727
下一代防火牆究竟是誰的菜
前幾天一個高校老師來電話,提到在即將進行的網絡出口改造項目中,不少安全廠商開始引導他關注NGFW。然後老師自己對NGFW發表了一通看法,總結完其實就是一句話:不能做應用識別、線速、引流的防火牆不是好路由器。
大量惡意軟件不能被檢測到
這句話至少說明了兩個問題:第一,老師的需求,就是字麵上的意思;第二,用戶有自己的評估方式,任你廠商包裝得如何花團錦簇,用戶隻從自身需求的角度看產品。在價格合理的前提下,產品對用戶需求的滿足度越高,用戶的接受程度(至少是興趣)自然也就越高。
請大家一起看看在業務模型的角度,用戶是不是能接受NGFW。
先圈定範圍。Gartner認為NGFW的潛在用戶是Enterprise,本土化的翻譯叫做行業用戶。運營商可以算作一類行業用戶,但中小企業不行,其需求和資金投入決定了NGFW不是它們的菜。
然後來看應用場景。目前NGFW的應用場景主要分兩大類,一類是以南北向流量為主的互聯網出口,另一類是以東西向流量為主的數據中心(特指以虛擬化技術為基礎的大型數據中心)。這基本等同於傳統防火牆的應用場景,所以Gartner一直把NGFW的數據放到EnterpriseFirewall裏合並統計。
互聯網出口——運營商、教育和IDC
雖然所有行業用戶都會有自己的互聯網出口,但其需求卻有很大差異。如果是帶有運營性質的網絡,運營者不必對安全負責,所以此類用戶對邊緣網關的需求主要體現在網絡層麵。
先看運營商。城域網及以上層麵基本沒有安全網關的位置,除非IPv4地址不夠,才會考慮引入安全產品做NAT(4/4、4/6)。這點需求,傻快傻快的傳統防火牆顯然更合適。對二三線運營商和小區寬帶來說,NAT(4/4及審計)、多鏈路負載均衡、流控、基於應用的引流是剛需,NGFW比傳統防火牆有優勢,但對愈發強大的專業流控產品來說可能稍顯劣勢。
再看教育行業。高校網絡中心或市、區級信息中心其實等同於中小運營商,對邊緣網關的剛需自然也大同小異——NAT(4/4、4/6及審計)、多鏈路負載均衡、流控、基於應用的引流。不過他們多少要考慮安全問題,否則出了事頭疼的還是自己,所以對IPS、AV都有比較明顯的需求(不過不是剛需)。此外,教育行業用戶對審計的需求相當強,不少用戶在交流中都提到過關鍵字級別的過濾與審計(剛需)。如果能在合理的價格區間內,在性能滿足需求的前提下提供有效的安全保障,並且有足夠強的審計功能,NGFW會體現出一些優勢。
最後提一下IDC,因為它有運營性質,理論上安全也不是剛需。不過現在IDC運營者必須考慮DDoS攻擊防範,NGFW目前隻能做在線式的抗DDoS,無法從根本上解決問題,很難得到用戶信任。至於安全服務化、增值化,國內IDC業者似乎很早以前就開始推,但一直也沒形成氣候。
互聯網出口——其他行業
除了運營商、教育和IDC,其他行業用戶的互聯網出口對安全網關的需求又有所不同,應該說更關注安全。
除了NAT(4/4及審計)、多鏈路負載均衡、流控和基於應用的引流,VPN也成為剛需的一部分。這類用戶對IPS和AV的需求更加旺盛,但仍構不成剛需。此外,雖然一些NGFW產品已經具有一定的上網行為管理和DLP功能,但對於大型行業用戶來說仍不夠專業,因此難以取代單獨功能的設備。
不過,部分用戶在交流中也坦言被NGFW的一些新特性所吸引,產生了摸著石頭過河的意願。比如健全的用戶身份係統,能讓配置和運維更簡單高效,報表功能更強大全麵。再比如最基礎的應用識別功能,有讓管理運維思路走向白名單化的趨勢,如果識別率夠高、誤識別率夠低,無疑能讓網絡運行效率更高,也更安全。
在許多行業專網中,安全網關本身就已經有取代路由器的趨勢。如果NGFW在動態路由方麵支持比較完善,那麼對於傳統防火牆和路由器來說更具競爭力。這個市場很大,有待國內安全廠商充分挖掘。
最後,NGFW對於此類用戶還有一個比較現實的問題,就是管理權的歸屬。這個問題處理不好,恐怕會對NGFW的普及造成負麵影響。剛剛又有用戶和筆者討論過這個問題,他們集團之前采購了上網行為管理設備做流控和審計,但安全運維部門和網絡運維部門在設備的管理權上產生糾紛,最後隻用它來做審計,同時又采購了一台流控設備交給網絡運維部門使用,完全就是重複浪費。安全功能的集成化是大勢,用戶的IT組織架構必須適應這種融合的趨勢,進行適當的調整。
數據中心
說完行業,再來看數據中心。對於以東西向流量為主的大型數據中心而言,安全防護的重點在內部。出口也不是不重要,但最多當做一個獨立的安全域去看待就夠了。其對安全網關的剛需比起互聯網出口有了不小的變化,主要包括2-4層訪問控製、服務器負載均衡、IPS和WAF/防篡改。
寫到這裏不由感歎,深圳某公司的眼光真毒,其類NGFW產品應該也是國內銷售額最高的,應該給產品規劃人員加薪。
NGFW的一個切入點在於應用識別和基於應用的白名單控製,這雖然還不算剛需,但可以給數據中心的安全保障提供額外的技術手段。海外已經有了比較成熟的部署模型,甚至進入到行業規範;國內也有行業用戶開始嚐試,思路在之前大連電子政務外網的案例中有過詳細闡述。
不過,對於NGFW在數據中心內部的應用,目前運營者還不是很看好。其實,大部分運營者對數據中心內部安全防護尚無清晰的解決思路,流量到底是牽出來給一個高大強的設備處理,還是通過VM版本的安全設備處理,還沒有個主流意見。但流量不管是遷出還是在內部消化,現有NGFW產品都麵臨性能和成本方麵的瓶頸。像BTAS麾下的商業數據中心,內部流量動輒百G起步,NGFW的部署成本太高,方案也太複雜。
數據中心出口麵臨的另一個嚴重的安全威脅是DDoS,剛才分析IDC的時候已經說了,目前的NGFW產品很難贏得用戶信任。
對於VM形式交付的NGFW方案,未來倒是值得謹慎看好。大型行業用戶如果將業務從本地向雲端(尤其是公有雲)遷移,多樣化的安全需求隻能靠自己解決。在這方麵,行業巨擘已經給出了非常全麵的方案。
總結:高舉低打才能成就NGFW
基本上把行業用戶的主要需求總結了一遍,NGFW能否被用戶接受,人人心裏都應該有數了。
可以看到,未來NGFW的主戰場還是以南北向流量為主的互聯網出口,用戶長期以來的剛性需求其實就是高性能NAT,這也是大部分場景中傳統防火牆能取代路由器的主要原因。今天,殘酷的現實令應用識別、流控和基於應用的引流成為新的剛需,善於此道的NGFW也就有了足夠的群眾基礎,甚至讓業界產生了“下一代的精髓就是流控”的判斷。
這絕對是中國特色。海外用戶普遍認為IPS及智能聯動才是NGFW的精髓,國內用戶卻把優先級排到應用識別、流控和基於應用的引流後麵。想在國內市場有所斬獲的NGFW廠商,除了必須充分認識到這一點、在功能上有所側重外,行銷上還要高舉低打,直擊用戶痛點。不過,縱觀目前市售NGFW產品,能做到這一步的還不多。在專業流控產品和單一功能安全產品的夾擊下,NGFW的普及之路仍然漫長。
最後更新:2017-04-03 18:51:53