2009年,Gartner在《Defining the Next-Generation Firewall》一文中首次定义了NGFW这个术语,用来形容应对攻击行为、业务流程和使用IT方式的不断变化防火墙产品发展所要经历的必然阶段。Gartner 认为,下一代防火墙(NGFW)是一种多功能集成式线速网络安全处理平台,包含所有标准功能,即常见的网络功能,如网络地址转换(NAT)、包过滤和全状态包检测功能,而应用识别、控制和可视化是其重要的核心特性。放眼今天的信息安全市场,各个厂商对NGFW热情高涨,但部分用户却认为NGFW和UTM产品的差别不大,对二者的概念也不是很清晰。那么,到底该如何定义NGFW?它和UTM又有那些不同?用户该如何选择适合自己的NGFW产品?带着这些疑问,记者采访了东软网络安全营销中心产品策划部部长王军民,与大家共同分享东软安全对NGFW的看法以及相关产品和技术理念。
记者:下一代防火墙与传统防火墙、IPS和UTM存在哪些不同?
王军民:应用识别是防火墙未来发展的重要技术方向,基于应用的攻击不断变化,也要求防御技术必须有所提升。对于这样的变化,传统防火墙只能望而兴叹,因为它在应用层无法起到良好的防御效果;而IPS仅关注应用层检测,防火墙功能较弱,这也是有些用户把IPS当做IDS使用的一个原因;UTM则是一个集大成的产品,能够很好的融合各种安全技术。但是,一个缺乏统一指挥、统一资源调配的庞大团队,产生的效率低下问题是无法避免的。NGFW的使命,就是在性能、安全性、易用性、可管理性等方面有一个质的飞跃,满足用户新的防御和管理需求。相对于传统防火墙和UTM产品而言,NGFW与它们的主要区别在于:
一、传统防火墙局限于IP地址、接口层面的安全防护。从基于简单包过滤技术防火墙到基于状态检测技术的防火墙,重点的防护还仅仅是停留在OSI模型的四层以内;
二、UTM是在“瘦防火墙”基础上发展而来的,集防火墙、IPS、VPN等安全功能于一体的集成安全网关,或者说是“胖防火墙”,其不足之处在于处理机制繁琐,效率低下,内部安全模块间缺少智能关联;
三、NGFW除了具备传统防火墙功能外,更关注针对应用层面的安全防护。实时性、准确性、高效性也成为下一代防火墙的主要特点。它会根据深度包检测引擎的检测结果,自动识别到该流量在应用层执行的安全策略。流量控制需要更“精细化”的管理,不仅仅能够对异常攻击流量进行阻止或允许动作,更可用来进行基于应用层的QoS控制。控制粒度更为细致:例如,可允许用户使用Netmeeting会议,但禁止其白板功能等。检测顺序也更为高效:设备对数据流仅需进行一次检测,IPS、FW模块并行进行识别判断。另外,高效面对变化多端的应用威胁也是该类产品的重要特点之一。
记者:下一代防火墙的市场现状和发展前景如何?
王军民:从目前情况看,未来两年将是NGFW产品高速发展的一段时间。我个人认为,它会成为传统防火墙、IPS的阶段性终结者。Gartner预测2014年底,NGFW将占有防火墙(以及IPS)市场的60%。历史不会重现它的事实,但会重现它的规律。每一种新技术的出现都将取代旧的技术,无论当前各个信息安全公司的认识与认可程度如何,NGFW终将成为当前网关类产品发展的显而易见的技术方向。
记者:行业用户部署下一代防火墙需从哪些角度考虑?
王军民:针对应用识别的性能仍然是首要重点考虑的因素。而另一个重要因素就是应用识别的准确性和丰富性。传统防火墙的选择是很简单的,只需关注网络吞吐量、并发连接数、新建连接数等几个指标,目前的传统防火墙在性能上是完全可以达到要求的。而NGFW必须具有强大的DI处理能力,这个关键因素是NGFW的固有优势,同时也正是普通UTM产品的短板。而作为侧重应用层防护的产品来说,应用协议识别的丰富性、准确性是非常关键的。甚至可以说,它是确保用户网络安全的核心所在。
记者:东软从何时开始研发下一代防火墙,核心技术是什么?研发的历程请简单介绍一下。
王军民:东软从2007年开始进行新一代NOS设计时,在思路上与Gartner所提的NGFW不谋而合,可以说在很大程度上两者是一致的。
一、在系统架构上,并非各个模块的简单堆叠,对数据流的检测已经做到了IPS、FW等模块的并行检测处理;
二、基于应用的智能识别已经贯穿到整条产品线中。例如,针对SIP的控制,已经细化到命令级,控制粒度可以做到允许视频但不允许其中作共享;
三、在性能提升上,除了进行多核支持外,更将部分策略集成到ASIC芯片中。通过“多核+ASIC”的结合,大幅提升了DI的检测效率。
东软一直保持着对世界前沿技术的跟踪和技术的不断创新,为用户所带来的价值将一如既往的体现在我们优秀的产品之中。
记者:东软的下一代应用防火墙有哪些技术亮点?能够帮助用户解决哪些问题?
王军民:东软的下一代应用防火墙的显着特点是:
一、从硬件层面,基于“多核+ASIC”的混合架构提升DI检测效率;
二、软件架构采用并行的一次性检测技术,大幅提升检测效率,避免串行检测带来的低效问题;
三、采用核心的NEL语言进行多点并行检测,在提升检测效率的同时,提高了检测的准确度,有效减少了误判、漏判的发生。
当前用户亟待解决的主要问题是对应用攻击的防护,而高效、准确地识别应用攻击是东软下一代应用防火墙的“拿手好戏”,能够切实地帮助用户解决棘手的防护难题。
后记
据悉,东软下一代应用防火墙相关产品已经开始进行大规模的推广,目前也获得了良好的市场反馈。在未来,东软下一代应用防火墙所面向的受众将更加广泛,在电信、金融、电力、政府等各大行业中将会得到更加深入的应用。另外,产品覆盖度将更加宽广,可以覆盖从100Mbps低端至40Gbps的高端市场。同时,它可以通过灵活的模块化控制机制,有针对性地为不同行业的客户提供准确的安全防护方案,为其带来前所未有的安全防护体验