394
技術社區[雲棲]
理性看待下一代防火牆
誌不強者智不達。自從2009年Gartner定義下一代防火牆至今,國內外業界風起雲湧,競相角逐。但是下一代防火牆成為眾家“香餑餑”之時,便可能成為跟風者邯鄲學步之日。滾動著泡沫的一汪沸水,你能否看到水底蘊藏的那潛在力量?
2007年,Palo Alto Networks發布世界第一款下一代防火牆產品。此後,國際網絡行業領導廠商諸如 Barracuda Networks、Cisco、Check Point、Dell SonicWALL、Fortinet、Juniper Networks等等公司也相繼推出下一代防火牆。國內廠商自然不甘落後,2011年深信服發布中國第一款F代防火牆伊始,拉開了中國廠商開啟下一代防火牆模式的序幕。一年來,國內廠商宣布推出“下一代”單品的已有迪普、東軟、銳捷、深信服、天融信、網康、網神等。越來越多的廠商注意到了將設備與雲相結合,使用雲計算的優勢來進一步提升下一代防火牆在未知威脅防護上的處理效能,但是在硬件設備方麵卻鮮見有亮點的升級,加之中國大部分廠商都隻是今年才推出第一代NGFW產品,所謂有亮點的產品升級更新更無從談起。誠然,下一代防火牆已經逐漸被市場所接受、認同,但這是否是因為誇大的市場宣傳而“被接受”了呢?
從一年前的鳳毛麟角到如今的滿城盡是“下一代”,網絡安全新產品的蓬勃發展是我們願意看到的,但如果是廠商為了迎合“下一代”風潮而削足適履,這是我們不願意看到的。當然,我們更不願意見到的是無休止的炒作掩蓋了產品的真正價值。
新技術應對新挑戰
通過對多家安全廠商的走訪,記者發現大家不約而同地指出網絡活動急劇增加,也日趨複雜,安全攻擊出現多樣性,雲計算、移動互聯網、BYOD、Web 2.0等成為了新時代的網絡安全挑戰。
Web2.0時代帶來爆炸式的應用增長,對傳統防火牆造成了極大的挑戰。在各式各樣的Web應用瀟灑地通過80端口時,基於“五元組”的傳統防火牆無異於被蒙上雙眼的士兵,不再能很好地守護網絡的安全。
此外, APT攻擊近年來分外活躍。Stuxnet病毒不僅使伊朗核計劃遭到重創,也拉開了工控係統入侵的序幕。長久以來,工控係統被認為並不會受普通電腦病毒的影響。隨著這一想法被顛覆,更多的網絡攻擊將會瞄準工控係統和物聯網。在網關處,更深度的數據包檢測、病毒入侵防護,以及工控係統協議的支持等需求也變得越來越迫切。
在談及如何應對新時代帶來的新挑戰時,銳捷網絡安全產品線經理王福光說:“雲計算等新技術應用的發展,帶來了三個方麵的轉化,即數據集中化;應用複雜化;邊界多元化。數據的上收讓雲計算核心的數據中心承擔著巨大的安全壓力與挑戰。如何在保障安全的同時滿足高速、無瓶頸的性能要求,也成為了防火牆的基礎要求。”
Check Point安全顧問吳航在采訪中也表示,APT(高級可持續性威脅)攻擊在近兩年也愈演愈烈,Stuxnet病毒對於工控係統和物聯網的影響已經改變了業界關於安全的觀點,很多大的企業已經意識到威脅的形式發生著巨大的改變。因此對更加高效、多功能的網關防護設備的需求程度也在不斷提高。
通過研究Gartner和NSS Labs對於下一代防火牆的定義發現,作為一個整合深度數據流檢測、應用安全識別,以及攻擊防護的安全平台,必須要具備傳統企業級防火牆的全部功能。比如基礎的包過濾、多層狀態檢測、NAT,以及麵對一切網絡流量時保持高穩定性和可用性。在此之上,下一代防火牆還必須要具備應用識別和控製、用戶及用戶組控製、完整的IPS功能、靈活的功能擴展選擇和外在信息源。其實還有一點,也是業界一直在宣傳的,在開啟多個功能,甚至是全功能時,性能下降不明顯,這也是區分UTM與NGFW的一個顯著標誌。
“下一代”不僅僅代表了多功能、高性能,更是對於傳統設備軟件和硬件技術的革新。對此觀點,我們也獨家連線了美國網絡世界安全頻道資深編輯Ellen Messmer。Ellen認為,下一代防火牆對於傳統基於端口檢測的防火牆來說是革命性的改變,它打破了以往UTM簡單將各功能模塊串聯起來的基礎架構模式。
對於設計架構方麵,下一代防火牆從基礎架構上解決了多功能開啟時UTM性能急劇低下的問題。Palo Alto通過獨家設計的單通道並行處理架構,緊密結合了軟件與硬件,簡化了管理工作,也提供了一個流暢的運行程序與最佳性能。這個架構的卓越之處在於,當數據流通過時,軟件通過一次性的策略查找、應用程序的識別和解碼、用戶的識別,以及內容掃描(病毒,木馬,入侵防護),而硬件平台使用特殊功能的處理器執行聯網、安全、威脅防護與管理,使整個設備達到最大的性能與最小的延遲。因此,基礎架構的革新決定了下一代防火牆能夠解決UTM性能瓶頸的問題。
經過一段時期的發展,不論是防火牆市場的老牌勁旅,還是創建沒幾年的新興公司都紛至遝來,推出下一代防火牆,欲求在市場中分一杯羹。通過對多家安全廠商的走訪和產品調查,我們發現目前市場上普遍的下一代防火牆設計架構都趨向於單通道並行處理的一次拆分包技術。但是在實際的應用層處理性能、深度病毒檢測性能等方麵,國內產品與國際領先廠商的產品尚有一定差距,還需要提升自身技術實力,同時進一步接受市場的考驗。
近兩年,廠商和媒體的大力宣傳,防火牆市場表現出蓬勃發展、百舸爭流的態勢,而下一代防火牆也被宣傳成了一款“萬金油”產品。然而我們是否需要冷靜一下,還原一個真實的下一代防火牆呢?
最後更新:2017-04-02 00:06:52