很多时候,一个概念的内涵会被不同的人从自己的角度出发进行与原有定义不同的解释,当越来越多的人从不同的侧面给出了越来越多的解释的时候,这个概念自身就会变得模糊不清,使人忘记了这个概念本来的定义是什么。这种时候,我们就把这样的概念称为一个“筐”。比如我们上百度搜索一下,发现能被称为“筐”的概念还真不少。
本来,网络安全领域是一个相当严谨的领域,任何技术,任何概念都有着准确的内涵和外延。然而,令人惊讶的是,2012下半年以来,这个领域居然也诞生了一个具有“筐”特点的概念——“下一代防火墙”。一方面,下一代防火墙作为网络安全发展的一个趋势,被所有安全厂商认可和热捧,并被广大用户所期待。而另一方面,各个安全厂商又会根据自己的产品特点和技术能力,对下一代防火墙概念进行解读,导致用户越来越难搞明白究竟什么是“下一代防火墙”,这种状况甚至让下一代防火墙概念的提出者——Gartner都忍无可忍了。
Gartner在最新发布的企业防火墙魔力象限报告(Magic Quadrant for Enterprise Network Firewalls)中就正式指出,导致这种混乱现象的原因主要有两个,一个是在技术术语上,不同产品之间确实有重合之处(Overlapping terminology);另一个方面则是由于厂商混淆视听的营销宣传( confusing marketing)所致。并且强调,下一代防火墙有其独特的产品价值,与WAF(web安全防护)等产品有着明显的区别,当消费者选型时需要着重留意。
本文结合Gartner的报告,以及国内下一代防火墙市场的现状,着重对一些容易引起混淆的概念进行澄清,希望能帮助广大用户从迷雾中走出,在选择产品时不受混乱的概念影响,为用户的网络提供真正的下一代安全防护能力。
下一代防火墙不只是“更快”的防火墙
下一代防火墙是更快的防火墙吗?当然不是。我想这是一个最不需要澄清的概念,但是,当笔者在做资料调研时发现,居然很多厂商都在以“性能”作为下一代防火墙的宣传点。当然,下一代防火墙由于其领先的设计理念在性能上必然会有优异的表现,但是,这绝不意味着,只把性能提高了就可以称为下一代防火墙。如果仅仅是更快的话,那么最多只能称之为“下一个版本的防火墙”,下一代防火墙代表的是完全不同的安全理念,在部署、使用、管理乃至整个安全模式上都与传统防火墙截然不同,如果仅仅用性能就能代表下一代防火墙的话,那么这一轮下一代防火墙的热潮来的就太无厘头了。
下一代防火墙不是WAF
WAF是下一代防火墙吗?也不是。Gartner在解释这个问题的时候从防护对象的角度做出了解释。下一代防火墙防护的是网络中的外在应用,例如FACEBOOK,P2P下载等(mostly about controlling external applications, such as Facebook and peer-to-peer (P2P) file sharing.)。然而WAF的防护对象却是企业内部的WEB服务器(WAFs are different: WAFs are placed primarily in front of Web servers in the data centers)。在防护对象,部署位置,采用的技术等方面,WAF和下一代防火墙之间都有着显著的差异。因此,不要把NGFW当WAF来使用,反之更加行不通。
下一代防火墙不是UTM
下一代防火墙是UTM吗?客观的说,下一代防火墙继承了一部分UTM的价值选择,例如全面的安全检测,和应用层安全防护。但是下一代防火墙与UTM仍然有着非常显著的区别。
要解释清楚这个区别,我想用周星驰《国产007》里面的一个桥段会比较恰当。007(周星驰)的搭档达文西(罗家英)声称研发出了一种集成了10种武器的杀伤力于一身的超级武器。然而当007面对着金枪客的威胁时,达文西居然拿出了一串被铁丝穿起来的东西,上面绑着手榴弹西瓜刀等十种武器,面对着这样的“超级武器”,007怒不可遏,观众则是乐不可支。
某种意义上说,UTM很像这个超级武器,而下一代防火墙则是一个完全重新设计的,具有统一的安全引擎和数据引擎的全新安全产品。在性能和安全能力上都有着质的飞跃。因此,下一代防火墙绝不是一款UTM,它实现了UTM没有实现的梦想,真正引领网络全走入了一个新时代。
下一代防火墙不是上网行为管理
下一代防火墙是上网行为管理吗?答案仍然是否定的。不可否认的是,下一代防火墙与上网行为管理在核心技术上有很大的相关性,那就是应用识别技术。也正是因为如此,国内上网行为管理的领导厂商同时也都是下一代防火墙的领先者。但是这两种产品在价值取向上是完全不同的。上网行为管理的核心价值在于对网络行为进行管控,其管理的目标其实是“人的行为”,而下一代防火墙的核心价值在于对外部应用进行安全监测,其管理的目标是“信息安全”。当然如果将“安全”的范围从“信息安全”上升为“业务安全”的话,那么上网行为管理产品和下一代防火墙产品都可以被称作下一代安全产品。
下一代防火墙不是“筐”
从产品的生命周期理论来看,国内的下一代防火墙市场仍然处于“引入期”并正在向“成长期”过度,这个时期的市场,具有两个明显的特征:一方面是市场从犹豫与观察逐渐转向接受与追捧,而另一方面则是产品技术标准从百家争鸣逐渐走向统一。相信通过2013年的市场发展,下一代防火墙将摆脱“筐”的尴尬现状,重新统一到Gartner的原始定义上来,并正式进入到高速成长期。