防火墙的下一代思考

下一代防火墙的概念自提出以来,在2011年的上半年忽然达到了顶峰,国内外的安全厂家相继推出了自己的下一代防火墙产品。但热潮退去,下一代防火墙市场逐渐趋于冷静,与此同时,市场上也出现了一些质疑的声音。下一代防火墙与UTM究竟有何区别?它是用户的真正需求还是安全厂商的概念炒作?通过对多家安全厂商的采访,本文将会对下一代防火墙产品的现在和未来进行阐述。

顺应时代潮流

在被问到下一代防火墙推动力的时候,受访者不约而同的都表示这是用户需求所趋。归纳起来,下一代防火墙产品的出现有以下几个原因。

第一,以太网标准现在已经由万兆开始向40G/100G迈进,网络带宽的增长十分迅猛。另外,数据量也在成爆炸性增长,我国各类数据中心和机房总量已经达到50余万个。无论是带宽增长还是数据增长,都对网关安全产品的性能和功能提出了新的要求。对于一些大型企业来说,网络环境趋于复杂,需要寻找新的安全解决方案来满足除了抵挡外部攻击以外的安全需求。

第二,网络环境的变化。传统的网络攻击手段一般都是基于第三层的网络层,而随着Web2.0时代的到来,大量的应用程序都建立在了http和https等协议之上,而传统的防火墙对这些应用程序却望尘莫及。基于网络层的操作就意味着传统防火墙只能根据与数据包源地址和目标地址有关的信息来检测流量,但是对于上述的http和https流量却是无能为力。虽然现在有针对应用层的IPS设备,但是IPS却无法识别具体的应用,达不到目前用户所需的精细力度的应用层控制,因而也无法对特定应用进行防护。

第三,自防火墙的概念诞生以来已经经过了十几年的发展,但是可以发现,在这么长的时间里防火墙的功能并没有变革性的改进,功能、性能方面与网络的飞速前进并不匹配,网络环境的新需求迫使防火墙进行根本性的变革。

第四,概念炒作的嫌疑。就像UTM的出现一样,下一代防火墙一出现就成了安全厂商,尤其是传统防火墙厂商占据制高点的关键。

第五,安全厂商竞相发布下一代防火墙产品,不管是否是概念炒作,也不管产品是否成熟。从市场需求来看,下一代防火墙产品的出现很大一部分程度上是代表了时代的潮流。传统防火墙产品的不足已是共识,新产品的出现已是必然。

应用识别成为焦点

相较于传统防火墙的网络层防护,下一代防火墙的关注重点在于对应用层的识别。目前已经推出下一代防火墙产品的梭子鱼、SonicWALL、深信服、CheckPoint、锐捷、天融信等都将对应用层的识别作为推广重点。

虽然下一代防火墙产品还没有一个统一的标准,但是大多数安全厂商都基本认同2009年Gartner提出的下一代防火墙定义。Gartner认为,下一代防火墙至少应具备以下特征:线速的处理性能、高度融合的IPS功能、应用可视与身份鉴别的能力、传统防火墙功能等四个方面。而目前的下一代防火墙厂商不约而同的将目光定位在了应用识别方面。

每一家下一代防火墙产品都推出了各具特色的应用识别技术。例如梭子鱼的产品经理潘渊介绍,其NGFW可以为用户提供基于应用识别的流量管理,对于企业网链路和VPN隧道中的业务,都能做到流量优先级定义;深信服产品经理王帆则表示其NGAF产品可以充分理解国内本土化的应用,基于应用做到流量管控,保障关键流量。SonicWALL中国研发中心总经理陈中也表示针对应用识别,SonicWALL的下一代防火墙产品可以为用户提供应用智能、应用控制和应用可视化等功能。而CheckPoint中国区技术经理刘刚也表示,其NGFW产品涵盖了从网络层至应用层的所有防护功能,其对应用的控制更是能够达到精细力度。天融信总工程师吴亚彪则认为NGFW更注重在Web2.0时代的客户体验,比如采用客户化的GUI,多核CPU并发处理等。随着企业的发展,需要更主动,更直观,更定制化,性能更高的安全产品,这是NGFW的特点。对于企业来说,NGFW更贴合现有网络环境,对企业业务保护更加全面,已经逐渐得到了大型企业的认同。

与传统的防火墙相比,下一代防火墙最主要的特征就是对于应用层安全的保障,作为防火墙厂商,山石网科产品经理贾彬认为下一代防火墙基于应用识别只是控制手段的增强,安全性方面可能并没有实质性的提升。黑客技术日新月异,下一代防火墙与传统防火墙还都没有做到主动防御,因此下一代防火墙依然是黑客严重的猎物,安全功能也需要加强。

除了对应用的识别和传统防火墙的功能之外,下一代防火墙还需要支持与防火墙自动联动的集成化IPS、应用识别、控制与可视化、智能化联动这几个主要功能。

UTM的终结者?

下一代防火墙自出现以来,和UTM的对比之声就不绝于耳。在用户方面,往往还有很存在很多迷惑的地方。在此次采访中,针对UTM与下一代防火墙的未 来,所有的受访对象都一致认为,下一代防火墙在未来将来会取代现在的UTM设备。因为,从产品结构、功能、性能等方面来看,下一代防火墙都比UTM要领先 一步。

相较于传统防火墙,UTM提供了更多的安全功能,但潘渊表示,UTM的致命缺陷就是采用串行扫描方式,处理效率低下,尤其在激活了多种扫描过滤功能 之后,整体的性能会使企业的网络受到极大的影响。王帆则表示,UTM只是将防火墙、IPS、AV进行简单的功能堆砌,功能全部开放时的效率非常低下,另 外,UTM在防护方面也不完善,例如Web应用方面的防护就有缺失。

而陈中认为UTM到NGFW是安全产品的进一步演化,相较于备受中小企业的UTM设备,下一代防火墙面对的用户范围更加广泛,NGFW的发展是需求 推动。从技术方面,刘刚介绍了UTM和NGFW的一些区别。下一代防火墙产品之所以能够达到比UTM更高的性能和实现更多的功能,是因为其产品架构之间的 根本区别。NGFW产品自设计之初,就采用了一体化的引擎,而UTM只是把多种安全引擎叠加在了一起,这种做法会使数据流在每个安全引擎分别执行解码、状 态复原等操作,导致大量的资源消耗。而NGFW则不同,它会一次性的对数据流完成识别、扫描,因而可以达到更高的性能。吴亚彪表示,UTM开始的设计就是 针对中小企业网络的,性能受到了很大的局限。UTM的理念是不需要用户开启全部功能。NGFW拥有灵活的架构与扩充性,这主要得益于NGFW支持虚拟化, 使得NGFW能够更灵活的架构。除了定制化能力外,还有一点很重要的就是硬件资源可以通过虚拟化技术进行分配的。举例来说,NGFW很有可能有能力多台防 火墙串连虚拟为单一的防火墙设备,或是将单台防火墙虚拟为多台小型防火墙,达到分开处理流量的效果。

虽然NGFW产品与UTM相比具有了先天性的优越性,但对于追求高性价比的中小企业用户来说,UTM在最近的几年中无疑还有巨大的市场潜力。作为非 下一代防火墙厂商,H3C安全产品部总工李彦宾提出了比较中立的观点,他认为短期来看,下一代防火墙产品比UTM有一定的优势。但从技术的演进来看,受中 小企业客户的强烈需求推动和UTM厂商自身软硬件能力的提升,或许UTM会具备一些新的功能。吴亚彪也认为,NGFW虽然有可能会取代之前的网络防火墙、 IPS、UTM等产品,但这取决于用户的根据自身需求和投入来选择,无论UTM还是NGFW可能在未来一段时间内会并存下去。

百家争鸣

除了遵循Gartner所提出的NGFW定义之外,下一代防火墙厂商都自己的产品添加了特色功能,以满足不同用户的需求。

潘渊认为,在NGFW产品中应该增加网络性能提升的功能,如自适应网络路由,带宽管理,远程接入控制,网络延展性等技术。而使用梭子鱼下一代防火墙产品的信息管理人员就可以轻松管理基于应用的路由配置,根据多链路、多通道和不同的流量情况安排链路的优先顺序。

深信服将目光锁定在了本土化应用的识别问题上,利用其有优势的应用层技术,其NGAF可以基于应用做流量管控,保障关键流量。另外,它还可以做到第二层至第七层的全面防护。

SonicWALL的NGFW的独特之处在于其免重组深度数据包检测技术。它允许用户检测网络内外的一切情况,并且不会造成延迟。因此用户在应用任何标准协议或者临时协议之前,仍然可以保持原有的性能。

而以软刀片架构著称的CheckPoint,虽然在下一代防火墙的概念上一直很低调,但在“一体化”的概念上却很有发言权,它的每款设备都可以运行 多个软刀片,用户可根据需要自行选择所需要的功能刀片。最为独特的是,用户在以后的功能添加过程中,无需购买新的设备,也无需更改自身的网络设置,只需要 更新一下原有设备即可完成。更是为用户提供了统一的管理平台,这也是刘刚认为下一代防火墙应该具有的特征。

天融信的NGFW产品集成了防火墙、VPN、带宽管理、防病毒、内容过滤等功能的,具有高性能、高可靠性、高安全性的特点,天融信NGFW还提供了 强大的网络应用控制功能,用户可以轻松的针对一些典型网络应用。由于采用了天融信自主知识产权的安全操作系统 TOS(TopsecOperatingSystem),并采用模块化结构设计,既提高了产品性能,又提高了产品的灵活性、高效性和安全性。

由于下一代防火墙还未标准化,但安全厂商却在不断推进这件事情。但是,行业总有领头人,谁将主宰NGFW的标准化进程,还要看谁抓住了用户的需求。

统一是未来

不管是对于大型用户还是小型用户来说,他们都希望用最简单的管理实现最多总类的安全。相较于以往采购单个专业安全设备的方式来说,在功能、性能和一体化方面都比较出色的NGFW产品无疑代表了市场潮流。

在记者采访宅急送信息部副总监唐辉辉时,他明确表示出了自己对于NGFW产品非常感兴趣,但是他也表达了自己的担忧。NGFW是否只是一个盒子?他 认为在一个硬件盒子上实现多种功能的集合必定会有性能方面的局限性,就如UTM一般。同时,他也认为,对于大型企业或电信级用户来说,他们是否会相信一个 平台下面可以实现多种安全的保障。

由此可见,用户对于NGFW产品还存有一定的困惑,尤其是在先进还没有标准化,各家厂商的产品功能都有所不同时,这也是NGFW厂商需要去解决的问 题。刘刚在接受采访时也表示,目前具有专业性的安全长品,例如WAF等也会在近几年长期存在,因为NGFW产品在有正式的标准出来之前,市场恐怕难以出现 实质性的进展。

在记者看来,NGFW不应该只是一个产品,它应该是一个平台,该平台可以实现高性能的扩展,多功能的集成,以及多功能之间的联动。同时,用户使用和 管理起来应该简便。每种新兴的技术或产品都需要经过市场的检验,NGFW产品目前刚刚开始发展,但是安全产品走向统一的脚步却不会改变了。我们期待 NGFW产品成熟和市场爆发的那一刻。

编看编想:冷思考

不可否认,UTM和NGFW产品都代表了IT界的统一方向,但是下一代防火墙产品也面临着新技术的一些挑战。一方面,下一代防火墙产品发展还未成 熟,用户对下一代防火墙的认知还有迷惑,市场接受度远没有传统防火墙和UTM那样高;另一方面,云计算和虚拟化技术在用户中的流行也必然会对安全产品的需 求产生影响,例如虚拟化的安全问题、云计算的安全问题,以及最近大数据引起的数据爆炸对安全产品的影响等,这是否应该成为下一代防火墙产品需要纳入的新功 能?这都是安全厂商需要考虑的因素。在这个新技术层出不穷的时代,NGFW厂商要想获取用户信任必须紧跟技术的潮流,不断更新自身的产品,才能把握市场的 先机。