|
看下一代防火墙能否“笑傲江湖”?防火墙产品从上世纪九十年代至今,虽然历经系统架构和软件形态的多次革新,但在技术发展和用户、带宽不断增长的今天,却愈发难以满足多方面的挑战。 本文关键字: 防火墙 防火墙产品从上世纪九十年代至今,虽然历经系统架构和软件形态的多次革新,但在技术发展和用户、带宽不断增长的今天,却愈发难以满足多方面的挑战。尤其是在当前最热门的数据中心和云计算环境下,以太网标准由万兆开始向40G/100G迈进,我国各类数据中心和机房总量已经达到50余万个。业务低延迟、高可靠保证和智能化安全管理,都对网关安全产品的性能和功能提出了新的要求。 今年以来,锐捷网络、梭子鱼、深信服陆续在国内发布下一代防火墙(Next Generation Firewall,以下简称NGFW)产品,加上已经在市场上耕耘的SonicWALL、juniper、Check Point等厂商,这个在2009年Gartner定义的来形容防火墙进化发展的产品似乎迎来了春天。 传统的安全架构,如今在面对数据中心带来的大规模整合和互联、云计算和移动计算更为分散和全方位的安全需求时,正在经受考验和CIO的质疑,NGFW的出世是否为安全“老三样”注入“兴奋剂”。经过我们走访和接触数家安全及NGFW厂商发现,各家对NGFW的定义虽不尽相同,但发展诉求是一致的。在提到NGFW能否替代网络防火墙、IPS、UTM时,各家也是众说纷纭,有斩钉截铁说是的,有认为应根据网络环境来区别对待的,有认为对某产品来说是可以完全替代的,还有提到会对其他网安产品形成冲击的,相信您在犹豫或面临抉择时能找到一份答案。对于用户而言,要的不仅是高性能、多功能的安全产品,在面对威胁时,一款定位于边界防御的安全产品能否表现出稳定和高可靠性至关重要,对此,我们发现各家厂商的回答也是不一,但终究是要经过市场应用考验。其实,很多CIO也发现在面对网络架构的演进和更复杂的终端设备和用户应用,对传统防御造成挑战,然而作为应运而生的一款全新产品NGFW能否挑起大梁,值得关注和讨论。 与传统的网络防火墙和UTM产品相比,NGFW的不同之处在哪里?硬件架构做了哪些改变?NGFW相对传统独立的网络安全架构是否具有稳定和可靠性?企业部署应该做哪些准备,如何选型?近日,ZDNET安全频道采访国内外数十家主流安全及NGFW厂商,带您拨开云雾。同时,并策划一期专题“应运而生,看下一代防火墙能否笑傲江湖”,敬请大家关注。 FW力不从心 防火墙在演进 目前不管是网络厂商、专业防火墙厂商、IPS或应用控制网关等厂商都在图谋这一领域,在Gartner定义的产品特性基础上,各家厂商也根据自己的传统优势诠释着自己对NGFW的理解。 企业将面临来自于Internet的病毒、木马、DDOS攻击、网络钓鱼、SQL注入等种类繁多且危害巨大的威胁,H3C网络安全产品部安全技术总监李彦宾在接受ZDNet采访时表示,H3C认为在数据中心和云计算中下一代防火墙应该具备“虚拟化、高性能、高可靠以及智能化”四个特征,会向高性能、高可靠,虚拟化和智能化演进。 对于SonicWALL来说,下一代防火墙包括以下元素,第一个是入侵防护服务,另外是网关防病毒服务,还有防火墙的保护。同时包括以下特性,如内容过滤功能、反垃圾邮件功能,以及通过策略来管理应用程序的功能,同样也包括确保网络的可视性,并能对网络中的每一个正在进行的数据流进行全面的检测,SonicWALL中国区技术经理蔡永生介绍说。 绿盟科技产品市场经理段继平认为,NGFW除了对web2.0应用的识别管理能力外,还强调区分于UTM最重要的指标之一的性能。并能够集成IPS,Gartner认为NGFW需要集成IPS功能,但不是像UTM那样做简单叠加,而是要将IPS无缝的功能融合入NGFW产品中去。以及用户集成,强调用户身份与NGFW策略的整合。NGFW的这4点特征针对UTM存在的短板做了改进,并强调与目前最新的安全趋势融合。 虽然NGFW没有统一的标准,经过采访我们发现,各家厂商对NGFW的发展诉求是一致的,把传统防火墙将访问控制对象从网络层、传输层(L3-L4)调整为应用层(L7)协议,并能够识别用户、应用和内容,具备完整的安全防护能力的高性能下一代防火墙。 NGFW能否替代FW、IPS、UTM 众所周知,传统防火墙在上个世纪90年代就已经得到了广泛应用,种类也比较多。而UTM概念是2004年IDC发表的,NGFW的概念是2009年Gartner发表的。新的网络环境下,出现了哪些新的安全威胁,用户安全需求又在如何转变,传统的安全设备如何变得愈加无力。 对此,梭子鱼产品经理潘渊告诉记者,传统防火墙只能提供一般意义上的数据包转发和拦截功能,以及一些简单的包检测机制。UTM和传统防火墙相比,确实增加了很多过滤功能,包括应用层的识别和过滤。但是UTM的致命缺陷是由于采用串行扫描方式,处理效率低下。即便是增加了单点解决方案,能提供对email业务、Web应用、远程接入、即时通讯软件等病毒防护,但运营成本也会大幅度提高。而NGFW采用了高效的并行处理机制,并集成了网络安全、内容安全以及基于七层应用管理的网络接入控制保护能够抵御来自应用层的攻击,有效解决UTM的本质缺陷。 UTM诞生是因为早期的网络防火墙在IPS、反病毒、防恶意代码、反垃圾邮件等功能的缺失,而在其基础上堆砌了这些功能,迈克菲中国区网关安全产品总监郭伟强调说,UTM产品的本质仍然是基于传统网络防火墙架构的过渡性产品,其底层架构与传统网络防火墙无异。 “NGFW更注重在Web2.0时代的客户体验,比如采用客户化的GUI,多核CPU并发处理等。随着企业的发展,需要更主动,更直观,更定制化,性能更高的安全产品,这是NGFW的特点。对于企业来说,NGFW更贴合现有网络环境,对企业业务保护更加全面。”天融信方案与推广副总裁刘辉说。 责编:张欢 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|