产品中去。以及用户集成,强调用户身份与NGFW策略的整合。NGFW的这4点特征针对UTM存在的短板做了改进,并强调与目前最新的安全趋势融合。
虽然NGFW没有统一的标准,经过采访我们发现,各家厂商对NGFW的发展诉求是一致的,把传统防火墙将访问控制对象从网络层、传输层(L3-L4)调整为应用层(L7)协议,并能够识别用户、应用和内容,具备完整的安全防护能力的高性能下一代防火墙。
NGFW能否替代FW、IPS、UTM
众所周知,传统防火墙在上个世纪90年代就已经得到了广泛应用,种类也比较多。而UTM概念是2004年IDC发表的,NGFW的概念是2009年 Gartner发表的。新的网络环境下,出现了哪些新的安全威胁,用户安全需求又在如何转变,传统的安全设备如何变得愈加无力。
对此,梭子鱼产品经理潘渊告诉记者,传统防火墙只能提供一般意义上的数据包转发和拦截功能,以及一些简单的包检测机制。UTM和传统防火墙相比,确实增加了很多过滤功能,包括应用层的识别和过滤。但是UTM的致命缺陷是由于采用串行扫描方式,处理效率低下。即便是增加了单点解决方案,能提供对email业务、Web 应用、远程接入、即时通讯软件等病毒防护,但运营成本也会大幅度提高。而NGFW采用了高效的并行处理机制,并集成了网络安全、内容安全以及基于七层应用管理的网络接入控制保护能够抵御来自应用层的攻击,有效解决UTM的本质缺陷。
UTM诞生是因为早期的网络防火墙在IPS、反病毒、防恶意代码、反垃圾邮件等功能的缺失,而在其基础上堆砌了这些功能,迈克菲中国区网关安全产品总监郭伟强调说,UTM产品的本质仍然是基于传统网络防火墙架构的过渡性产品,其底层架构与传统网络防火墙无异。
“NGFW 更注重在Web2.0时代的客户体验,比如采用客户化的GUI,多核CPU并发处理等。随着企业的发展,需要更主动,更直观,更定制化,性能更高的安全产 品,这是NGFW的特点。对于企业来说,NGFW更贴合现有网络环境,对企业业务保护更加全面。”天融信方案与推广副总裁刘辉说。
各大厂商几乎不约而同的说到,不论是传统防火墙还是UTM,已无力应对Web2.0交换式多种应用场景下的实时变化的安全威胁。在记者问到NGFW 将是网络防火墙、IPS、UTM的替代品吗的问题时。瞻博网络大中国区产品市场经理谭俊直言道,“是的,这是一个基于新一代架构和理念不断创新和演进的过 程。” 深信服市场行销部技术总监殷浩表示,传统防火墙、UTM由于低廉的采购成本,在少数简单网络环境还是会成为用户的一种选择。但最终面对用户的应用层安全需 求,FW、UTM终将不断演进到NGFW的产品形态。迈克菲中国区网关安全产品总监郭伟的回答更为保守,他认为,对于一些安全要求比较低的网络环境比如企 业的访客网络,非核心业务网络等,传统网络防火墙还是有其应用需求的,并且可以和NGFW实现梯次配置,实现差异化分层防护。IPS产品的优势在于利用签 名技术对网络流量进行快速、无时延的检索,要求其有高转发率特性,擅长检索已知网络威胁,防止DDos攻击等,因而与NGFW相比有各自不同的关注重点。 但在谈到UTM时,郭伟认为,凡是UTM能够部署的地方, NGFW都可以无缝替换,更加之UTM一直存在性能瓶颈,所以UTM产品最终会为NGFW所取代。启明星辰边界安全产品部副经理马骏则特别强调了NGFW 对上网行为管理市场的冲击,马骏认为,NGFW最终会替代上网行为管理产品,与FW、UTM和IPS产品会形成新的市场布局,并形成相对长期竞争态势,相 互功能也会不断融合,与各种形态的网关产品市场形成比较理性的布局。
NGFW单次解析架构 满足网络高性能
很多用户对UTM的抱怨是,如果对集成的多种功能同时开启,性能显著下降,从而无法兑现其标称的性能指标。打个比方,UTM产品架构类似于我们经常 在城镇郊区看到的自建房,因为一开始没有统筹规划,在扩建上只能在原来的平房的基础上加盖,但你很少见到加盖的层数超过4层。因为这样,地基、承重墙都无 法负担。这就是目前UTM的架构。
“这实际上是由于UTM产品软硬件架构设计原理瓶颈所致,” 迈克菲中国区网关安全产品总监郭伟说到,NGFW在设计之前就已经考虑到未来安全的需求变化,软硬件架构采用了分离栈的设计思路,不同的应用防护,不同的 功能集成项分别设置分离的TCP/IP栈结构,充分利用了目前硬件的多CPU、多喝的硬件体系,所以在全部功能加载运行后不会像UTM产品那样,虽然功能 比较全,但实际应用场景中性能指标无法满足,而最终导致很多UTM功能成为摆设。
深信服市场行销部技术总监殷浩告诉记者,NGAF采用单次解析架构,结合多核并行处理技术,将所有内容扫描功能混合在一个模块完成,由于所有数据流 只会有一次扫描,性能就得到了大幅提升,相对于多数UTM仅有几百兆到1G的应用层性能来说,NGAF实现10G应用层吞吐能力更能满足用户对高性能场景 的需求。梭子鱼梭子鱼产品经理潘渊表示,“性能差异是UTM设备和NGFW设备最根本的区别,这是由于完全不同的功能实现机制导致的。梭子鱼下一代 NGFW特有的ACPF防火墙引擎技术,通过一次性的解包,并行处理所有识别、扫描、过滤与控制,大大提升数据处理效率。”
NGFW的重要特点就是开启多重安全功能后性能不会出现明显下降,绿盟科技产品市场经理段继平解释到,NGFW相对于原有的UTM产品最大的创新在于软件方面,比如软件架构采用统一引擎架构,将原有的安全功能的堆叠变为安全功能的融合,基于Web 2.0 的可视化等。
传统UTM设备仅仅将FW、IPS、AV进行简单的整合,开启多个模块时是串行处理机制,一个数据包先过一个模块处理一遍,再重新过另一个模块处 理,一个数据要经过多次拆包,多次分析,导致降低了包的处理传输效率。这是我们采访时听到的最多的答案。NGFW由于实现在一次拆包中的并行处理,山石网 科技术市场经理任磊强调到,“在设备本身硬件架构方面势必要采用具备并行处理能力的多核处理芯片,而在当前众多安全厂商的多核产品中以采用多核网络专用架 构的解决方案更适用于当前复杂应用控制、安全防护的网络。”
面对稳定和可靠性 NGFW能否经得起考验
通过我们逐步深入的了解,显然,NGFW具备高度融合的特性。所以,NGFW自身必须具备高度的稳定性、可靠性和性能可扩展性,这是一个前提条件, 否则自身会成为安全防御和网络性能的一个薄弱点。面对重大的网络入侵,如何依然保证其高度稳定和可靠性,就要求实现的产品具备高度成熟的模块化操作系统, 高可靠的电信级冗余设计,可扩展性和高性能。NGFW能否担此重任,或者相比传统独立安全设备是否具有优势,看记者深入采访,且听百家争鸣。
北美和欧洲的政府机构,包括对网络安全管控要求较高的机构和阻止,例如:国家基础设施,电力、能源、水利等领域在最近几年已经几乎摒弃了传统网络防 火墙和UTM 设备的采购而转向NGFW。再看看全球500强的大型跨国公司目前对网络安全的设备需求也都纷纷转向到更加专注于应用安全管控NGFW为主体,包括银行、 保险等机构,例如对知识产权关注度较高的Hi-Tech公司。新加坡也从2009年规定,今后有关政府、公共安全部门的防火墙采购需求将以NGFW为主 体,不再考虑对传统网络防火墙和UTM的采购。迈克菲中国区网关安全产品总监郭伟强调,“这些都在商务和客户层面证实了NGFW能够满足企业对网络安全产 品的稳定性和可靠性的要求。”
天融信方案与推广副总裁刘辉表示,“NGFW产品一般都集成了多种安全引擎,使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS、虚拟防火墙等安全功能。这些功能将通过一个引擎进行检测,通过统一的界面控制,无论遇到那种威胁,智能管理系统都会执行相应的策 略,用最有效的功能组合来阻挡入侵。相对于单独的安全产品堆砌来说,NGFW各项功能间的配合更紧密。比如入侵防御模块发现的威胁可以自动加载到防火墙规 则内,在网络层就能提前被阻断,防火墙和入侵防御已经不仅仅是互动关系,而是一个整体。”
“对于常见的网络层入侵,NGFW所具备的更高每秒新建会话能力在相同软件算法的情况下可以提供更强壮的抗攻击能力;对于应用层攻击,NGFW真正 集成IPS后在一次拆包就可以实现对入侵行为的识别、动作和记录,这种无缝对接保证了对网络入侵行为出现时的时效性、准确性和高处理性能。”山石网科技术 市场经理任磊显然对于NGFW的防御能力深信不疑。
而 H3C网络安全产品部安全技术总监李彦宾的回答则大相径庭,他对NGFW的表现显然不那么乐观,“面对重大的网络入侵,NGFW融合的设备相对IPS(入 侵防御系统)独立安全设备在稳定性和可靠性方面还有一定的差距。比如IPS透明部署在网络中,在遇到极端情况下,有二层回退、PFC掉电保护等多种可靠性 设计,保证业务的畅通。而NGFW作为网关部署在网络中,一旦出现问题,会造成网络的中断。”
国标中对入侵的定义是指“任何危害或可能危害资源完整性、保密性、可用性的行为”,网络入侵往往包含了多种攻击手段,从攻击过程来看,是一个动态 的、长期的、变化的过程,涉及人员、网络、设备、操作系统、应用系统多个方面。启明星辰边界安全产品部副经理马骏表示,从纵深防御体系来看,NGFW是定 位在边界防御,考量NGFW的重要指标在于其安全防御能力以及事件库的更新速度,这方面取决于厂商在漏洞研究、漏洞验证、入侵检测、快速响应、硬件整合等 多方面的能力,是厂商综合能力的体现。专业设备在这方面目前做得很成熟,并已经获得市场和用户的认可。在NGFW上还需要时间和市场应用的检验。
应运而生 NGFW是否存在独立市场
NGFW 产品是最终网络安全需求的深入和目前时刻面临的多变的基于应用和内容网络安全威胁而诞生的,根据Gartner的预测,到2014年底,35%的企业会在 采购安全设备的时候转向下一代防火墙,60%新购买的防火墙将是NGFW。在这种趋势下,传统安全设备厂商不可能熟视无睹,他们的产品都会向高性能的应用 识别和应用防护的方向转变,最终实现普遍的应用层安全。
在谈到NGFW在国内的市场应用前景时,山石网科技术市场经理任磊告诉记者,下一代防火墙代表着防火墙产品发展的一种趋势,在数据处理模式和效率方 面有质的提升,这种提升是为了满足网络发展的需求,这样的话也就理应成为未来用户解决网络安全问题的主流选择,而随着云计算环境下安全的需求和虚拟化技术 的不断普及,在安全方面针对应用的高性能深层防护将出现井喷性需求,市场潜力是巨大的。
“下一代防火墙将开辟一个全新的,独立的网络安全硬件市场,国内的下一代防火墙市场处于起步阶段,却发展迅速,而主流的安全硬件厂商都已推出了基于 下一代防火墙概念的产品也恰恰验证了这一市场的广阔前景;国内用户在选择安全产品时,肯定会发现下一代防火墙产品正是能解决日益增多的企业网络安全问题, 日益下降的网络性能问题,困扰网管们的网络管理问题的最佳产品。” 梭子鱼产品经理潘渊表示。
绿盟科技产品市场经理段继平认为,短期内NGFW在国内不会形成独立的市场,将依然会与传统的防火墙,UTM,甚至IPS,上网行为等网关类产品形 成直接竞争。中期内,由于国内各类用户对新产品的认可度不同,NGFW产品将首先会在大型企业,金融,电信等中高端领域逐渐被用户接受。长期内,由于 NGFW代表了未来综合安全网关的发展方向,国内其他 FW,UTM等类厂商会逐渐改进现有产品线以符合NGFW方向。最终NGFW会成为综合网关市场最核心的产品形态。
“根据企业需求部署网络安全网关产品是比较具有性价比的模式。对于中大型企业来说,NGFW的功能、性能、管理等方面都更胜一筹,所以是一种更好的 选择。对于一些小企业来说,网络结构简单,安全问题不突出,则可以选择单一的安全产品或者是UTM。目前的NGFW还是以行业用户应用为主。” 天融信方案与推广副总裁刘辉认为。
NGFW 作为Internet安全网关,在部署以及维护管理上有很好的优势,可以满足中小企业的需求,在云计算和数据中心环境下各个厂商也提出推出了适应这种环境 要求的安全网关。H3C网络安全产品部安全技术总监李彦宾认为,但由于没有统一标准,在技术上还需要进一步提高发展和规范,整个市场还需要培育。
网络改造 如何选型NGFW
企业选择下一代防火墙应该从自身需求角度出发,在提供应用识别、访问控制、入侵防御等基本功能的基础上,综合处理性能、每秒新建、最大并发连接数和 接口数量都是衡量一款设备是否满足要求的重要指标。山石网科技术市场经理任磊同时强调,升级的及时性、管理界面的友好度、技术支持能力都是考虑的因素,而 在一台设备承载网络中越来越多职能的今天,良好的软硬件扩展性、设备的高可靠能力也开始被大多数用户所关注。
SonicWALL中国区技术经理蔡永生给出了企业选型NGFW更为细致的要素。
·性能。IPS与其他功能的紧密集成是实现NGFW极低网络延迟的关键。
· 强大的扫描功能。许多NGFW提供商都在大肆宣传DPI功能,但对这些产品的测试发现,DPI功能会大幅降低网络的安全防御能力。评估时,应选择具备以下 功能的NGFW:可扫描各种大小的文件;可解密、扫描和重新加密SSL数据包;可扫描穿越所有端口的原始TCP流量以及大量协议。
·易管理性。
·应用智能、控制和可视化。
·经带扩展的NetFlow和IPFix报告的能力。NetFlow和IPFix是向外部收集程序报告网络流量的两大行业标准。NetFlow部署于交换机和路由器,可导出各种数据,如IP地址源和目的地、源端口和目标端口、3层协议类型和服务等级。
深信服市场行销部技术总监殷浩强调了NGFW应具备完整的应用内容防护功能,避免安全防护的短板。能够提供完整的漏洞防护能力,不但可以针对服务器 OS、应用系统的漏洞提供防护,还可以针对终端浏览器、恶意代码、Office软件的漏洞提供防护能力。具备Web服务器强化防护,支持防应用扫描、防 SQL注入、OS注入、XSS攻击、URL权限控制、数据保护等功能,以避免来自内容级别的入侵窃取服务器关键数据。
瞻博网络大中国区产品市场经理谭俊特别指出,下一代防火墙与整体安全架构的协同防护能力。NGFW需要和其他企业安全基础设施整合,具备感知全方位安全、应用和身份信息的能力,才能充分发挥其效能。
企业部署NGFW,将有效地简化传统安全架构并提升其感知应用和用户的能力。但NGFW并不是一个孤立的元素,更需要整合到整体的安全体系中才能充 分发挥其效果,实现有效地全面安全防护。谭俊同时强调,作为企业而言,在迁移中需要基于当前需求,以及下一步虚拟化,云计算的应用趋势来考虑整合安全架构 的设计。首先要选择满足相应容量,性能和可靠性要求的平台,其次要在该平台上部署高度集成的NGFW安全服务,最后还要注意该方案能够具备方便的,不影响 业务的添加新的安全服务和扩充新的容量的能力。
NGFW从功能上满足了用户多个层次的安全需求(如FW、IPS及应用访问控制),可以简化企业边界安全部署。从架构上来说,NGFW仍属于边界安 全产品,对于传统安全架构影响不大。对于新建网络来说,部署NGFW比较简单;但是在网络改造过程中的替代部署,则需要企业与厂商仔细评估NGFW对原设 备功能的替代度。正如启明星辰边界安全产品部副经理马骏举的一个例子,原有FW系统支持VPN,这就需要评价NGFW的VPN协议的支持、隧道数的支持、 用户数的支持、算法的支持、认证模式等多项指标。企业在向NGFW迁移时,首先要考虑自身的边界安全需求,包括性能及功能两个方面,现有的NGFW是否能 够替代原有多个安全设备,能否满足新的安全需求?如果不能完全替换,则需考虑跟NGFW如何配合使用,以及在配合使用下的综合运营成本,不能简单考虑只是 设备的替换。