近日发布的“第二代防火墙标准”引起了网络安全市场上的一些争议。相比市场上通常提及的下一代防火墙,第二代防火墙究竟是什么?第二代防火墙标准又是一个什么样的标准?
一个标准在信息安全市场上引起了争议。这个标准就是“第二代防火墙标准”。
“一个客户问我们,现在已经有了第二代防火墙,你们的产品怎么还是下一代防火墙?”一家国内网络安全厂商的下一代防火墙产品经理告诉记者。
究竟什么是第二代防火墙?它和下一代防火墙有什么关系?“第二代防火墙”这样的名称是否真的给用户造成了困扰呢?
名称之困
众所周知,无论国内外,如今很多安全厂商都在进行下一代防火墙产品的研发和推广,发布了很多下一代防火墙产品。
在这些厂商看来,由于安全威胁的复杂化,以及向应用层转移,传统的仅对网络层进行过滤和控制的防火墙已经不能满足当前企业的网络安全防护需求,所以引入了下一代防火墙概念。
最早提出下一代防火墙概念的是Gartner。早在2009年,Gartner就提出了下一代防火墙(Next Generation Firewall,NGFW)的概念,它指出下一代防火墙必须有标准的防火墙功能,如网络地址转换、状态检测、VPN等,以及企业所需要的IPS、防病 毒、行为管理等功能。
也就是说,Gartner认为,下一代防火墙是防火墙(Firewall,FW)的延伸。它首先要具备防火墙的功能,同时又在防火墙的基础上,加入了IPS、行为管理等高级功能,来满足企业新的安全防护需要。
那么,在“第二代防火墙标准”中的第二代防火墙又是什么呢?事实上,在该标准中明确指出了,其所指“第二代防火墙”就是市场上的下一代防火墙。
然而,根据网络安全领域公认的说法,防火墙(FW)的发展早已不止两代。被公认的第一代防火墙几乎与路由器同期出现,采用了包过滤技术。而早在 1989年,贝尔实验室就推出了第二代防火墙,即电路层防火墙。基于动态包过滤技术的防火墙被称为第四代防火墙,1994年,CheckPoint根据该 技术率先开发出商业化产品,成为当时防火墙领域的领跑者。历经演进,有人认为,当前的防火墙应该算作第七代防火墙。
所以,将当前的下一代防火墙改称为“第二代防火墙”,确实存在争议。这样的做法,有可能对某些不明就里的用户产生误导。
有业内人士认为,命名上的失误其实是个严重的问题,一个标准的命名犹如大树的根基。如果根基存在问题,那么这棵树的树干、树枝等细节就没有讨论的必要了。
当然,标准应该科学严谨,使人信服。记者猜想,标准制定者之所以用“第二代防火墙”来指代下一代防火墙,可能出于“下一代”这样的名词不够严谨的考虑。
然而,一些业内人士认为,一方面,下一代防火墙历经多年的发展,已经成为了市场上的一个成熟的产品概念,得到了厂商和用户的认可;另一方面,之 所以称为“下一代”,是源自国外的直译,国外的防火墙(FW)和下一代防火墙(NGFW)是两种概念和产品形态,根本就不是所谓第一代与第二代的对应关 系。
乐观地看,命名之争似乎也无伤大雅。既然标准已经出台,业内人士和用户只要在心中默默将这个“第二代防火墙”与市场上的下一代防火墙划上等号即可。然而,从一个标准的命名上就折射出问题,也可能说明这个标准的制定过程存在或多或少的问题。
多少人参与其中?
2月份该标准发布会给人的感觉是,参与标准制定的只有少数几个单位。通常,这种技术类标准的制定有业内厂商参与很正常。问题在于,当前下一代防 火墙市场颇为火爆,参与其中的厂商众多,几家厂商是否能够代表主流的行业情况?在标准的制定过程中,是否还有其他厂商参与?参与的情况如何?
资料显示,该标准的编制早在2012年12月就已经开始,编制过程历经近两年,经过了6轮修改和讨论。然而当记者希望就该标准编制过程询问国内 其他下一代防火墙厂商时,有的避而不谈,有的只是简单表示标准制定的前期也参与其中,并且其产品完全符合该标准。还有一家企业在要求隐去名字的情况下,向 记者吐露了心声:“我们感觉,自己在这个标准制定的过程中的参与感不强。”
该企业相关负责人向记者坦言,在该标准发布之前,他们也参与其中,但是感觉能够参与的不多。“很多东西都是已经定好的,没有商量的余地。针对标 准中的一些问题,我们也进行了正式的书面反馈,提出了修改意见。虽然有些地方也进行了修改,但是我们感觉并没有达到我们的预期,和目前市场上的真实情况还 存在距离。”这位负责人说。
“例如标准中对于Web攻击防护方面的表述就值得商榷。无论是国外还是国内市场,绝大多数安全厂商都把下一代防火墙和Web应用防火墙(Web Application Firewall,WAF)视为两款不同的产品,只有极少数厂商将这两者整合在一起。而在这个关于下一代防火墙的标准中,提及了很多Web攻击防护方面的 内容。在我们看到的草稿中,有七条关于Web攻击防护的指标,在最终版中缩减成了三条。”这位负责人补充说,“如果是七条的话,可能国内只有极少数产品能 够符合标准,而且它根本不符合当前国内外市场上主流产品的情况。”
标准制定的学问
通常情况下,一个技术标准的制定存在两方面的价值。一方面,标准可以作为先进的行业标杆,引导行业内的企业向标准的方向前进;另一方面,标准可 以作为准入门槛,将落后的、被市场边缘化的产品挡在门外,帮助用户选择合适的产品。无论体现哪方面的价值,标准都应该对产业发展起到促进作用,带动这个行 业更快、更健康地发展。当然,“第二代防火墙标准”的制定同样出于这样的初衷。
放眼如今的网络安全市场,几乎所有的防火墙(FW)厂商都推出了自己的下一代防火墙产品,而其他一些非传统的网络安全厂商,也纷纷推出下一代防 火墙产品。同时,各个厂商对下一代防火墙产品的认知也有所不同,并且按照自己的认知和理解去研发产品,并推向市场。当前市场上甚至存在同样叫做下一代防火 墙产品,但不同厂商之间的产品功能差异巨大的问题。
不可否认的是,在这样的背景下,“第二代防火墙标准”对行业的规范产生了积极作用。该标准指出了“第二代防火墙”除应具备传统防火墙的功能外, 还应具备应用层访问控制、融合多项安全功能、深度内容检测、高性能等特征,并且强调了一体化引擎、多功能开启后性能不能大幅下降等指标,对下一代防火墙产 品的规范具有一定的意义。
然而,标准制定确实是一门学问。如何引导行业的发展,如何将门槛设置得既不太高(把大部分产品排斥在外,不能兼顾各方的共同利益),也不太低(门槛形同虚设,起不到鼓励创新、淘汰落后的作用),让标准发挥最大的价值和作用,本身就需要标准制定者具备相当的智慧和能力。
当然,标准起草单位只有进行更加广泛的调研,充分了解市场的真实情况,并将这种情况反映在标准中,让标准符合大多数相关方的利益,才能不顾此失 彼,让标准真正起到其应该具有的作用。回到下一代防火墙标准的问题上,在当前国家对网络安全高度重视的背景下,也有业内人士认为,应该制定包括下一代防火 墙在内的一系列国家标准,为国家和企业的信息化保驾护航,也为进一步促进和规范网络安全市场的发展。