志不强者智不达。自从2009年Gartner定义下一代防火墙至今,国内外业界风起云涌,竞相角逐。但是下一代防火墙成为众家“香饽饽”之时,便可能成为跟风者邯郸学步之日。滚动着泡沫的一汪沸水,你能否看到水底蕴藏的那潜在力量?
2007年,Palo Alto Networks发布世界第一款下一代防火墙产品。此后,国际网络行业领导厂商诸如 Barracuda Networks、Cisco、Check Point、Dell SonicWALL、Fortinet、Juniper Networks等等公司也相继推出下一代防火墙。国内厂商自然不甘落后,2011年深信服发布中国第一款F代防火墙伊始,拉开了中国厂商开启下一代防火墙模式的序幕。一年来,国内厂商宣布推出“下一代”单品的已有迪普、东软、锐捷、深信服、天融信、网康、网神等。越来越多的厂商注意到了将设备与云相结合,使用云计算的优势来进一步提升下一代防火墙在未知威胁防护上的处理效能,但是在硬件设备方面却鲜见有亮点的升级,加之中国大部分厂商都只是今年才推出第一代NGFW产品,所谓有亮点的产品升级更新更无从谈起。诚然,下一代防火墙已经逐渐被市场所接受、认同,但这是否是因为夸大的市场宣传而“被接受”了呢?
从一年前的凤毛麟角到如今的满城尽是“下一代”,网络安全新产品的蓬勃发展是我们愿意看到的,但如果是厂商为了迎合“下一代”风潮而削足适履,这是我们不愿意看到的。当然,我们更不愿意见到的是无休止的炒作掩盖了产品的真正价值。
新技术应对新挑战
通过对多家安全厂商的走访,记者发现大家不约而同地指出网络活动急剧增加,也日趋复杂,安全攻击出现多样性,云计算、移动互联网、BYOD、Web 2.0等成为了新时代的网络安全挑战。
Web2.0时代带来爆炸式的应用增长,对传统防火墙造成了极大的挑战。在各式各样的Web应用潇洒地通过80端口时,基于“五元组”的传统防火墙无异于被蒙上双眼的士兵,不再能很好地守护网络的安全。
此外, APT攻击近年来分外活跃。Stuxnet病毒不仅使伊朗核计划遭到重创,也拉开了工控系统入侵的序幕。长久以来,工控系统被认为并不会受普通电脑病毒的影响。随着这一想法被颠覆,更多的网络攻击将会瞄准工控系统和物联网。在网关处,更深度的数据包检测、病毒入侵防护,以及工控系统协议的支持等需求也变得越来越迫切。
在谈及如何应对新时代带来的新挑战时,锐捷网络安全产品线经理王福光说:“云计算等新技术应用的发展,带来了三个方面的转化,即数据集中化;应用复杂化;边界多元化。数据的上收让云计算核心的数据中心承担着巨大的安全压力与挑战。如何在保障安全的同时满足高速、无瓶颈的性能要求,也成为了防火墙的基础要求。”
Check Point安全顾问吴航在采访中也表示,APT(高级可持续性威胁)攻击在近两年也愈演愈烈,Stuxnet病毒对于工控系统和物联网的影响已经改变了业界关于安全的观点,很多大的企业已经意识到威胁的形式发生着巨大的改变。因此对更加高效、多功能的网关防护设备的需求程度也在不断提高。
通过研究Gartner和NSS Labs对于下一代防火墙的定义发现,作为一个整合深度数据流检测、应用安全识别,以及攻击防护的安全平台,必须要具备传统企业级防火墙的全部功能。比如基础的包过滤、多层状态检测、NAT,以及面对一切网络流量时保持高稳定性和可用性。在此之上,下一代防火墙还必须要具备应用识别和控制、用户及用户组控制、完整的IPS功能、灵活的功能扩展选择和外在信息源。其实还有一点,也是业界一直在宣传的,在开启多个功能,甚至是全功能时,性能下降不明显,这也是区分UTM与NGFW的一个显著标志。
“下一代”不仅仅代表了多功能、高性能,更是对于传统设备软件和硬件技术的革新。对此观点,我们也独家连线了美国网络世界安全频道资深编辑Ellen Messmer。Ellen认为,下一代防火墙对于传统基于端口检测的防火墙来说是革命性的改变,它打破了以往UTM简单将各功能模块串联起来的基础架构模式。
对于设计架构方面,下一代防火墙从基础架构上解决了多功能开启时UTM性能急剧低下的问题。 Palo Alto通过独家设计的单通道并行处理架构,紧密结合了软件与硬件,简化了管理工作,也提供了一个流畅的运行程序与最佳性能。这个架构的卓越之处在于,当数据流通过时,软件通过一次性的策略查找、应用程序的识别和解码、用户的识别,以及内容扫描(病毒,木马,入侵防护),而硬件平台使用特殊功能的处理器执行联网、安全、威胁防护与管理,使整个设备达到最大的性能与最小的延迟。因此,基础架构的革新决定了下一代防火墙能够解决UTM性能瓶颈的问题。
经过一段时期的发展,不论是防火墙市场的老牌劲旅,还是创建没几年的新兴公司都纷至沓来,推出下一代防火墙,欲求在市场中分一杯羹。通过对多家安全厂商的走访和产品调查,我们发现目前市场上普遍的下一代防火墙设计架构都趋向于单通道并行处理的一次拆分包技术。但是在实际的应用层处理性能、深度病毒检测性能等方面,国内产品与国际领先厂商的产品尚有一定差距,还需要提升自身技术实力,同时进一步接受市场的考验。
近两年,厂商和媒体的大力宣传,防火墙市场表现出蓬勃发展、百舸争流的态势,而下一代防火墙也被宣传成了一款“万金油”产品。然而我们是否需要冷静一下,还原一个真实的下一代防火墙呢?
新思维引领“下一代”
不论是对于产品还是概念的讨论,业界都有很多不同的声音。著名安全评测实验室NSS Labs在近期发表的评测报告中,对下一代防火墙表示出了担忧。报告中指出,当与传统防火墙和IPS的组合比较时,大部分的下一代防火墙解决方案不能提供很好的处理性能和安全性。研究人员认为,只有少数的NGFW产品能够符合当下的安全需求。在通过对八款下一代防火墙,或者是号称为下一代防火墙的产品测试过后,结果显示,只有一半的NGFW产品其安全性能评分达到90%以上,而且厂商对其产品处理性能的夸大也值得注意。八款产品中的五款产品吞吐量未能达到厂商所声称的数据,而全部八款产品的最大连接数测试均低于宣传数值。虽然我们并未能对国内更多的NGFW产品进行全面的测试,但是对于产品实际表现与性能的担忧也应该存在。
“我们的思维模式需要转变。下一代防火墙不应只是一个产品,更应该代表一种前瞻性的眼光。” 天融信高级副总裁刘辉说。作为下一代防火墙的“异见”代表,他还认为,互联网飞速发展,如果安全厂商没有远见,不能看到“下一代”的安全需求,只是做到亦步亦趋,终将只能在市场竞争中扮演配角。对此,Gartner才用前瞻性和执行力作为其魔力象限的两个维度来衡量一个领域厂商的水平。如果只是把单一的产品称之为下一代,会对产品的发展产生不利的影响。下一代防火墙需要更智能,结合云计算充分发掘大数据的价值,通过对互联网中的海量数据(包括防火墙日志) 进行数据挖掘和分析,将防火墙与整个体系深度结合,使防火墙更加智能、灵活,从而对防火墙下发更加准确的策略。对于网络防护设备来说,其主要功能还是网络层和传输层。因此,随着SDN成为网络发展趋势,作为更智能、更灵活的下一代防火墙也需要适应下一代网络的发展,对于SDN的支持可谓必不可少。
在对于网络安全未来的看法上,思科高级安全顾问徐洪涛认为,传统意义的网络边界已经越来越模糊,给网络安全也带来了新的挑战。因此,防火墙技术也必须随之做出改变。云计算技术的发展,需要安全平台更好地去识别最新的网络威胁。移动互联网和智能终端的发展,需要安全平台更好地去识别用户身份和终端。而新应用的出现,则需要安全平台去更好地识别新的应用。只有这样,才能真正地起到防火墙安全防护和控制的作用。保证网络安全的前提是对网络的终端和使用有全面的可见性,并且能提供足够的控制能力。全网可见性的提高和可控性的增强,目前来看已经成为用户做网络安全建设的核心思想。在未来的一年中,网络安全市场也将会以此为主导,专用安全产品的授权因素需要丰富,而大量部署的网络设备的安全特性与识别功能也会得到更多的使用。网络安全技术本身会更加全面和动态,而网络安全技术与网络技术的结合也将会更为明显。
对于下一代防火墙的看法,我们或许真的应该突破盒子本身。硬件设备须与云平台进行整合,基于云的分布式计算环境不仅可以提升识别效率,还能有效地降低硬件部署成本。Gartner也提到,对于延时敏感的企业建议使用下一代防火墙。已知威胁的处理效率会对网络出口产生延迟影响。而对于未知威胁的检测效率和准确度不够,也应算作延时的一种。对于已知威胁的扫描、检测、隔离并不是竞争的重点,通过有效的手段进行高速的未知威胁识别才是未来竞争的主战场。高效而准确的识别未知威胁,才能真正保护网络的安全。
未知威胁的识别必须依托背后强大的云平台。Palo Alto的Wild Fire(野火)安全平台,基于云计算,有效地解决了未知恶意软件威胁。一小时之内,野火会返回对于一个新发现的恶意软件的识别报告,并自动下发给防火墙。这一切都是由云自动完成的。而一年前,这件事还需要一天的时间来完成。网康科技营销副总裁左英男说:“下一代防火墙将不再是孤立的硬件产品,必须依托于强大的外在安全服务来构建实时的安全防护体系。”网康科技的下一代防火墙采用了基于云的URL过滤功能,可以主动扫描预防和在线内容识别,快速发现并识别可疑网站。
前路漫漫 道阻且长
尽管不断变化的威胁环境,以及业务流程使企业在安全系统更新换代时必将考虑下一代防火墙,然而Ellen在承认NGFW带来技术革新的同时,也对市场表示了一定程度上的担忧。他向记者解释道,从整个企业级防火墙市场来说,有这样一种假设,就是在我们当前的网络环境中和我们即将步入的移动互联、云计算时代中,处处都需要下一代防火墙。事实上它很难实现,尤其是对于大型企业来说。企业用户曾明确表示他们不希望将反病毒功能集成在下一代防火墙中,而NGFW中的IPS功能也鲜有人问津。另外,企业客户也不愿意因为适应不必要的下一代防火墙而增加他们现有防火墙策略的复杂度。
传统防火墙和UTM短期之内不会被下一代防火墙完全取代。网神科技产品运营总监陈超认为,我们无须对于一款产品的名字过于纠结,最重要的是能够满足客户的需求和该企业在未来一段时期内的发展,扩容需求。下一代防火墙确实解决了传统防火墙和UTM 的种种问题,但是在某些特定领域还是更倾向于保守地选择传统产品。比如对于大型IDC来说,核心需求就是超高速的转发,所以可能需要百G的吞吐。在这种情况下,传统防火墙无疑比下一代防火墙更具竞争力。
对于UTM来说,情况也是如此。东软网络安全营销中心产品策划部部长于江在采访中表示,UTM能够获得如此大的成功,也证明了其满足当前客户对于安全保障的需求。在一些小型企业,对于吞吐和性能的要求并不高,已有的UTM设备已经完全满足日常所需。这也是在下一代防火墙起步初期,产品渗透率不高的原因之一。在未来一到两年内,随着互联网的进一步发展、安全需求更加复杂多样,下一代防火墙的渗透率会有很大的提升。未来几年内,会出现NGFW、传统防火墙、UTM三足鼎立的情况,直至随着设备的自然更替,NGFW完全替代传统防护设备。
对于有意愿引进下一代防火墙的企业来说,只须根据企业网络情况,以及未来发展规划,合理部署下一代防火墙即可保障其在整个网络中的正常使用。不仅可以提升企业网络的安全性,也可以让企业在未来升级网络时更加流畅。深信服市场行销部技术总监殷浩表示,如果原有的传统安全产品处于正常使用周期内,建议只启用下一代防火墙的应用层安全防护功能和原有的产品及方案形成互补。当原有传统安全产品超出正常使用周期,可以启用下一代防火墙的其他安全防护功能进行替换。如果企业需要新建一个网络,则建议直接选择下一代防火墙构建安全防护体系。对于安全要求更高的金融、运营商单位,建议采用两种下一代防火墙品牌进行异构部署。
在本次采访过程中,记者发现各家厂商产品的研发和设计理念有三点是共通的:即易用性、全面可视化和用户需求。这三者即是相互独立,又是相互联系的。在这个越来越强调人机交互的时代,安全产品也需要做到好的用户体验。网络管理人员对于产品熟悉的程度越快,就越能更好、更快地将其发挥到最大功效。全面可视化可以让用户更好地对通过防火墙的流量进行分析。只有获取的信息足够充分,才能做出更为合理的分析、对防火墙部署更有效的策略。产品的设计和研发最终目标是销售给客户,因此产品必须要满足用户的需求。安全威胁每时每刻都在发生、更新,也会随着安全防御技术的发展而变化,互相抑制、互相刺激。作为厂商来说,用户需求的满足不单只是当前需求的满足,更要看到更长远的未来需求。只有这样才能让自己的残酷的市场竞争中立足,最终成为领导行业风向的企业。
非淡泊无以明志,非宁静无以致远。在当今瞬息万变的快餐时代,我们不仅需要接受新事物,迎接新挑战,寻求新突破。也需要我们拥有一颗坚守的心,一份不为世俗所打扰的魄力。网络安全需要你我共建,网络新时代等待我们共创。只要心中有梦想,哪怕山重水复,哪怕道阻且长。