网络通信 频道

关于防火墙的下一代新型产品思考

  【IT168资讯】下一代防火墙的概念自提出以来,在2011年的上半年忽然达到了顶峰,国内外的安全厂家相继推出了自己的下一代防火墙产品。但热潮退去,下一代防火墙市场逐渐趋于冷静,与此同时,市场上也出现了一些质疑的声音。下一代防火墙与UTM究竟有何区别?它是用户的真正需求还是安全厂商的概念炒作?通过对多家安全厂商的采访,本文将会对下一代防火墙产品的现在和未来进行阐述。

  顺应时代潮流

  在被问到下一代防火墙推动力的时候,受访者不约而同的都表示这是用户需求所趋。归纳起来,下一代防火墙产品的出现有以下几个原因。

  第一, 以太网标准现在已经由万兆开始向40G/100G迈进,网络带宽的增长十分迅猛。另外,数据量也在成爆炸性增长,我国各类数据中心和机房总量已经达到50余万个。无论是带宽增长还是数据增长,都对网关安全产品的性能和功能提出了新的要求。对于一些大型企业来说,网络环境趋于复杂,需要寻找新的安全解决方案来满足除了抵挡外部攻击以外的安全需求。

  第二, 网络环境的变化。传统的网络攻击手段一般都是基于第三层的网络层,而随着Web 2.0时代的到来,大量的应用程序都建立在了http和https等协议之上,而传统的防火墙对这些应用程序却望尘莫及。基于网络层的操作就意味着传统防火墙只能根据与数据包源地址和目标地址有关的信息来检测流量,但是对于上述的http和https流量却是无能为力。虽然现在有针对应用层的IPS设备,但是IPS却无法识别具体的应用,达不到目前用户所需的精细力度的应用层控制,因而也无法对特定应用进行防护。

  第三, 自防火墙的概念诞生以来已经经过了十几年的发展,但是可以发现,在这么长的时间里防火墙的功能并没有变革性的改进,功能、性能方面与网络的飞速前进并不匹配,网络环境的新需求迫使防火墙进行根本性的变革。

  第四, 概念炒作的嫌疑。就像UTM的出现一样,下一代防火墙一出现就成了安全厂商,尤其是传统防火墙厂商占据制高点的关键。

  第五, 安全厂商竞相发布下一代防火墙产品,不管是否是概念炒作,也不管产品是否成熟。从市场需求来看,下一代防火墙产品的出现很大一部分程度上是代表了时代的潮流。传统防火墙产品的不足已是共识,新产品的出现已是必然。

  应用识别成为焦点

  相较于传统防火墙的网络层防护,下一代防火墙的关注重点在于对应用层的识别。目前已经推出下一代防火墙产品的梭子鱼、SonicWALL、深信服、Check Point、锐捷、天融信等都将对应用层的识别作为推广重点。

  虽然下一代防火墙产品还没有一个统一的标准,但是大多数安全厂商都基本认同2009年Gartner提出的下一代防火墙定义。Gartner认为,下一代防火墙至少应具备以下特征:线速的处理性能、高度融合的IPS功能、应用可视与身份鉴别的能力、传统防火墙功能等四个方面。而目前的下一代防火墙厂商不约而同的将目光定位在了应用识别方面。

  每一家下一代防火墙产品都推出了各具特色的应用识别技术。例如梭子鱼的产品经理潘渊介绍,其NGFW可以为用户提供基于应用识别的流量管理,对于企业网链路和VPN隧道中的业务,都能做到流量优先级定义;深信服产品经理王帆则表示其NGAF产品可以充分理解国内本土化的应用,基于应用做到流量管控,保障关键流量。SonicWALL中国研发中心总经理陈中也表示针对应用识别,SonicWALL的下一代防火墙产品可以为用户提供应用智能、应用控制和应用可视化等功能。而Check Point中国区技术经理刘刚也表示,其NGFW产品涵盖了从网络层至应用层的所有防护功能,其对应用的控制更是能够达到精细力度。天融信总工程师吴亚彪则认为NGFW更注重在Web2.0时代的客户体验,比如采用客户化的GUI,多核CPU并发处理等。随着企业的发展,需要更主动,更直观,更定制化,性能更高的安全产品,这是NGFW的特点。对于企业来说,NGFW更贴合现有网络环境,对企业业务保护更加全面,已经逐渐得到了大型企业的认同。

  与传统的防火墙相比,下一代防火墙最主要的特征就是对于应用层安全的保障,作为防火墙厂商,山石网科产品经理贾彬认为下一代防火墙基于应用识别只是控制手段的增强,安全性方面可能并没有实质性的提升。黑客技术日新月异,下一代防火墙与传统防火墙还都没有做到主动防御,因此下一代防火墙依然是黑客严重的猎物,安全功能也需要加强。

  除了对应用的识别和传统防火墙的功能之外,下一代防火墙还需要支持与防火墙自动联动的集成化IPS、应用识别、控制与可视化、智能化联动这几个主要功能。

1
相关文章