网络通信 频道

关于防火墙的下一代新型产品思考

  UTM的终结者?

  下一代防火墙自出现以来,和UTM的对比之声就不绝于耳。在用户方面,往往还有很存在很多迷惑的地方。在此次采访中,针对UTM与下一代防火墙的未来,所有的受访对象都一致认为,下一代防火墙在未来将来会取代现在的UTM设备。因为,从产品结构、功能、性能等方面来看,下一代防火墙都比UTM要领先一步。

  相较于传统防火墙,UTM提供了更多的安全功能,但潘渊表示,UTM的致命缺陷就是采用串行扫描方式,处理效率低下,尤其在激活了多种扫描过滤功能之后,整体的性能会使企业的网络受到极大的影响。王帆则表示,UTM只是将防火墙、IPS、AV进行简单的功能堆砌,功能全部开放时的效率非常低下,另外,UTM在防护方面也不完善,例如Web应用方面的防护就有缺失。

  而陈中认为UTM到NGFW是安全产品的进一步演化,相较于备受中小企业的UTM设备,下一代防火墙面对的用户范围更加广泛,NGFW的发展是需求推动。从技术方面,刘刚介绍了UTM和NGFW的一些区别。下一代防火墙产品之所以能够达到比UTM更高的性能和实现更多的功能,是因为其产品架构之间的根本区别。NGFW产品自设计之初,就采用了一体化的引擎,而UTM只是把多种安全引擎叠加在了一起,这种做法会使数据流在每个安全引擎分别执行解码、状态复原等操作,导致大量的资源消耗。而NGFW则不同,它会一次性的对数据流完成识别、扫描,因而可以达到更高的性能。吴亚彪表示,UTM开始的设计就是针对中小企业网络的,性能受到了很大的局限。UTM的理念是不需要用户开启全部功能。NGFW拥有灵活的架构与扩充性,这主要得益于NGFW支持虚拟化,使得NGFW能够更灵活的架构。除了定制化能力外,还有一点很重要的就是硬件资源可以通过虚拟化技术进行分配的。举例来说,NGFW很有可能有能力多台防火墙串连虚拟为单一的防火墙设备,或是将单台防火墙虚拟为多台小型防火墙,达到分开处理流量的效果。

  虽然NGFW产品与UTM相比具有了先天性的优越性,但对于追求高性价比的中小企业用户来说,UTM在最近的几年中无疑还有巨大的市场潜力。作为非下一代防火墙厂商,H3C安全产品部总工李彦宾提出了比较中立的观点,他认为短期来看,下一代防火墙产品比UTM有一定的优势。但从技术的演进来看,受中小企业客户的强烈需求推动和UTM厂商自身软硬件能力的提升,或许UTM会具备一些新的功能。吴亚彪也认为,NGFW虽然有可能会取代之前的网络防火墙、IPS、UTM等产品,但这取决于用户的根据自身需求和投入来选择,无论UTM还是NGFW可能在未来一段时间内会并存下去。

  百家争鸣

  除了遵循Gartner所提出的NGFW定义之外,下一代防火墙厂商都自己的产品添加了特色功能,以满足不同用户的需求。

  潘渊认为,在NGFW产品中应该增加网络性能提升的功能,如自适应网络路由,带宽管理,远程接入控制,网络延展性等技术。而使用梭子鱼下一代防火墙产品的信息管理人员就可以轻松管理基于应用的路由配置,根据多链路、多通道和不同的流量情况安排链路的优先顺序。

  深信服将目光锁定在了本土化应用的识别问题上,利用其有优势的应用层技术,其NGAF可以基于应用做流量管控,保障关键流量。另外,它还可以做到第二层至第七层的全面防护。

  SonicWALL的NGFW的独特之处在于其免重组深度数据包检测技术。它允许用户检测网络内外的一切情况,并且不会造成延迟。因此用户在应用任何标准协议或者临时协议之前,仍然可以保持原有的性能。

  而以软刀片架构著称的Check Point,虽然在下一代防火墙的概念上一直很低调,但在“一体化”的概念上却很有发言权,它的每款设备都可以运行多个软刀片,用户可根据需要自行选择所需要的功能刀片。最为独特的是,用户在以后的功能添加过程中,无需购买新的设备,也无需更改自身的网络设置,只需要更新一下原有设备即可完成。更是为用户提供了统一的管理平台,这也是刘刚认为下一代防火墙应该具有的特征。

  天融信的NGFW产品集成了防火墙、VPN、带宽管理、防病毒、内容过滤等功能的,具有高性能、高可靠性、高安全性的特点,天融信NGFW还提供了强大的网络应用控制功能,用户可以轻松的针对一些典型网络应用。由于采用了天融信自主知识产权的安全操作系统TOS (Topsec Operating System),并采用模块化结构设计,既提高了产品性能,又提高了产品的灵活性、高效性和安全性。

  由于下一代防火墙还未标准化,但安全厂商却在不断推进这件事情。但是,行业总有领头人,谁将主宰NGFW的标准化进程,还要看谁抓住了用户的需求。

  统一是未来

  不管是对于大型用户还是小型用户来说,他们都希望用最简单的管理实现最多总类的安全。相较于以往采购单个专业安全设备的方式来说,在功能、性能和一体化方面都比较出色的NGFW产品无疑代表了市场潮流。

  在记者采访宅急送信息部副总监唐辉辉时,他明确表示出了自己对于NGFW产品非常感兴趣,但是他也表达了自己的担忧。NGFW是否只是一个盒子?他认为在一个硬件盒子上实现多种功能的集合必定会有性能方面的局限性,就如UTM一般。同时,他也认为,对于大型企业或电信级用户来说,他们是否会相信一个平台下面可以实现多种安全的保障。

  由此可见,用户对于NGFW产品还存有一定的困惑,尤其是在先进还没有标准化,各家厂商的产品功能都有所不同时,这也是NGFW厂商需要去解决的问题。刘刚在接受采访时也表示,目前具有专业性的安全长品,例如WAF等也会在近几年长期存在,因为NGFW产品在有正式的标准出来之前,市场恐怕难以出现实质性的进展。

  在记者看来,NGFW不应该只是一个产品,它应该是一个平台,该平台可以实现高性能的扩展,多功能的集成,以及多功能之间的联动。同时,用户使用和管理起来应该简便。每种新兴的技术或产品都需要经过市场的检验,NGFW产品目前刚刚开始发展,但是安全产品走向统一的脚步却不会改变了。我们期待NGFW产品成熟和市场爆发的那一刻。

  编看编想:冷思考

  不可否认,UTM和NGFW产品都代表了IT界的统一方向,但是下一代防火墙产品也面临着新技术的一些挑战。一方面,下一代防火墙产品发展还未成熟,用户对下一代防火墙的认知还有迷惑,市场接受度远没有传统防火墙和UTM那样高;另一方面,云计算和虚拟化技术在用户中的流行也必然会对安全产品的需求产生影响,例如虚拟化的安全问题、云计算的安全问题,以及最近大数据引起的数据爆炸对安全产品的影响等,这是否应该成为下一代防火墙产品需要纳入的新功能?这都是安全厂商需要考虑的因素。在这个新技术层出不穷的时代,NGFW厂商要想获取用户信任必须紧跟技术的潮流,不断更新自身的产品,才能把握市场的先机。

1
相关文章