竞速下一代防火墙

标签: SonicWALL Palo Alto 网络安全 弯曲推荐 下一代防火墙 | 发表时间:2011-08-13 02:44 | 作者:老韩 wuwu
出处:http://www.tektalk.org

原文发于《计算机世界》。由于版面及内容形式等因素限制,文章在报纸上分3期共10个版进行连载。本文是在连载结束后,重新调整了内容框架,修正、更新了一部分文字而成,看起来更像是一个完整的内容专题。尤其是对13家厂商的采访部分,除了错别字和极个别不妥当的措辞或叙述外,未再做其他修改。

文章撰写过程中,得到了许多来自咨询机构、厂商、学术界的朋友的大力支持,在此表示感谢。同时也要感谢我的同事,是她们的努力使得专题内容得以按时发布。最后,我必须感谢一下我的太太,她为专题做了许多资料翻译工作,并在撰写过程中为我创造了良好的工作环境。

水平所限,文中多有待商榷之处,请不吝赐教。希望这一专题内容能抛砖引玉,引发更多有价值的讨论。

=====================================================================

自出现之日起,下一代防火墙(Next-Generation Firewall,以下简称NGFW)就一直在争议中前行。究其原因,还是概念提出得比较超前,产品跟进却相对缓慢。不久前,梭子鱼与深信服科技在国内先后发布了各自的NGFW产品,加上产品已经正式在售的SonicWALL、Check Point和Palo Alto,市场上俨然一副山雨欲来风满楼的景象。那么,NGFW究竟是如何定义的?它与传统防火墙、UTM又有哪些不同?其产品与市场前景究竟如何?用户部署NGFW又需从哪些角度考虑?请随我们一起走进NGFW的神奇世界,共同领略这类新产品的价值所在。

何谓NGFW

什么是下一代防火墙?这一代、上一代防火墙指的又是什么?在讨论NGFW之前,我们必须先正确认识“防火墙”这个概念。在经历了多次技术变革后,防火墙的概念正在变得模糊,在不同语境中有着不同的含义。在描述具体产品时,防火墙大部分指代的是采用状态检测机制、集成IPSec VPN、支持桥/路由/NAT工作模式的作用在2-4层的访问控制设备;而宏观意义上的防火墙,实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备(Gateway)。国内的厂商、用户习惯将前者称为“传统防火墙”,国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念,其包含了传统防火墙、IPS、UTM及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加,广义的防火墙必然将集成更多的安全特性,著名市场分析咨询机构Gartner所定义的NGFW就是很好的例证。

得益于许多厂商市场部门行之有效的推广工作,我们在市场上可以看到不少针对NGFW概念的宣导(即便其中可能存在着完全不同的理解)。而业内普遍认同的关于NGFW的定义,则来自Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文档。该公司注意到,在应用模式、业务流程和安全威胁不断变化的今天,传统防火墙已经无法满足用户的需求。即便在此基础上再加入IPS,也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下,Gartner定义了NGFW这个术语来形容防火墙的必然发展阶段,以应对攻击行为和业务流程使用IT方式的变化。

在Gartner看来,NGFW应该是一个线速(wire-speed)网络安全处理平台,定位于企业网络防火墙(Enterprise Network Firewall,Firewall指宏观意义上的防火墙)市场。这里的企业指的是大型企业,国内很大一部分都归为行业用户范畴。NGFW在功能上至少应当具备以下几个属性:

  • 传统防火墙:NGFW必须拥有传统防火墙所提供的所有功能,如基于连接状态的访问控制、NAT、VPN等等。虽然我们总是在说传统防火墙已经不能满足需求,但它仍然是一种无可替代的基础性访问控制手段。
  • 支持与防火墙自动联动的集成化IPS:在同一硬件内集成IPS功能是必须的,但这不是Gartner想表达的重点。该公司认为NGFW内置的防火墙与IPS之间应该具有联动的功能,例如IPS检测到某个IP地址不断地发送恶意流量,可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是由NGFW自动完成的,而不再需要管理员介入。比起前些年流行的传统防火墙/IDS间的联动机制,这次升级并不是一个特别高深的技术进步,但我们必须承认它能让管理和安全业务处理变得更简单、高效。
  • 应用识别、控制与可视化NGFW必须具有与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性,但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。
  • 智能化联动:获取来自“防火墙外面”的信息,作出更合理的访问控制,例如从域控制器上获取用户身份信息,将权限与访问控制策略联系起来,或是来自URL Filter判定的恶意地址的流量直接由防火墙去阻挡,而不再浪费IPS的资源去判定。我们理解这个“外面”也可以是NGFW本体内的其他安全业务,它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系,实现自动联动的效果(如思科的“云火墙”解决方案)。

除此之外,文档中也提到了NGFW在部署、升级方面的一些规定,但并未做更多的强制性约束。正如文档作者、Gartner研究副总裁Greg Young在接受我们采访时强调的那样,集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动就是NGFW要具备的四大基本要素。

发现用户需求及产品形态变化的并不只Gartner一家,国际著名第三方安全产品评测机构NSSLabs也在今年正式开始了NGFW产品的公开测试工作。从官方发布的信息来看,该机构基本认同Gartner对NGFW的定义,只是在智能化联动方面并未做过多的强制性要求,但突出了对用户/用户组的控制能力。从测试的角度出发,相信NSSLabs的工程师对产品配置的复杂度和易用性都有很深刻的了解,他们的观点可以代表许多用户。此外,该机构还认为企业并没有准备在数据中心中用任何方案替代掉独立的IPS设备,所以NGFW集成的IPS模块应该提供对客户端保护(主要在特征库方面体现)在内的完整方案,并且将针对于此的配置归纳到预定义策略模版中去。

NGFW与UTM:竞合或补充 但非竞争

需要注意的是,不同机构对NGFW做出的定义都是最小化的功能集合。站在厂商的角度,势必要根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异,同时更像一个大而全的集中化解决方案,给用户造成了很混乱的印象。我们在采访中听到用户最多也是最经典的反问就是:NGFW不就是一个加强型的UTM么?

实际上,这里提到的NGFW和UTM都是对厂商包装后的产品的认知,已经脱离了最原始的定义。市场分析咨询机构IDC曾经这样定义UTM:这是一类集成了常用安全功能的设备,必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能,并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开,但是这些功能必须集成在一个硬件中。IDC对UTM的定义无疑是非常聪明的,它简单明了,让人易于接受并容易做出判断。“所有功能不一定要打开”这句话,除了说明安全业务要由用户需求决定外,也考虑了早年间硬件平台的实际处理能力。而安全业务的集成化,也确实符合当时的市场需求。有了这样一个宽泛的准入条件,UTM的概念一经推出便受到厂商与用户到一致认同,市场份额迅速扩大,成长为目前安全市场上的主流产品。

与IDC的宽松态度不同,Gartner在其市场分析报告中对UTM产品形态则有着更为细致的描述。该机构在调研后认为,除了传统防火墙与IPS,UTM至少还应该具有VPN、URL过滤和内容过滤的能力,并且将网关防病毒的要求扩大至反恶意软件(包括病毒、木马、间谍软件等)范畴。另一方面,Gartner对UTM的用户群体有着自己的看法,认为该产品主要面对的是中小企业或分支机构(1000人以下,Gartner的划分方式)。这类用户通常对性能没有太高要求,看中的是产品的易用性和集成安全业务乃至网络特性(如无线规格、无线管理、广域网加速)的丰富度。实际上,Gartner之前一直使用SMB多功能防火墙(SMB Multifunction Firewalls,这里的Firewall也指宏观意义上的防火墙)来描述这类产品,只是因为UTM这个概念被市场普遍接受,才在2010年的分析报告中修改了称谓。该机构认为UTM与NGFW集成安全功能的差异主要体现在时延敏感性上——作为边缘网关,NGFW必须满足时延敏感型应用的需求,与之有悖的功能不适合出现在NGFW上。而从Gartner针对其他产品市场的分析报告中可以推断,安全Web网关(Secure Web Gateway)似乎是该机构认为的NGFW联合部署的理想对象,此外独立的WAF、反垃圾邮件产品也应被考虑。

通过上面的分析,我们可以得出明确的结论:至少在Gartner看来,UTM和NGFW只是针对不同级别用户的需求,对宏观意义上的防火墙的功能进行了更有针对性的归纳总结,是互为补充的关系。无论从产品与技术发展角度还是市场角度看,它们与IDC定义的UTM一样,都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述,其出发点就是用户需求变化产生的牵引力。对此,Fortinet创始人、首席技术长官、工程副总裁谢华在接受我们采访时有着非常精辟的总结:“UTM的概念在不断的进化,包含了越来越多的安全功能。但像500强那样的大企业对UTM的接纳相对保守,不过他们也开始从独立的安全设备开始转向集成化的道路,其关注重点就是Gartner定义的以传统防火墙与IPS为基础元素的NGFW——UTM进化中的一个细化分支。无论如何,我们将看见安全功能整合的革命将继续进行下去。”Fortinet提供的产品技术也已覆盖了网络,内容和应用三个层面,应用识别与控制就是其中的扩展模块之一,NGFW的定义在可扩展化的UTM系统中得到充分的体现。

应用识别与控制:全能杀手锏

对于NGFW这种新生的产品形态,市场上也不乏质疑声。在多功能安全网关领域,有XTM做前车之鉴,不少人认为NGFW也将是昙花一现的概念。不过UTM概念刚被提出时,市场上也有过类似的质疑声,但用户用实际行动表明了对这种功能丰富、性价比高的产品的认可,其市场份额长期保持乐观增长。IDC预计,国内UTM市场2011年增长率为38.2%,市场规模将达到1.741亿美金;2010到2015年的复合增长率为33.6%,市场规模在2015年将达到5.353亿美金。为什么UTM比XTM成功得多?我们认为关键在于前者在适当的时候集成了用户需求最迫切的功能,后者却试图引导用户,以一些相对小众的特性为卖点。而对于NGFW来说,其最大的亮点在于应用识别与控制功能,这恰恰也是目前用户最迫切需要的功能,有着很大的潜在用户群体。Gartner表示,目前只有不到1%的互联网连接采用NGFW来保护。而到2014年年底,这个比例会增加到现有用户总量的35%,并且新购买的防火墙中将有60%是NGFW。该机构还建议,无论用户现在使用的是防火墙、防火墙+IPS还是安全服务,都应在下一个更新周期来临时切换到NGFW。

作为NGFW定义中明确要求具备的特性,应用识别、控制与可视化可以解决给企业用户带来极大压力的网络滥用问题,同时对业务流量进行优化,受到了所有受访用户的关注。而5家推出NGFW产品的厂商均表示,该功能已经成为各自产品中的标准配置,也就是说,即便用户在购买时不包含其他任何安全功能的使用许可,也会得到一个“应用防火墙”形态的产品,我们认为这也将成为未来NGFW产品商业模式方面的常态。但多数受访厂商也希望用户认识到,NGFW产品只能提供上网行为管理产品和专业流控产品中最基本的一部分功能,且应用场景和功能侧重都有很大差异,并不存在完全的取代关系。流控产品通常会被部署在行业用户或运营商网络的边缘,用于对应用层流量进行合理的整形与优化;上网行为管理产品则基本部署在企业网络中,在阻止网络滥用行为的同时提供更丰富的行为控制与审计能力。二者都是单一功能设备,与强调一体化接入安全的NGFW没有可比较的环境。NGFW的优势在于应用识别/控制与安全业务的无缝衔接,可以完成诸如“允许MSN传输文件并对文件进行病毒过滤,但不许使用语音视频聊天”这样的综合访问控制策略。

除了上网行为管理产品和流控产品,部分市售的UTM产品也带有应用识别与控制功能,令人感觉与NGFW十分相似。不过该功能大多以独立的功能模块形态存在,通常在策略配置、日志/报表乃至授权许可方面都不统一,应用体验与NGFW存在一定差距。此外,至少我们所测试过的集成应用识别与控制功能的UTM产品中,还没有任何一款在特征库中包含Web 2.0应用,显然不能满足互联网应用发展带来的新安全需求。最后也是最关键的一点,部分没有采用统一处理引擎的UTM产品在性能上的衰减也许是任何人都始料未及的。我们曾经测试过这样一款产品,只开启防火墙时可以达到几百兆的吞吐量(HTTP大页面,后同);在此基础上开启IPS,吞吐量下降到一百多兆;如果再开启应用识别与控制,吞吐量则只有几十兆。而NGFW被Gartner定义为线速(wire-speed)网络安全处理平台,虽然在启用多种功能时性能也会有所降低,但从目前市场上销售的NGFW产品的规格指标来看,部分产品在开启应用识别与控制功能后,性能能够达到单独开启防火墙时的60%-80%;在此基础上再开启反恶意软件、IPS等功能,性能最高者可以达到单独开启防火墙时的50%。当然我们不能以偏概全,无论是UTM还是NGFW,在开启多功能部署前都应进行细致的测试工作。

在稍后的产品分析中可以看到,虽然Gartner在定义文档中将NGFW的用户群体圈定在大型企业和行业用户,但5家厂商都推出了全功能的中低端产品。实际上,中小企业对应用识别与控制功能的需求,要远远高于其他任何安全特性。自防火墙普及以来,大部分中小企业用户就把它当做一个接入设备而非访问控制设备来用。如今,他们面临最严重的问题不是安全问题,而是如何限制网络滥用行为,保证接入质量。微博上最近流传的笑话就很说明问题:某小公司内上网体验十分恶劣,经常连网页都无法完整打开,领导对此也无可奈何。唯有每月财务人员在公司QQ群内喊一句“都停下,我要发工资”,网络访问才会短暂地恢复正常。这个例子很生动地表明,目前许多中小企业用户面对网络滥用行为缺乏有效的技术管理手段,导致网络陷入完全失控的局面。

目前常见的解决方式是使用带应用控制功能的路由器或上网行为管理产品,前者价格低廉但功能简单,不少产品在应用识别与控制能力上仍待加强;后者虽然功能强大但价格昂贵,中小企业或许要为一些很少用到的功能买单。从市场角度看,两类产品在用户覆盖上造成一个断层,中间有大量用户的需求没有被满足。而中低端NGFW产品的出现,在功能、性能上满足了此类用户的需求(多数产品的基本配置都是带应用识别与控制功能的“应用防火墙”),又提供了安全业务的扩展能力,价格也基本维持在同规格UTM产品的水平,值得所有中小企业用户关注。

如何评估NGFW产品

NGFW属于新生产品,目前业界对其还没有一个公认的测试标准,甚至独立的测试报告都寥寥无几。NSSLabs曾经在几个月前发布了针对Check Point Power-1 11065的单品测试报告,这也是该机构第一次发布NGFW类别的测试报告。我们从中可以看出,NSSLabs针对NGFW产品的测试方法可以看作是在传统防火墙和IPS测试的基础上,补充了针对用户/应用的识别与控制能力的测试。不过,我们注意到应用识别与控制测试中使用的样本多为欧美地区流行的应用,国内用户应当重点考察NGFW产品对迅雷、新浪微博、开心网等本土热门应用的识别与控制能力。采访中有些用户就抱怨说,目前使用的国外某UTM产品在IPS模块中虽然也集成了对应用的识别控制功能,但扩充及更新速度太慢,以至于上线不久就失去了对迅雷等频繁更新应用的控制能力。

此外,应用对于网络的使用模型趋于多元化,NGFW产品在应用控制方面的细粒度也应被重点关注。对于传统的网络应用,以迅雷为例,可以考察产品是否能够在允许常规HTTP、FTP下载的前提下,屏蔽一切P2P或Cache加速下载行为或进行限速处理;而对于开心网这样的互联网/移动互联网应用来说,可以考察设备是否能够对基于Web 2.0平台的小应用(如开心农场、开心城市)进行单独的屏蔽。即便不能做到这一点,NGFW产品也应该能够通过URL-Filter特征库中的分类或手动设定策略的方式进行屏蔽。

除了应用特征库包含的协议种类与特征更新速度,管理界面的易用性也是不容忽视的评估要素。虽然用户识别/控制和统一的策略框架不是Gartner的NGFW定义中的强制功能,但我们发现目前市场上的产品都有提供,并且厂商纷纷在该领域做着更加深入的尝试。用户应当考察NGFW产品是否可以通过获取域控制器信息或Web认证等手段,做到IP与用户身份的绑定,再通过统一的策略框架进行更加直观、简单的权限定义,以达到“允许市场部门的所有员工从任何位置访问新浪微博“、“只允许IT部门员工从特定位置使用SSH、Telnet、远程桌面应用”等以用户、应用为核心元素的访问控制策略配置模式。易用性的另一个重要体现是设备是否提供中文的WebUI、报表系统、端点套件和集中管理系统。英文界面无疑会增加NGFW产品的配置管理难度,对IT管理效率造成不可忽视的影响。

性能测试方面,许多用户都知道针对传统防火墙有RFC2544、RFC3511、GB/T 20281-2006这样公认的测试规范。这类产品的业务模型比较单一,有经验的测试人员/管理员根据依照规范测得的结果,甚至可以凭经验去预估防火墙在某个特定场景中的性能衰减幅度。而当网关设备使用的访问控制技术走进DPI时代开始,实验室环境中进行的标准化测试就失去了普世的指导意义。即便是IPS,部署在数据中心出口时与部署在企业出口时的性能也会有很大差异。而NGFW产品在进行性能评估时会更复杂,用户必须根据自身的业务需求,抽象出与之吻合的流量模型,进行细致的、有针对性的测试工作,才能得到有价值的评估依据。并且在测试过程中,应时刻以“寻找最差性能”的目标,方可在未来的实际使用中规避性能瓶颈。

经历了实验室环境中的考验,用户也不应忽视产品在实际环境中的测试工作。比起UTM,功能更加丰富的NGFW产品需要更长的测试周期以证明设备的稳定性和在用户业务、管理方面的兼容性。同样要长期验证的还有身份(ID)的同步和策略执行的效果,安全部门在这一环节也许需要行政部门的配合(Gartner和NSSLabs都曾或多或少地提到过这个环节存在的难度,或者说是“管理矛盾”)。途牛旅游网的资深网络工程师吴康在采访中就谈到这样的体会:该公司在明确自身安全需求后,选择了NGFW产品取代UTM搭配上网行为管理的方案保护包括订单系统在内的在线OA平台。经过长达半年的上线测试,途牛旅游网的IT团队才以用户身份关联为基础逐步实现了策略的统一配置,验证了产品性能与稳定性,在满足需求的同时大幅提升了管理效率。由此可见,充分的测试是NGFW产品部署前必不可少的环节,鉴于大部分用户都会同时启用NGFW多种安全功能,我们建议无论是否进行实验室测试,都要在实际环境中进行至少3个月以上的、结合自身业务需求的测试,尽可能地与原有信息系统磨合,排除潜在隐患。

无论如何,用户未来在选购NGFW产品时肯定会感到更多的困惑(比如,许多用户在采访中都问到“哪个厂商的NGFW是目前市场上最好的产品”)。一方面,UTM和NGFW短期内不存在取代关系,经过包装推广的产品在形态上会越来越相似。另一方面,NGFW必然还会加入更多的安全特性,从著名信息安全培训机构SANS的专家结合现有产品和用户需求,给出的未来NGFW产品将需集成的功能列表来看,目前市场上所有主流安全技术都被涵盖在内。乱花渐欲迷人眼,用户(尤其是中小企业用户)难免会像几年前刚接触UTM那样,产生一种不理智的选购心态。所以,用户在选型前必须先明确自己的需求是什么,再利用NGFW体系结构上的集成化优势对未来部署做出合理性的规划,避免造成过犹不及的负面效果。

NGFW产品现状

目前可以确定共有5个厂商在国内正式发售了NGFW产品,其中4个国外厂商均在Gartner最新一期的《企业网络防火墙魔力象限报告》(Magic Quadrant for Enterprise Network Firewalls,2010)中占有一席之地;深信服科技是唯一发布了NGFW产品的本土厂商,我们相信会有越来越多的本土厂商杀入这一领域。

理论上的定义总是滞后于用户需求和技术发展,从市场上可以购买到的实际产品来看,它们集成的安全功能已经远远超过了咨询机构给出的基本定义。虽然不同厂商在功能提供上还存在差异,但大家的目标都是一样的,那就是在产品上集成尽量多的功能,规格上覆盖低端到高端,与Gartner细分功能、用户群体的追求有很大出入。厂商这样做无可厚非,只有功能模块化加系统平台化的方式才能做到成本最小化与利润最大化。

在资料收集的过程中,我们还发现了一个很有意思的现象:之前无UTM产品的厂商为我们提供的文档中,都统一使用了NGFW的概念与宣传口径,且官方网站上的资料也是如此;而之前有UTM产品的厂商虽然宣称拥有NGFW产品线,却暂时没能提供与之相关的资料,在产品归属的态度上显得十分模糊。我们感觉前者的意图很明显,就是要避开竞争激烈的防火墙/UTM市场,抢占新的蓝海;后者大多拥有一定的资本和技术积累,为稳固市场地位需要拉动产业升级,却担心在市场上面临“自己打自己”的窘境。无论如何,随着NGFW概念逐步被用户理解、接受,目前市场上的混乱局面必将变得明朗,其市场前景值得看好。

  • Palo Alto

Palo Alto是近几年发展非常迅猛的一家安全企业,在圈内负有盛名。该公司旗下有且仅拥有NGFW一类产品,被看做NGFW时代的先行者。经过充分的准备,Palo Alto于2011年初在国内设立了办事处。据了解,诸如应用特征库、WebUI和报表管理系统的本土化工作已在进行中。

Palo Alto将用户识别、应用识别和内容识别并列为产品的3大核心功能,使用户权限和策略设定变得像自然语言般简单易懂,同时让报表的可读性更强。内容识别基于防火墙、IPS、反恶意软件、URL过滤乃至DLP等多种安全功能,可以为用户提供全面的安全保障。在业务处理方面,其产品采用了单数据流并行处理体系结构,保证了高性能、低延迟。有业内人士认为,Palo Alto产品中关于一体化的处理引擎和一体化的策略框架是最关键的设计理念,在保证了高性能的同时提高了易用性。

产品规格方面,Palo Alto面向不同规模用户推出了从最低端的PA-500到最高端的PA-5060在内的多款产品。其最低端产品PA-500拥有250Mbps的防火墙处理能力、100Mbps的攻击防护能力和50Mbps的IPSec VPN性能,最高端的PA-5060则将这3个指标推向20Gbps/10Gbps/4Gbps。Palo Alto公司创始人、首席架构师毛宇明在接受我们采访时特别指出,该公司在官方网站公布了所有产品的性能指标,其中攻击防护能力一项均为开启应用识别及所有安全模块后的数据。并且即便用户没有选购任何安全功能的许可,也可以使用不受任何限制的应用识别与控制功能。

Palo Alto在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“有远见者”(visionaries)象限,并且在前瞻性(completeness of vision)坐标中处于最领先的位置。就目前的情况看,我们认为该公司在未来报告中的排名会继续进步。

  • SonicWALL

做为资深的信息安全解决方案提供商,SonicWALL在国内外市场都有着不小的知名度。该公司在上海设有规模庞大的研发中心,负责核心产品的研发和部分本土化工作。SonicWALL中国研发中心总经理陈中在接受采访时就提别,目前该公司产品每次系统版本更新后1~2个月内即可提供中文版,并且有专人负责国内应用特征的添加与维护,达到平时每周1次、紧急情况下1天响应的更新频率。

SonicWALL对NGFW概念的跟进非常迅速,旗下已有SuperMassive E10000、E-Class NSA、NSA以及TZ210四大系列多款产品。实际上,得益于比较完备的软件平台和模块化的安全业务部署模式,该公司的NGFW产品和UTM产品使用了基本一致的软硬件平台,只在功能模块的配置上有所区别。在交付时,可以根据用户需求进行相应的授权,灵活满足NGFW或UTM的功能侧重。SonicWALL一直在为其NGFW产品增加更多的功能特性,该公司在一周前刚刚宣布将广域网加速功能集成到NGFW,为用户提供更好的网络使用效率。

SonicWALL旗下NGFW产品规格非常丰富,最低端的TZ210拥有200Mbps的防火墙处理能力、50Mbps的UTM处理能力和75Mbps的IPSec VPN性能,此外还可以提供3G/802.11n无线接入特性。在最高端,SuperMassive E10000系列使用了多节点业务智能分摊的设计理念,最多可支持8个业务节点共96个处理器内核同时工作,提供最大30Gbps的应用识别与控制能力、30Gbps的IPS处理能力、12Gbps的反恶意软件处理能力和20Gbps的IPSec VPN性能,无愧于当今顶级NGFW产品的称号。

SonicWALL在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”(niche players)象限。不过在Gartner同期的《UTM魔力象限报告》(Magic Quadrant for Unified Threat Management)中,该公司则处于“领导者”象限,综合排名仅次于Fortinet。

  • Check Point

Check Point是历史最悠久的信息安全解决方案提供商,也是最早一批进入国内市场的安全厂商。该公司的防火墙产品在业内拥有极高的知名度,并且始终处于技术发展的最前沿。Check Point首创了软件刀片的概念,通过在统一的系统平台上部署不同功能的软件刀片来实现多种安全业务。在得到了NOKIA的硬件产品线后,该公司拥有了堪称业界最全面的硬件平台方案,具备了多种形态的交付能力。

有了这样的支撑,Check Point发布NGFW产品可谓水到渠成。据中国区技术经理刘刚介绍,该公司在2010年推出了可以对应用进行识别、控制的应用控制刀片,并整合了允许员工参与到决策进程的UserCheck技术。Check Point还利用独有的应用程序库AppWiki为用户提供更深入的可视性,该程序库内置了5万多种Web 2.0专用界面工具信息和包含社交应用、即时通讯和流媒体在内的4500多种互联网应用特征。,

虽然不是最早发布NGFW产品的厂商,Check Point却在NSSLabs进行的业界第一次NGFW产品测试中拔得头筹,成为业界首个获得NGFW产品“推荐”级别的厂商。我们在官方测试报告中看到,该公司送测的次高端产品Check Point Power-1 11065在防火墙、身份识别以及应用程序控制执行的各项评测中取得100%的有效率,IPS功能的成功拦截率也达到97.3%;性能方面,该产品在混合多种协议的“真实流量”(Real World)测试中达到最高3800Mbps的处理能力,在传统的UDP性能测试中则有着12050Mbps的最大吞吐量。

Check Point在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“领导者”(leaders)象限,并且在前瞻性(completeness of vision)、执行力(ability to execute)坐标中均处于第二名的位置。在Gartner同期的《UTM魔力象限报告》中,该公司也处于“领导者”象限,综合排名第三位。

  • 梭子鱼

梭子鱼是近年来表现比较活跃的信息安全解决方案提供商,目前已有超过10款不同类型的产品在国内市场进行销售。该公司十分善于整合吸收外来的产品技术,在国际范围内有多次成功的并购案例。梭子鱼现有的NGFW产品线来自于2009年收购的安全厂商phion,其产品在欧洲地区已经有许多大规模部署的案例。

也许是因为之前旗下没有防火墙/UTM产品线,梭子鱼坚定地成为NGFW时代的先行者之一。该公司在产品上以应用与身份控制、内容安全和网络层安全为核心,在满足NGFW定义要求的基础上提供了比较全面的安全特性。目前,梭子鱼仍在致力于管理特性、其他安全特性的开发和更为彻底的本土化整合工作,该公司中国区技术总监谷新在接受采访时特别提到,NGFW产品的集中管理平台目前已经可以管理维护多达数千台设备,并有实际部署案例。该平台还结合图形化管理维护技术,利用业界独特的“梭子鱼NG地球”特性,使分布网络的管理变得简单高效。

产品规格方面,梭子鱼也针对不同层面用户的需求提供了覆盖高中低端的全系列产品,其中多款具有WiFi及3G接入的能力。根据该公司公布的数据,其最低端的F10拥有150Mbps的防火墙处理能力和85Mbps的VPN性能,最高端的F900则将这2个指标推向21Gbps和3.78Gbps。而该公司提供的另一份文档也表明,梭子鱼的NGFW产品可在开启所有安全功能后达到8~10Gbps的最高性能。我们还注意到,梭子鱼在产品线中提供了目前唯一的虚拟环境部署方案,对有类似需求的用户来说无疑是很好的选择。

phion在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”(niche players)象限。有了梭子鱼丰富的产品线及全球化的销售/维护体系做为支撑,该产品的未来值得看好。

  • 深信服科技

做为近年来崛起势头最为迅猛的本土信息安全解决方案提供商,深信服科技长期坚持专攻应用与内容安全领域的发展策略,在市场上有着广泛的认同度。就在NGFW大潮在国内方兴未艾之际,该公司于近期发布了NGAF系列下一代防火墙,成为国内首家推出NGFW产品的厂商。

深信服NGAF系列下一代防火墙提供了以传统基础网络安全、应用识别与控制、应用威胁防护为核心的多种安全功能,覆盖了NGFW定义中要求必备的所有特性。有国内市场上最成功的上网行为管理产品为基础,深信服科技的NGFW产品在应用识别与控制能力方面显然有着先天优势,其识别引擎已经能够辨析600多种应用,以满足不同部署场景的要求。该公司还将WAF产品的主要功能集成到NGFW产品中,结合应用识别与控制功能,为数据中心用户提供了新的安全防护接入思路。

对于我们问到的“之前没有防火墙/UTM产品,在状态检测技术和入侵防御技术方面是否有足够积累”的问题,深信服科技市场行销部技术总监殷浩也没有回避。据介绍,该公司在保持应用与内容安全领域技术领先的同时,也一直都在跟踪其他各类安全技术的发展。例如成为微软MAPP计划合作伙伴,可以第一时间获得漏洞资料,提高IPS的防护效果和响应速度。NGFW产品的应用威胁防护功能将反恶意软件、漏洞利用、Web入侵等威胁视为一个整体进行统一防护,正是技术积累的一次集中体现。

产品规格方面,深信服科技的NGFW产品线中包含了多达11款产品,覆盖了几乎所有用户群体。其最低端AF-1100系列产品标称提供200Mbps的防火墙处理能力(按照深信服对产品的定义,应用识别与控制功能都默认开启。后同。),最高端的AF-8000系列则将该指标推向10Gbps。由于深信服科技NGAF系列产品刚推出不久,我们还未能拿到更多的性能参数。但从厂商测试中得到的最新数据来看,其中端AF-1700系列产品的防火墙吞吐量达到600Mbps;在此基础上开启IPS和WAF功能,依然可以达到520Mbps的处理能力。

百舸争流NGFW

Gartner研究副总裁Greg Young在接受我们采访时提到,NGFW对于国内活跃的网络安全市场上的诸多厂商来说,都是一个未来的机遇。而这类产品能否顺利发展,很大程度上也取决于来自行业内的态度。所以除了之前提到的5个已经正式发售NGFW产品的厂商,我们还对另外14个厂商提出采访邀请,希望了解大家对这个新产品形态的看法。他们都有防火墙或/及UTM产品进行销售,并长期在国内安全市场有着活跃表现。经过长时间的沟通,我们最终收到了13份正式答复。业界巨擘思科成为唯一没有接受采访的厂商,我们对此深表遗憾。

我们对每个厂商的采访都围绕着NGFW的产品形态和市场前景两大主题来进行。从13份答卷中可以看出,绝大多数厂商都对Gartner所定义的NGFW产品形态表示充分认同,虽然也有厂商表示个别细节值得商榷,但终归没有明确的反对意见出现。可以认为,Gartner所定义的NGFW标准是对用户需求的高度抽象,是防火墙发展到一个历史阶段的自然产物。除了定义中明确所必须具有的基础特性,各厂商基本是根据自身所擅长的技术领域,以及目标客户需求的视角来定义NGFW应具有的其他功能。例如有独立组网能力的H3C与瞻博网络重点提到了超高性能、扩展性、虚拟化、抗DDoS等特性,而传统意义上的安全厂商则更关注的网关防病毒、内容管理、网络准入控制乃至报表与人机交互功能的集成实现。

对于NGFW产品在国内的市场前景,受访厂商也普遍表示看好。虽然不少厂商认为NGFW与UTM现阶段存在竞争,但必将逐渐替代防火墙、IPS、UTM,成为阶段性的终结者。启明星辰还提到了上网行为管理产品,认为NGFW的发展会对这类产品的市场产生冲击。绿盟科技的观点则更加细致,该公司认为NGFW短期内不会有独立市场,中期来看将从行业用户处开始普及,最终会成为综合网关市场的核心产品。而来自华为赛门铁克的观点则与之前我们的分析不谋而合,认为有中国特色的NGFW必将成为市场的宠儿。

可以看出,业界对NGFW的产品形态和市场前景都趋于认同。也正基于此,13个受访厂商中的5家已明确表示有NGFW产品研发计划,今明两年内我们很可能将看到至少4款来自不同厂商的产品出现在市场上。迪普科技、山石网科则表示现有产品已符合NGFW标准规范,只是未进行过有针对性的包装推广。瞻博网络则声称2008年发布的SRX系列防火墙是NGFW的代表作,但我们在该公司官方网站及互联网上暂时没有找到相关信息。

绿盟科技产品管理中心总监 王伟

绿盟科技认为Gartner定义的NGFW标准主要强调以下4点:

  • 性能:Gartner把性能作为NGFW区分于UTM最重要的指标之一;
  • 集成IPS:Gartner认为NGFW需要集成IPS功能,但不是像UTM那样做简单叠加,而是要将IPS的功能实现无缝融合入NGFW产品中去;
  • 应用可视:主要强调NGFW对Web 2.0应用的识别和管理能力;
  • 用户集成:强调用户身份与NGFW策略的一体化整合。

以上4点是针对UTM存在的短板进行的改进,应该是未来NGFW产品功能的最小集合。随着NGFW产品及市场的不断成熟及用户认可度的增强,NGFW产品还将融合更多、更丰富的功能(如虚拟化、Web信誉等)。另外为了应对云计算这个大的技术趋势,NGFW在产品硬件形态上将变得更加弹性以及多样化。无论如何,结合目前最新的安全发展趋势来看,Gartner对NGFW的定义代表了综合安全网关产品未来的发展方向。

短期内,NGFW在国内不会形成独立的市场,将依然会与传统的防火墙、UTM、IPS、上网行为管理等产品形成直接竞争。中期内,由于国内各类用户对新产品的认可度不同,NGFW产品将首先会在大型企业、金融、电信等中高端领域逐渐被用户接受。长期来看,由于NGFW代表了未来综合安全网关的发展方向,国内厂商应当会逐渐改进现有产品线,以符合NGFW的发展方向。最终,NGFW会成为综合安全网关市场最核心的产品形态。

山石网科技术市场经理 任磊

从字面上看,NGFW不像“入侵防御系统”、“上网行为管理”那样直观表现产品形态,转而突出传统防火墙基础之上的概念升级。在山石网科看来,NGFW代表着用户对防火墙产品提出的更高要求,他们期待防火墙能够脱胎换骨,满足当前和未来存在的安全需求。同样是防火墙概念升级的UTM也曾是一个时代的宠儿,但当用户发现其仅是单纯的安全功能叠加,且在多功能开启后性能会急剧下降的时候,此类产品就逐渐归入了中小企业解决方案的范畴。而实际上,无论是UTM还是NGFW,都应该是通用环境下的产品,而不受行业或网络规模的限制。

NGFW产品应打破传统的单一功能叠加模式,实现基于应用的综合控制,其中单引擎与并行处理是关键。在应用识别的基础上,NGFW应能够对协议中的行为做深层次的可视、管理和安全控制。此外,在网络技术快速发展的今天,应用的变化不仅使得数据流量增加,更高的并发连接和更多的会话处理也对设备造成了很大的压力,用户需要改变传统思想中仅靠吞吐量去衡量产品的思路。当多种安全业务集中在一台设备上的时候,软硬件的高可靠性就变得至关重要。软件方面,AA、集群等特性可以实现多台设备之间的互备;硬件方面,多控制器、多处理模块、多电源等模块间的冗余设计也是提高设备稳定性的必要方法。

NGFW代表着防火墙产品的一种发展趋势,其核心诉求是数据处理模式和效率方面的根本提升。这种提升已经与国内网络发展造成的安全需求相匹配,理应成为未来用户解决网络安全问题的主流选择。随着云计算环境下安全需求的变化和虚拟化技术的不断普及,用户在针对应用的高性能、深层次防护领域将出现井喷性需求,市场潜力是巨大的。

从功能特性角度看,山石网科的产品早在2008年就具备了Gartner定义的NGFW特征,包括传统防火墙的全部功能、应用流量的识别与优化、用户身份和内容的识别与管理、入侵防御和病毒防护能力等。我们并不在意安全产品的名称,而是希望凭借山石网科多年来对市场的认识、对行业的理解,做出更贴近用户需求的新一代安全产品。

迪普科技产品部副部长 孙晓明

Gartner定义的NGFW确实为集成化的安全网关类产品指出了一个发展方向,这是值得肯定的。在此基础上,我公司更加重视客户关注以及所需要的功能,产品设计的出发点也是为客户提供一个功能完善、高效可靠、部署简单的产品解决方案。实际上,如果按照NGFW的定义,我们的FW1000应用防火墙产品和UTM2000的UTM产品都符合规范定义的形态。FW1000应用防火墙除具有基本防火墙功能以外,还具有对四层攻击、拒绝服务攻击的抵御能力,并且可以对P2P、网络游戏、炒股软件等各种应用协议进行识别并进行限流或者阻断。同时,设备自带千万条级别的URL库,可以实现URL过滤等功能,为业务流量优化和安全防护提供良好的辅助。而UTM2000系列产品则在FW1000应用防火墙产品的基础上,增加了IPS、防病毒、应用控制、关键字过滤、行为审计等功能。

无论是NGFW1000还是UTM2000,都采用了“一次解析、多次匹配”的业务处理模式,即单引擎+整合特征库(协议库、漏洞库、病毒库),使得产品在设计上具有了非常好的伸缩性。同时,单引擎相对多引擎在处理模型上有了优化进步,是高性能的保证。

无论UTM也好、NGFW也好,本质上都是对传统防火墙功能的提升和扩展,在价格被用户接受的情况下,对传统防火墙实现替代是必然的。NGFW和UTM之争,以及NGFW需要具备的功能讨论,在我们看来对用户的实际意义不大。用户需要的功能就是产品必备的功能,迪普科技不以License来控制功能模块的启用与否,交付给用户的本身就是具有多种安全功能的产品,用户可以根据需求选择自己需要的业务。

启明星辰产品管理中心产品部副经理 任平

启明星辰认为,NGFW的发展诉求应该是把传统防火墙将访问控制对象从网络层、传输层调整为应用层协议。因此,其产品实现基础不再是多模块协同工作,而是依托于网络应用的识别能力来实施安全访问控制。虽然技术方面存在相通性,但由于访问控制对象不同,NGFW与UTM在系统设计方面会存在本质差异

简单来说,NGFW在功能上偏重于网络应用安全,而UTM更侧重于网络内容安全。NGFW更强调应用识别能力、用户行为管理和应用安全,提供面向应用控制的网关安全防护;UTM针对内网强调全方位的安全能力,提供比较适中的、具有更高性价比的网关安全防护。UTM与NGFW相比,还可提供VPN、反垃圾邮件、反恶意软件、防攻击、内网管理等针对于内网的安全防护能力。

在功能模块组成上,Gartner并未明确规定NGFW功能的细节组成,定义的功能覆盖比较合理。但NGFW作为安全类产品,在应用识别的基础上,需要增强应用安全的检测控制能力,同时在保证效率的前提下,增强基于流的防病毒能力会更有利于NGFW实现针对应用安全的目标。从目前来看,还没有一个厂商可以实现UTM、NGFW特性高效融合的案例,更多还是在应用、安全各自见长。NGFW在安全特性上和UTM在应用控制上,是否符合用户预期的商用效率,与软硬件技术的发展也有着很大关系。

在应用为王的网络世界中,NGFW的出现是紧跟应用安全需求发展的产物,市场前景相对乐观。在国内市场,它将对传统防火墙、UTM、上网行为管理和IPS细分市场造成冲击。国内各传统安全设备厂商会对此不断调整自身产品形态,一定程度上影响国内安全网关市场的调整与分布。NGFW在国内可能首先冲击上网行为管理市场,最终替代上网行为管理产品,与防火墙、UTM和IPS产品形成新的市场布局,长期处于竞争态势。NGFW在性能方面的追求对硬件平台的专业化提出了更高的要求,国内安全厂商对专用硬件平台的驾驭能力会在一定程度上影响NGFW产品在国内的发展。在没有颠覆性软硬件技术革新的前提下,UTM、NGFW之间还难以形成替代关系。而二者差异的存在,使其在部署上反而会存在一定的互补性,在网络边界发挥各自优势,满足用户的多维度需求。

今年年初,启明星辰已经展开NGFW产品技术和市场空间方面的研究,考虑在合适的时机推出有特色的NGFW产品。

H3C安全产品部部长 马前祖

Gartner所提倡的下一代防火墙产品,很类似于UTM,都是尽可能将传统的单一防火墙功能扩充到多种安全业务的集合形态。基于应用的流量识别与控制,给客户带来投资减少和管理方便是显而易见的。但它们受制于软、硬件设计和处理能力以及深度安全防御的专业程度限制,NGFW产品形态缺乏标准,指标也比较随意。与部分厂商将它解读为所有的安全功能尽量集中于一体不同,H3C公司在网络安全方面的理解,更注重是从网络安全整体的角度看安全产品,提倡系统化安全,而Gartner提倡的解决方案是从纯安全的角度去看安全产品。我们不仅要把防火墙和IPS做成高性能或者互动,同时我们还要把交换机、路由器与管理中心、桌面控制平台联合到一起。

具备多种安全防护功能是下一代防火墙需具备的特点之一,从当前市场需求了解来看,NGFW需求集中于中小企业,类似于UTM,为一些中小企业在部署及管理维护带来一定的成本优势。但放眼未来,随着市场的发展逐步规范,NGFW产品自身在性能上得到提升,势必会在更大的领域获得广泛应用。但我们也注意到目前IT行业两大发展趋势,一是带宽越来越宽,以太网标准开始由万兆向40G、100G迈进;二是云计算风生水起,已成为众多企业CIO关注焦点。NGFW要跻身这个市场,在具有融合的安全防护功能的同时,还必须满足高吞吐和高并发的性能弹性匹配、云计算环境中虚拟化技术带来的安全虚拟化这两个基本需求。

未来防火墙产品发展方向上,H3C比较关注数据中心和云计算趋势。数据中心集成了网络、计算、存储功能,安全需要到与网络设计及管理维护高度融合,且性能和功能可以弹性扩展。在不久的将来,H3C将推出一系列具有业界顶级性能的安全防护产品,例如将于明年初正式推出的H3C SecBlade III第三代防火墙业务板卡,该产品将可以在S12500和S10500系列高端交换机上使用,不仅自身具有高性能,更可通过IRF扩展,实现远超于现有任何安全设备的强大性能,IPS、应用控制功能等也依据此架构提供的弹性硬件方式扩展,届时将再次刷新业界安全设备性能峰值。

网御星云副总裁、首席技术长官 毕学尧

对于Gartner提出的NGFW概念,网御星云部分赞同。但我们也认为有以下几点需要补充:

  • NGFW自身集成的抗攻击特性需要加强,除抗DoS/DDoS攻击外,还应有抗CC、ARP以及DNS攻击的能力;
  • NGFW是面向未来业务发展趋势的产物,厂商应为用户提供各类安全云与NGFW产品搭配的整体解决方案,而不仅仅是个单独的设备;
  • 多核多线程并行处理技术应是NGFW在软硬件系统平台方面的标配,以保障高性能与高稳定性。

这其中,NGFW最应具备的还是稳定可靠的基于云安全的防御特性。云安全防御技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息与特征,传送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端,实现立体全面的防护。

国内安全市场竞争激烈,NGFW的市场前景会进一步扩大化,不同品牌产品间在细节方面的表现将成为最关键的因素。网御星云早在2010年初就已立项启动下一代智能感控防火墙的研发,当前已处于测试阶段。功能方面,我公司产品包括了所有NGFW应具备的特性,同时融合了网御星云的云防御理念。该产品预计在2011年下半年上市。

华为赛门铁克安全市场与产品行销部部长 武鹏

Gartner对于安全威胁的发展趋势和用户业务安全需求发展趋势的判断是准确的,传统防火墙从防御范围和理念上,已经越来越难以满足用户需求。华赛认为,下一代的网络安全产品都应具备对用户的业务环境进行感知的能力,即能够识别和用户身份、网络特征、具体应用及内容数据相关的各种属性,并帮助客户实现面向具体业务制定一体化的安全策略,同时提供细粒度的控制能力,从而帮助用户真正实现全面的威胁管理和安全管控。

NGFW应具有较强的应用协议识别能力、应用层威胁识别能力、强大的IPS引擎和强大的反恶意软件引擎,同时具备智能的用户身份识别和管理能力。除此之外,既然该类产品已经定位于内容级,用户会更关注合规方面的功能,因此NGFW应该具备敏感信息过滤、定制合规策略并输出相关报告等相关能力。最后,考虑到NGFW所处的防御位置和攻击形态的发展趋势,完善的DDoS防护能力也是NGFW应具备的重要特性。

随着欧美的几个厂商开始在中国市场宣传NGFW,用户和媒体开始关注这种新产品。但目前由于NGFW的标准还不明确,国内第三方测评机构也暂不具备评估的能力,厂商的宣传还暂时无法带来规模的采购效应。但是,从近几年火爆的上网行为管理市场可以看出,中国市场有独特的对于合规和内容管理的需求,其真实存在是NGFW得以在未来有很好发展的基础。我们相信,只有切实把握国内用户的需求,对本土化的应用和威胁有深入研究的公司必然会推出具有中国特色的NGFW产品。审计、应用管理、威胁管理、用户管理、高性能、统一融合,这些都是国内客户的核心诉求点。目前已经进入国内市场并推广NGFW产品的企业,需要经历对市场的一个熟悉和磨练的阶段。

在国内市场和安全技术领域多年积累的基础上,我们相比其他厂商具有更多的优势,例如在应用识别、威胁识别、用户管理这些领域。华赛早就开始研究下一代网络安全产品技术,积累了大量的经验。今年,我们全面整合资源,开始了对下一代网络安全产品的研发,目前的挑战是如何设计一个高效率的新的体系架构。无论如何,华赛全系列的产品都将向下一代演进,这对用户是个很好的消息。

安氏领信研发总监 杜永峰

尽管目前业界关于下一代防火墙的定义仍然不统一,但这并不会影响用户对其的需求。用户关心的不是“什么是下一代防火墙”,而是“什么产品能帮助他们解决日益复杂的网络安全隐患”。随着面向服务应用架构的激增,更多网络上的应用流量往往通过少数的公开端口进行传输,要甄别这些应用以及如何控制应用流量中隐藏的威胁,基于IP、端口进行访问控制的传统防火墙已经显得力不从心。Gartner对NGFW的定义基本解决了用户迫切关注的问题,在传统的防火墙基础上增加对应用层协议细粒度的识别控制能力以及流量可视化能力、并能在深度解析应用协议的基础上对网络威胁进行防护。所以在产品与技术层面,我公司基本认同Gartner定义的NGFW标准。

安氏领信认为,Gartner的NGFW定义中对威胁的关注点是由外向内(或称之为攻击),对内部的数据安全考虑较少。面对日益严重的数据泄漏问题,有必要在网络边界处增加对内部“数据安全”的解决方案。此外,以“用户”为访问控制元素的策略上,需要考虑终端与边界防护的立体解决方案,在终端的接入上进行必要的控制。

我公司预计会在下半年推出NGFW产品,我们会在UTM技术积累的基础上,以一种全新的视角进行重构,重点在企业应用层协议控制、网络攻击防护的功能点上进行挖掘。尽管目前NGFW在市场上的整体占有率不足1%,但我公司对其未来的发展充满信心,尤其是在中小型企业。很多人都会拿UTM来与NGFW进行比较,权且不论国际市场如何,就国内来看UTM大而全、性能低下、没有整体防御逻辑的诟病较难被国内用户接受,NGFW的全新的产品理念在迎合企业管理需求上能很好弥补UTM的不足,市场前景值得看好。

东软网络安全产品营销中心产品策划部部长 王军民

Gertner对NGFW的定义是很周全并值得认可的,应用识别是防火墙未来发展的重要技术方向,基于应用的攻击的不断变化也要求防御技术必须有所提升。对于这样的变化,传统防火墙只能望而兴叹,因为它在应用层的检测能力几乎为零,无法起到良好的防御效果;而IPS仅关注应用层检测,防火墙功能极弱甚至没有,这也是有些用户把IPS当做IDS使用的一个原因;UTM则是一个集大成的产品,能够很好的融合各种安全技术,但一个缺乏统一指挥、统一资源调配的庞大团队,其效率低下是无法避免的。NGFW的使命,就是在性能、安全性、易用性、可管理性等方面有一个质的飞跃,满足用户新的防御和管理需求。

NGFW集成了多种安全业务特性,在功能上很强大。但是网关类产品在网络中布署时,会面临各种兼容性方面的问题,所以良好的兼容性、可扩展性是这类产品的必备特性。在开发NGFW产品的时候,这些方面必须优先考虑,不能因为功能的扩展影响了系统整体的运行效率。

技术是没有国界的,NGFW在国外发展得很好,相信在国内也会有光明的市场前景。从目前情况看,未来两年将是NGFW产品高速发展的一段时间,相信它会成为是防火墙、IPS的阶段性终结者。

对于新技术和新的产品形态,我公司历来都非常关注。但产品化进程要看市场的成熟度,产品上市太早的话,销量受影响,资金压力会很大;而上市时间太晚,又会失去很多市场机会。如何拿捏好产品研发和推广的时机,需要进行周密的考虑。

汉柏科技战略产品中心总经理 时培新

防火墙的核心目的是根据准确的判定条件来提供周密的访问控制策略,而根据Gartner的定义,NGFW并不是UTM和现有防火墙的简单升级,它提供了更全面的应用、用户识别机制,更灵活的控制机制,以及更全面的安全防御。

汉柏科技认为NGFW主要在以下几方面进行了大的改进:

  • What:越来越多的应用和威胁,采用了嵌入Web和常规协议的方式。基于端口检测的UTM只能将其全部认为是合法的应用,而无法逐一识别出来。NGFW采用基于DPI/DFI技术的检测,能够深入到应用层报文,通过签名、行为特征识别技术,将这些应用或者威胁进一步区分出来,以便制定不同的控制策略。对于一些关键字、URL和敏感信息,NGFW也可以识别;
  • Who:NGFW改变了传统防火墙/UTM依赖于物理设备地址(MAC/IP)和用户身份对应的方式,进而采用结合身份认证和深度挖掘的机制,去更主动、精准地关联用户的实际身份(邮件地址、用户帐号、手机号码等);
  • Where:在一些应用场合,特别是远程接入等场景下,NGFW还可以准确判定用户的位置;
  • How:在丰富的判别条件基础上,NGFW提供了传统防火墙之外更多的控制机制,例如针对应用或用户的限速、限额、限连接数、QoS等级等控制策略。针对各种网络和应用层攻击,以及各种敏感信息,NGFW在同一引擎实现高性能的IPS基础上,应提供包括主动关联、DLP以及SSL Proxy等在内的多种安全业务。同时,从应用和用户视角提供Drill-Down的呈现方式,能够将精细到每个用户的每种应用的每个连接呈现出来。

从内部实现机制上来说,NGFW应当是以高性能为前提的。而复杂的识别技术(状态检测、深度报文判别、模式识别、行为分析等)替代了传统的基于端口检测的方法,需要更多的开销。要在高性能的前提下提供更全面的功能,对各种实现机制,如应用协议库的组织、多条流关联识别、检测和分析引擎的一致性乃至同系统底层和硬件平台的配合设计上,都提出了全新的考验。从用户角度来说,NGFW更多体现的是从实际使用者(比如人力资源)角度的设计,而不再用实际使用者完全看不懂的术语(例如“五元组”)去设定相关的安全策略。同时,功能将更多地基于一体化引擎,而不再简单堆砌,使用起来更流畅、易用。

汉柏科技已经在对NGFW进行缜密的产品规划,预计会在明年上半年推出PowerAegis系列NGFW产品。

天融信总工程师 吴亚飙

随着业务、应用、需求的不断变化,防火墙的定义和功能也在一直在演进之中。但无论是功能从单一到复杂,还是访问控制的粒度从粗到细,其总体趋势仍然是追求更加丰富的功能和更高的性能。从IDC定义UTM,到Gartner定义NGFW,都在一定程度上反映了产业发展的状况。但我们也应看出定义存在的一些不足,导致业界各厂商有各自不同的理解。这些定义还没有上升到权威机构(如IEEE或ITU等组织)主导的层面,也就天生缺乏广泛性和权威性。由于对当前防火墙发展存在片面理解,Gartner定义的NGFW比较适合企业用户实现对应用的控制,而不适合大型IDC、数据中心进行部署。

天融信防火墙的许多设计方向都与NGFW不谋而合。由于传统防火墙基于五元组的访问控制机制无法应对各种复杂的网络应用,天融信很早就将入侵防御等5大类型的防御机制加入到防火墙产品中。经过几年的磨合,这些防御机制已经实现单一引擎处理和联动,例如入侵防御功能侦测到的威胁可以自动加载到防火墙规则内,在网络层就能提前阻断。它们之间已经不仅仅再是互动关系,而是一个整体。

在应用感知方面,天融信防火墙可以做到对各种应用的精准识别,例如可以在识别出用户使用的即时通讯软件是MSN、QQ、Yahoo! Messenger还是网易泡泡等客户端的基础上,准确捕捉到用户正在进行的是文字通讯、语音视频、文件传输还是音乐播放等行为,从而有目的、有针对性地加以拦截和限制。

天融信防火墙还可以在多种环境下灵活定义以适应需要。在控制对象上,我们更强调将虚拟世界与现实主体结合在一起的行为控制。虽然Gartner在定义中强调了更细粒度的应用意识,但在应用支撑上关注不够,天融信防火墙不仅仅强调应用意识,还开发了丰富的应用支撑功能,如SSL业务的支持,业务通道的流量优化等。未来大家还会看到更丰富的应用保障功能,将颠覆目前的防火墙概念。

网御神州副总裁 王刚

当前国内防火墙厂家和产品很多,各家产品在追求差异化的过程中创造了种种概念,相似的功能也往往采用不同的表现形式。这一方面激发了厂家的创造性,一方面也对用户理解产品、选择产品造成了一定的困扰。Gartner作为专业的咨询机构,牵头定义NGFW概念是值得欢迎的,对规范行业内产品形态、引导市场方向来说能起到很好的促进作用。但也应该认识到,NGFW是传统防火墙产品技术的发展延伸,而不是对其的否定,两者不能切割、对立起来。另外,NGFW标准也不会是一成不变的,随着市场需求和技术的不断发展,它也需要做相应的调整,因为只有真正符合用户需求的产品才是合适的产品。

在现有标准之外,NGFW应考虑加入基于权限及身份认证的安全接入控制和用户上网行为监控特性。此外,不同的用户群体有不同的需求侧重,如运营商就在BGP、MPLS、IPv6等方面有着更高要求。还有一个容易被大家忽视的是智能化可视报表及人机交互系统的易用性,这也是NGFW在传统防火墙基础上需要改进的。

防火墙做为边界安全第一道防线,仍是安全市场需求热点,且仍会占据最大的市场份额;NGFW作为防火墙产品中的一员,也会在这个市场中占有一席之地。短期来看,用户接受NGFW还需要一个过程;长期来看,NGFW肯定能更好地解决部分现有防火墙难以解决的问题,市场增长速度会超过防火墙整体市场的增长速度。当国内厂商积极引导、顺应客户需求的、纷纷推出NGFW产品时,会掀起市场的热潮,甚至带动防火墙整体市场取得更大的突破。对于网御神州来说,NGFW已纳入公司产品规划,计划在明年第三季度推出一系列不同规格的NGFW产品,以满足不同用户的需求。同时,NGFW的部分理念也已融合在现有的产品中。

瞻博网络系统工程师 候志昂

Gartner定义的NGFW标准主要强调了在应用层抗攻击的重要性。从技术层面上看,我公司认为NGFW需要在应用层实现丰富的审查与控制功能,例如应用层的流量分析与过滤、应用层QoS、对应用层DDoS攻击的防护都是NGFW的重要特性。在产品层面,NGFW产品需要在高可扩展性方面做出更多革新,通过在软件和硬件层面的模块化设计,实现功能、接口数量、处理能力的即插即用式升级,才能够使产品具有更长的生命周期。具有长远的技术前瞻性、架构设计优秀的产品才能够作为NGFW的代表。

产品设计方面,NGFW应该实现控制、转发、抗攻击三平面的硬件模块化分离。由于下一代防火墙需要在高性能网络中承担应用层审查和攻击抵御的任务,其转发平面势必面临比传统防火墙更为繁重的压力。如何在繁重的压力下保证防火墙的可管理性是未来必然面临的问题。因此,把控制层面独立出来,在高速安全处理的同时保证管理层面的畅通无阻,是提升防火墙稳定可靠的决定性因素。此外,针对DoS攻击等恶意流量,通过独立的抗攻击硬件层面进行处理也能够从根本上保障正常数据流不会被攻击流量所干扰,确保业务的健康运行。

一款产品的架构设计决定了其生命周期的长度。下一代防火墙中,在高端产品线引入交换矩阵是非常重要的。只有通过交换矩阵才能突破跨板卡流量性能的瓶颈,真正实现无阻塞转发。同时为了适应业务的增长需求,是否能真正做到可灵活扩展也是非常重要的因素,下一代防火墙需要能够实现性能、接口的零配置平滑升级,而决不能是简单的多台独立防火墙堆砌式升级。只有这样,才能实现可远期规划的网络架构,也可以节省投资、机房空间与能耗。

另外,防火墙的高可管理性也是下一代防火墙必须实现的目标。除了丰富的统计、日志以及友好的界面外,NGFW产品还应提供一个具有开放性的平台和丰富的接口,支持自编程脚本在设备上的运行,才能满足不同行业用户越来越多的个性化需求。

国内用户正在从扩张网络规模的建设阶段向建立追求高质量的、以数据模型为核心的网络为目标进行演进。在这个过程中,NGFW产品将成为网络安全层面不可或缺的角色。瞻博网络在2008年就已推出了NGFW的代表作SRX系列防火墙,该产品在传统防火墙的基础上灵活集成了攻击代码检测与防护、应用层识别与防护、应用层DoS攻击防御等功能。目前,SRX系列防火墙已经在国内的运营商、金融、能源、教育等行业用户的网络中大规模部署。


相关 [竞速 下一代 防火墙] 推荐:

竞速下一代防火墙

- wuwu - 弯曲评论
由于版面及内容形式等因素限制,文章在报纸上分3期共10个版进行连载. 本文是在连载结束后,重新调整了内容框架,修正、更新了一部分文字而成,看起来更像是一个完整的内容专题. 尤其是对13家厂商的采访部分,除了错别字和极个别不妥当的措辞或叙述外,未再做其他修改. 文章撰写过程中,得到了许多来自咨询机构、厂商、学术界的朋友的大力支持,在此表示感谢.

firewalld防火墙基础

- - 掘金 后端
firewalld防火墙是centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙. firewalld和iptables的区别. 基于区域内分防火墙规则来过滤数据包. 基于网络接口的规则来过滤数据包. 不会修改当前服务配置,不会现有连接. 修改完配置会立即生效,有可能会中断当前连接.

防火墙是科学家的敌人

- - Solidot
在一个数据驱动的世界里,共享数据是必不可少的. 因为复现的需要,科学家对数据共享尤为重视. 但在中国,你不能确信自己肯定能正常访问到数据或其他人能正常访问到你共享的数据. 在审查日益收紧的情况下,你不知道数据存放的网站是否会在某一天突然无法访问. 互联网本来是连通世界的伟大发明,但防火长城赋予了“越过长城走向世界”真正的含义,防火长城是科学的敌人,是中国科学家的敌人.

[转]iptables防火墙与NAT服务

- - 小鸥的博客
iptables防火墙与NAT服务. (1)设置在不同的网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性. (2)通过审查经过每一个数据包,判断它是否有相匹配的过滤规则,根据规则先后顺序一一进行比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作,若都不能满足,则将数据包丢弃,从而保护网络安全.

openresty+lua实现WAF应用防火墙

- - C1G军火库
pcre没找到,编辑时加上–with-pcre=../pcre-8.30 \. 4.下载ngx_cache_purge清缓组件. 伪装openresty为xcdn. 4.下载和配置 ngx_lua_waf. nginx下常见的开源 waf 有 mod_security、naxsi、ngx_lua_waf 这三个,ngx_lua_waf 性能高和易用性强,基本上零配置,而且常见的攻击类型都能防御,是比较省心的选择.

重庆建立没有防火墙的“云特区”

- Bryan - Solidot
重庆以其红色口味闻名中国,然而出人意料的是它在互联网建设上正走在中国前列. 据《南方周末》报导(原文已删除,快照),重庆“云特区”是中国唯一特批的“特别管理区”,高墙内数据中心与国内互联网物理隔离,不经防火长城,通过专用光缆直接连接国际互联网. 外商在这个名为“国际离岸云计算特别管理区”开展离岸数据业务,可以不经过国家关口局的数据检查,可以获得电信和数据营业执照,甚至可以对电信业务100%控股.

Gmail服务疑遭防火墙不定时封锁

- Alei - Solidot
过去几周,中国的Gmail用户发现访问十分困难,经常出现“找不到服务器”等错误信息. 有人利用2台VPS服务器,一台在上海,一台在香港,运行测试程序,对Google的HTTP服务和HTTPS服务同时进行测试. 结果显示,HTTP服务连接正常,HTTPS服务连接失败的周期为15分钟左右(最初几天是间隔10分钟),15分钟正常访问服务,15分钟TCP协议无法建立连接,周而复始.

顶级防火墙Outpost Firewall Pro 7.5(附注册码)

- 安得米 - 软矿
Agnitum旗下的防火墙软件Outpost Firewall Pro 深得人心,是一款功能强大的防火墙软件. 也正因如此Outpost Firewall Pro的注册码(序列号)变得一码难求. 即使网上泄露出有效注册码,也很大机会被封杀. Agnitum Outpost Firewall 功能之强大,可以秒杀很多防火墙软件,包括了广告和图片过滤、内容过滤、DNS缓存等功能.

欧盟商会称防火墙升级影响企业业务

- - Solidot
中国欧盟商会表示,中国当局对其网络防火墙的升级已经直接造成在中国国内访问境外网络服务器的可能性大大降低,从而导致企业使用网络获取和交流信息的效率降低. 不少欧洲企业在华设有的分公司都在使用VPN,员工们对这一系统的运行方式非常熟悉,他们甚至可以使用中国普通网民无法访问的脸书以及推特. 此外,几乎所有驻华外国记者也都在使用VPN,或者有互联网专线.