看下一代防火墙能否“笑傲江湖”?防火墙产品从上世纪九十年代至今,虽然历经系统架构和软件形态的多次革新,但在技术发展和用户、带宽不断增长的今天,却愈发难以满足多方面的挑战。 本文关键字: 防火墙 各大厂商几乎不约而同的说到,不论是传统防火墙还是UTM,已无力应对Web2.0交换式多种应用场景下的实时变化的安全威胁。在记者问到NGFW将是网络防火墙、IPS、UTM的替代品吗的问题时。瞻博网络大中国区产品市场经理谭俊直言道,“是的,这是一个基于新一代架构和理念不断创新和演进的过程。” 深信服市场行销部技术总监殷浩表示,传统防火墙、UTM由于低廉的采购成本,在少数简单网络环境还是会成为用户的一种选择。但最终面对用户的应用层安全需求,FW、UTM终将不断演进到NGFW的产品形态。迈克菲中国区网关安全产品总监郭伟的回答更为保守,他认为,对于一些安全要求比较低的网络环境比如企业的访客网络,非核心业务网络等,传统网络防火墙还是有其应用需求的,并且可以和NGFW实现梯次配置,实现差异化分层防护。IPS产品的优势在于利用签名技术对网络流量进行快速、无时延的检索,要求其有高转发率特性,擅长检索已知网络威胁,防止DDos攻击等,因而与NGFW相比有各自不同的关注重点。但在谈到UTM时,郭伟认为,凡是UTM能够部署的地方, NGFW都可以无缝替换,更加之UTM一直存在性能瓶颈,所以UTM产品最终会为NGFW所取代。启明星辰边界安全产品部副经理马骏则特别强调了NGFW对上网行为管理市场的冲击,马骏认为,NGFW最终会替代上网行为管理产品,与FW、UTM和IPS产品会形成新的市场布局,并形成相对长期竞争态势,相互功能也会不断融合,与各种形态的网关产品市场形成比较理性的布局。 NGFW单次解析架构 满足网络高性能 很多用户对UTM的抱怨是,如果对集成的多种功能同时开启,性能显著下降,从而无法兑现其标称的性能指标。打个比方,UTM产品架构类似于我们经常在城镇郊区看到的自建房,因为一开始没有统筹规划,在扩建上只能在原来的平房的基础上加盖,但你很少见到加盖的层数超过4层。因为这样,地基、承重墙都无法负担。这就是目前UTM的架构。 “这实际上是由于UTM产品软硬件架构设计原理瓶颈所致,” 迈克菲中国区网关安全产品总监郭伟说到,NGFW在设计之前就已经考虑到未来安全的需求变化,软硬件架构采用了分离栈的设计思路,不同的应用防护,不同的功能集成项分别设置分离的TCP/IP栈结构,充分利用了目前硬件的多CPU、多喝的硬件体系,所以在全部功能加载运行后不会像UTM产品那样,虽然功能比较全,但实际应用场景中性能指标无法满足,而最终导致很多UTM功能成为摆设。 深信服市场行销部技术总监殷浩告诉记者,NGAF采用单次解析架构,结合多核并行处理技术,将所有内容扫描功能混合在一个模块完成,由于所有数据流只会有一次扫描,性能就得到了大幅提升,相对于多数UTM仅有几百兆到1G的应用层性能来说,NGAF实现10G应用层吞吐能力更能满足用户对高性能场景的需求。梭子鱼梭子鱼产品经理潘渊表示,“性能差异是UTM设备和NGFW设备最根本的区别,这是由于完全不同的功能实现机制导致的。梭子鱼下一代NGFW特有的ACPF防火墙引擎技术,通过一次性的解包,并行处理所有识别、扫描、过滤与控制,大大提升数据处理效率。” NGFW的重要特点就是开启多重安全功能后性能不会出现明显下降,绿盟科技产品市场经理段继平解释到,NGFW相对于原有的UTM产品最大的创新在于软件方面,比如软件架构采用统一引擎架构,将原有的安全功能的堆叠变为安全功能的融合,基于Web 2.0 的可视化等。 传统UTM设备仅仅将FW、IPS、AV进行简单的整合,开启多个模块时是串行处理机制,一个数据包先过一个模块处理一遍,再重新过另一个模块处理,一个数据要经过多次拆包,多次分析,导致降低了包的处理传输效率。这是我们采访时听到的最多的答案。NGFW由于实现在一次拆包中的并行处理,山石网科技术市场经理任磊强调到,“在设备本身硬件架构方面势必要采用具备并行处理能力的多核处理芯片,而在当前众多安全厂商的多核产品中以采用多核网络专用架构的解决方案更适用于当前复杂应用控制、安全防护的网络。” 面对稳定和可靠性 NGFW能否经得起考验 通过我们逐步深入的了解,显然,NGFW具备高度融合的特性。所以,NGFW自身必须具备高度的稳定性、可靠性和性能可扩展性,这是一个前提条件,否则自身会成为安全防御和网络性能的一个薄弱点。面对重大的网络入侵,如何依然保证其高度稳定和可靠性,就要求实现的产品具备高度成熟的模块化操作系统,高可靠的电信级冗余设计,可扩展性和高性能。NGFW能否担此重任,或者相比传统独立安全设备是否具有优势,看记者深入采访,且听百家争鸣。 北美和欧洲的政府机构,包括对网络安全管控要求较高的机构和阻止,例如:国家基础设施,电力、能源、水利等领域在最近几年已经几乎摒弃了传统网络防火墙和UTM设备的采购而转向NGFW。再看看全球500强的大型跨国公司目前对网络安全的设备需求也都纷纷转向到更加专注于应用安全管控NGFW为主体,包括银行、保险等机构,例如对知识产权关注度较高的Hi-Tech公司。新加坡也从2009年规定,今后有关政府、公共安全部门的防火墙采购需求将以NGFW为主体,不再考虑对传统网络防火墙和UTM的采购。迈克菲中国区网关安全产品总监郭伟强调,“这些都在商务和客户层面证实了NGFW能够满足企业对网络安全产品的稳定性和可靠性的要求。” 天融信方案与推广副总裁刘辉表示,“NGFW产品一般都集成了多种安全引擎,使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS、虚拟防火墙等安全功能。这些功能将通过一个引擎进行检测,通过统一的界面控制,无论遇到那种威胁,智能管理系统都会执行相应的策略,用最有效的功能组合来阻挡入侵。相对于单独的安全产品堆砌来说,NGFW各项功能间的配合更紧密。比如入侵防御模块发现的威胁可以自动加载到防火墙规则内,在网络层就能提前被阻断,防火墙和入侵防御已经不仅仅是互动关系,而是一个整体。” “对于常见的网络层入侵,NGFW所具备的更高每秒新建会话能力在相同软件算法的情况下可以提供更强壮的抗攻击能力;对于应用层攻击,NGFW真正集成IPS后在一次拆包就可以实现对入侵行为的识别、动作和记录,这种无缝对接保证了对网络入侵行为出现时的时效性、准确性和高处理性能。”山石网科技术市场经理任磊显然对于NGFW的防御能力深信不疑。 而H3C网络安全产品部安全技术总监李彦宾的回答则大相径庭,他对NGFW的表现显然不那么乐观,“面对重大的网络入侵,NGFW融合的设备相对IPS(入侵防御系统)独立安全设备在稳定性和可靠性方面还有一定的差距。比如IPS透明部署在网络中,在遇到极端情况下,有二层回退、PFC掉电保护等多种可靠性设计,保证业务的畅通。而NGFW作为网关部署在网络中,一旦出现问题,会造成网络的中断。” 国标中对入侵的定义是指“任何危害或可能危害资源完整性、保密性、可用性的行为”,网络入侵往往包含了多种攻击手段,从攻击过程来看,是一个动态的、长期的、变化的过程,涉及人员、网络、设备、操作系统、应用系统多个方面。启明星辰边界安全产品部副经理马骏表示,从纵深防御体系来看,NGFW是定位在边界防御,考量NGFW的重要指标在于其安全防御能力以及事件库的更新速度,这方面取决于厂商在漏洞研究、漏洞验证、入侵检测、快速响应、硬件整合等多方面的能力,是厂商综合能力的体现。专业设备在这方面目前做得很成熟,并已经获得市场和用户的认可。在NGFW上还需要时间和市场应用的检验。 应运而生 NGFW是否存在独立市场 NGFW产品是最终网络安全需求的深入和目前时刻面临的多变的基于应用和内容网络安全威胁而诞生的,根据Gartner的预测,到2014年底,35%的企业会在采购安全设备的时候转向下一代防火墙,60%新购买的防火墙将是NGFW。在这种趋势下,传统安全设备厂商不可能熟视无睹,他们的产品都会向高性能的应用识别和应用防护的方向转变,最终实现普遍的应用层安全。 在谈到NGFW在国内的市场应用前景时,山石网科技术市场经理任磊告诉记者,下一代防火墙代表着防火墙产品发展的一种趋势,在数据处理模式和效率方面有质的提升,这种提升是为了满足网络发展的需求,这样的话也就理应成为未来用户解决网络安全问题的主流选择,而随着云计算环境下安全的需求和虚拟化技术的不断普及,在安全方面针对应用的高性能深层防护将出现井喷性需求,市场潜力是巨大的。 “下一代防火墙将开辟一个全新的,独立的网络安全硬件市场,国内的下一代防火墙市场处于起步阶段,却发展迅速,而主流的安全硬件厂商都已推出了基于下一代防火墙概念的产品也恰恰验证了这一市场的广阔前景;国内用户在选择安全产品时,肯定会发现下一代防火墙产品正是能解决日益增多的企业网络安全问题,日益下降的网络性能问题,困扰网管们的网络管理问题的最佳产品。” 梭子鱼产品经理潘渊表示。 责编:张欢  微信扫一扫实时了解行业动态 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|
|
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc