什么是真正的下一代防火墙?

随着BYOD、云计算和社交网络的流行,网络已经迎来了大带宽时代。移动办公消除了网络边界,数据中心的云化、面向云和面向虚拟机的安全带来了新的挑战。应用和社交网络给安全管控也带来了新的威胁。被动防御为主的传统防火墙已经不能应对新型威胁,企业需要更主动的防御方式。

2009年Gartner发布了一篇白皮书,增加了一名新成员——下一代防火墙(NGFW),它基于用户、应用和内容作为管控基础。现在已经距离当时过了四年,在这四年期间,下一代防火墙作为业界的新词越来越火,国内外众多厂商纷纷推出了自己的下一代防火墙产品,但它们真的是下一代防火墙吗?还是披着“下一代防火墙”外衣的UTM或者上网行为管理产品?

什么是真正的下一代防火墙?

首先它应该具备基本防火墙的功能,如NAT、VPN等;第二,也是最核心的本质特性:应用识别能力,且应用识别应该是下一代防火墙所有安全管控的基础,而非简单的为了实现应用控制;第三是要跟IPS深度的集成,而不是简单的功能叠加;最后,Gartner还要求NGFW提供诸如智能联动和智能分析等一些辅助功能。

下一代防火墙功能众多,它将取代UTM、WAF或者上网行为管理吗?

Gartner在企业防火墙魔力象限报告中指出,出现这种疑问的原因主要有两个:一个是在技术术语,不同产品之间确实有重合之处;另一个方面则是由于厂商混淆视听的营销宣传所致。Gartner强调,下一代防火墙有其独特的产品价值,与上述产品有明显的区别。

下一代防火墙vs高级防火墙

下一代防火墙的性能和功能无疑更强大了,但仅仅如此与高级防火墙有何区别?有些厂商在防火墙上加了一些简单的应用识别;有些厂商在流量管控的基础上,加上一些威胁防控;还有一些DLP厂商转身来做下一代防火墙。

其实下一代防火墙代表的是完全不同的安全理念,在部署、使用、管理乃至整个安全模式上都与传统防火墙截然不同,NGFW能够把整个策略实现原理和对网络资源调度提升到新的应用管理水平,它还颠覆整个防火墙访问控制管理的基础,带来了新的管理视角,因此实际上能够简化管理。

在众多厂商发布了NGFW后,华为作为后起之秀,今年下半年也将推出NGFW。华为安全产品营销经理朱峰指出NGFW面临四大挑战。

1.管控是否精细。随着IT潮流的巨变,NGFW如何识别更新的应用,如何在应用过程中识别风险,解决新IT环境下边界失效的问题,重新建立起网络边界的有效管控,成为首要挑战。

2.管理是否简单。NGFW在强化了管控手段以后,管理配置的复杂度明显提升,面对着数以千计的应用选择,那些隐藏风险?哪些对工作有用应该打开甚至保障带宽应用?哪些对工作无用需要进一步的控制甚至阻断?这对管理员提出了更高的管理挑战。

3.可辨未知威胁。近几年新威胁和新挑战持续增加,特别是未知的攻击越来越多,很多的攻击行为非常隐蔽的,需要延时去检测,黑客行为已经是组织化,甚至国家化。防火墙的作用类似网络出口的看守,要能够对新的威胁做防护。

4.性能是否足够。有些产品一旦开启强制性防护,性能急剧下降,基本不可用,NGFW如果不想重蹈覆辙,在性能方面一定要有自己的定义,是要有专门的测试办法和门槛要求的,不是说有了某些特性就可以。而且这些特性一定要在真实的网络环境下可用,不是摆设。

华为企业网络产品线的安全产品总经理左文树表示:“针对以上挑战,华为的NGFW能够做到四点:一、细粒度管控。为了应对移动化、虚拟化、社交化,除了价值应用、用户和内容外,还应该感知位置、风险和设备等。二、智能管理,随着配置维度的复杂化,管理会变为一个瓶颈,华为的NGFW提供了一种全新的管控视角,通过流量分析,自动识别网络中的应用,风险和问题,给出合理的意见和建议,方便使用者和管理者。三、全面防护。不仅识别应用,还要识别应用威胁、风险和未知威胁,可有效防御APT攻击。四、高性能体验。NGFW的基础性能是在同时开启防火墙和应用识别时的产品性能,因为应用识别是NGFW的基础,所以开启应用识别后的性能,才能代表NGFW的基本性能。NGFW的高性能就在于开启了所有威胁防护后,其性能相对基础性能的下降幅度不能超过50%。”

华为的NGFW提供独特的ACTUAL管控机制。通过六个维度进行管控:A是App,C是Cantent,T是Time,U是User,A是Attack,L是Location,不仅可识别6000多种应用,还可以识别应用中的威胁和攻击位置,提供最细粒度的管控。此次华为发布的全系列NGFW,面向企业和运营商,一共有十余款设备,覆盖到1G-40G应用层性能,提供20G全威胁防护性能。