四年前,Gartner正式发文定义NGFW(下一代防火墙)。四年来,众多网络和安全厂商对下一代防火墙趋之若鹜,衍生出一片繁荣景象。由于NGFW将安全防护上升到了应用层,因此一些以上网行为管理为主,专注于网络管理和优化的厂商也推出了下一代防火墙产品。也正是这些具有不同背景厂商的纷至沓来,才给下一代防火墙市场注入了前所未有的活力。
虽然下一代防火墙的诞生让泛防火墙市场规模和厂商数量进一步扩大,但不可避免地还是产生了产品趋同的情况。正因如此,也让UTM与NGFW之争持续了长达数年之久,并且至今仍未停歇。从研究定义到细分市场再到如今的口水仗,这场产品形态的争执如今也渐进尾声。很多人在辨识产品时都人云亦云,也就无从评判。不论是功能还是性能,NGFW与UTM的差别其实不大,尤其是摩尔定律依旧不破,硬件性能逐年上升。2004年UTM出世,时隔五年NGFW诞生,到明年NGFW的定义就满5年了,因此从周期性考虑,笔者大胆假设:“下一代防火墙”的下一代是不是快来了?
NGFW:少爷身子跑堂命
笔者曾对NGFW产品的发展有着这样的期许:NGFW 的下一代应该是各厂商的个性化定义,以此取代不同的单一产品,例如WAF、IPS、IDS、 流控等。
此前,业界一直关注于下一代防火墙产品的功能与性能,其实还都是从产品角度在思考问题,而忽视了用户方面的真实感受。很早以前笔者就曾明确表示用户方面并不在乎一台安全网关设备是UTM还是NGFW,只在乎是否能够满足需求。
今年4月份,Alogsec公司在欧洲信息安全展进行了一项涉及130名欧洲IT安全专业人员的调查。结果显示,在已经部署了NGFW的受访者中,大部分受访者(57.1%)表示他们的防火墙管理过程增加了更多工作。近70%的受访者称与传统防火墙相比,他们必须对下一代防火墙作出更频繁的策略调整。
由此可见,虽然NGFW给防火墙带来了前所未有的可视化体验,但是对于策略变更的频度和复杂度的提升也是空前的。但是目前看来第一代的NGFW产品可能并不能在简化操作上有更多作为。安全功能固然重要,用户的使用体验也同样重要。在国内中小企业甚至一些大型企业中,IT运维人员的技术水平与国际水平将去甚远,连国外安全专业人士都表示NGFW管理复杂,就很容易理解为何在国内很多NGWF都被当成WAF或者流控设备来使用了。
防火墙开启智能时代
既然要用一个盒子来帮助人来做决策,那么简单的基于各种日志的数据挖掘就略显乏力了。这时就需要机器能够像人一样思考,或者接近人对数据或事件看法,那么就需要引入深度学习和机器学习来帮助防火墙模拟人脑进行分析学习来解释数据。因为人的认知是有深度且层次化递进的,要想让防火墙做到智能,那么就要让机器也能够有深度地学习,这也是深度学习算法的原始动机。但是另一个问题又来了,深度学习明确指出不充分的深度学习是有害的,而凭借现有的硬件水平不足以在防火墙中做到足够深度的学习。但是随着技术的发展,如果防火墙真能如此智能,那么所谓的DPI性能也就不是问题了吧。
下一代的NGFW产品,需要提升的不仅是安全水平,更多需要侧重于用户使用的便捷。正所谓不破不立,近期的一场产品发布会既证实了笔者对新产品诞生的假设,又将笔者带入了对于产品形态的反思。从个人角度来讲,笔者很高兴见到终于有人可以打破常规,冲破惯例推出一款让人眼前一亮的防火墙了。INTELLIGENT NGFW( 智能的下一代防火墙),官方名称下一代智能防火墙。山石将传统的安全基线进一步简化,通过借鉴安全软件的“评分”理念,对网络健康状态和用户信誉进行“评分”,再通过一系列的技术手段让防火墙可以进行动态策略变更,免去了管理员相当一部分的工作量。
在两套评分体系的背后,都是依靠数据挖掘技术来支撑。通过对于大量系统日志、安全日志、会话信息、抓包文件等信息进行收集,在利用数据挖掘技术进行关联分析,对用户行为、应用行为、流量模式等等进行监控和分析,将检测异常的操作与应用和流量优化同时进行后,呈现给用户两个简单的分数,给用户带来更直观的感受。在使用界面上,更是添加了全网的模拟拓扑图,可以通过不同节点上的颜色来直接判断该节点的“健康”状况,即连通、阻塞还是断开等等。
虽然这次的产品被称为智能防火墙,但按照科学定义的智能还需要再进化。诚然,从功能手机到智能机的跨越有一个过程,从传统防火墙到智能防火墙的演进同样需要时间,毕竟其把控着网络的连通。如果想让智能防火墙帮助管理员简化网络管理和做精准决策,甚至真正成为管理员的“大脑”,那么紧靠目前应用到防火墙中的技术还不够。