滾動著泡沫的沸水 理性看待下一代防火墻
志不強者智不達。自從2009年Gartner定義下一代防火墻至今,國內外業界風起云涌,競相角逐。但是下一代防火墻成為眾家“香餑餑”之時,便可能成為跟風者邯鄲學步之日。滾動著泡沫的一汪沸水,你能否看到水底蘊藏的那潛在力量?
2007年,Palo Alto Networks發布世界第一款下一代防火墻產品。此后,國際網絡行業領導廠商諸如 Barracuda Networks、Cisco、Check Point、Dell SonicWALL、Fortinet、Juniper Networks等等公司也相繼推出下一代防火墻。國內廠商自然不甘落后,2011年深信服發布中國第一款F代防火墻伊始,拉開了中國廠商開啟下一代防火墻模式的序幕。一年來,國內廠商宣布推出“下一代”單品的已有迪普、東軟、銳捷、深信服、天融信、網康、網神等。越來越多的廠商注意到了將設備與云相結合,使用云計算的優勢來進一步提升下一代防火墻在未知威脅防護上的處理效能,但是在硬件設備方面卻鮮見有亮點的升級,加之中國大部分廠商都只是今年才推出第一代NGFW產品,所謂有亮點的產品升級更新更無從談起。誠然,下一代防火墻已經逐漸被市場所接受、認同,但這是否是因為夸大的市場宣傳而“被接受”了呢?
從一年前的鳳毛麟角到如今的滿城盡是“下一代”,網絡安全新產品的蓬勃發展是我們愿意看到的,但如果是廠商為了迎合“下一代”風潮而削足適履,這是我們不愿意看到的。當然,我們更不愿意見到的是無休止的炒作掩蓋了產品的真正價值。
新技術應對新挑戰
通過對多家安全廠商的走訪,記者發現大家不約而同地指出網絡活動急劇增加,也日趨復雜,安全攻擊出現多樣性,云計算、移動互聯網、BYOD、Web 2.0等成為了新時代的網絡安全挑戰。
Web2.0時代帶來爆炸式的應用增長,對傳統防火墻造成了極大的挑戰。在各式各樣的Web應用瀟灑地通過80端口時,基于“五元組”的傳統防火墻無異于被蒙上雙眼的士兵,不再能很好地守護網絡的安全。
此外, APT攻擊近年來分外活躍。Stuxnet病毒不僅使伊朗核計劃遭到重創,也拉開了工控系統入侵的序幕。長久以來,工控系統被認為并不會受普通電腦病毒的影響。隨著這一想法被顛覆,更多的網絡攻擊將會瞄準工控系統和物聯網。在網關處,更深度的數據包檢測、病毒入侵防護,以及工控系統協議的支持等需求也變得越來越迫切。
在談及如何應對新時代帶來的新挑戰時,銳捷網絡安全產品線經理王福光說:“云計算等新技術應用的發展,帶來了三個方面的轉化,即數據集中化;應用復雜化;邊界多元化。數據的上收讓云計算核心的數據中心承擔著巨大的安全壓力與挑戰。如何在保障安全的同時滿足高速、無瓶頸的性能要求,也成為了防火墻的基礎要求。”
Check Point安全顧問吳航在采訪中也表示,APT(高級可持續性威脅)攻擊在近兩年也愈演愈烈,Stuxnet病毒對于工控系統和物聯網的影響已經改變了業界關于安全的觀點,很多大的企業已經意識到威脅的形式發生著巨大的改變。因此對更加高效、多功能的網關防護設備的需求程度也在不斷提高。
通過研究Gartner和NSS Labs對于下一代防火墻的定義發現,作為一個整合深度數據流檢測、應用安全識別,以及攻擊防護的安全平臺,必須要具備傳統企業級防火墻的全部功能。比如基礎的包過濾、多層狀態檢測、NAT,以及面對一切網絡流量時保持高穩定性和可用性。在此之上,下一代防火墻還必須要具備應用識別和控制、用戶及用戶組控制、完整的IPS功能、靈活的功能擴展選擇和外在信息源。其實還有一點,也是業界一直在宣傳的,在開啟多個功能,甚至是全功能時,性能下降不明顯,這也是區分UTM與NGFW的一個顯著標志。
“下一代”不僅僅代表了多功能、高性能,更是對于傳統設備軟件和硬件技術的革新。對此觀點,我們也獨家連線了美國網絡世界安全頻道資深編輯Ellen Messmer。Ellen認為,下一代防火墻對于傳統基于端口檢測的防火墻來說是革命性的改變,它打破了以往UTM簡單將各功能模塊串聯起來的基礎架構模式。
對于設計架構方面,下一代防火墻從基礎架構上解決了多功能開啟時UTM性能急劇低下的問題。Palo Alto通過獨家設計的單通道并行處理架構,緊密結合了軟件與硬件,簡化了管理工作,也提供了一個流暢的運行程序與最佳性能。這個架構的卓越之處在于,當數據流通過時,軟件通過一次性的策略查找、應用程序的識別和解碼、用戶的識別,以及內容掃描(病毒,木馬,入侵防護),而硬件平臺使用特殊功能的處理器執行聯網、安全、威脅防護與管理,使整個設備達到最大的性能與最小的延遲。因此,基礎架構的革新決定了下一代防火墻能夠解決UTM性能瓶頸的問題。
經過一段時期的發展,不論是防火墻市場的老牌勁旅,還是創建沒幾年的新興公司都紛至沓來,推出下一代防火墻,欲求在市場中分一杯羹。通過對多家安全廠商的走訪和產品調查,我們發現目前市場上普遍的下一代防火墻設計架構都趨向于單通道并行處理的一次拆分包技術。但是在實際的應用層處理性能、深度病毒檢測性能等方面,國內產品與國際領先廠商的產品尚有一定差距,還需要提升自身技術實力,同時進一步接受市場的考驗。
近兩年,廠商和媒體的大力宣傳,防火墻市場表現出蓬勃發展、百舸爭流的態勢,而下一代防火墻也被宣傳成了一款“萬金油”產品。然而我們是否需要冷靜一下,還原一個真實的下一代防火墻呢?#p#
新思維引領“下一代”
不論是對于產品還是概念的討論,業界都有很多不同的聲音。著名安全評測實驗室NSS Labs在近期發表的評測報告中,對下一代防火墻表示出了擔憂。報告中指出,當與傳統防火墻和IPS的組合比較時,大部分的下一代防火墻解決方案不能提供很好的處理性能和安全性。研究人員認為,只有少數的NGFW產品能夠符合當下的安全需求。在通過對八款下一代防火墻,或者是號稱為下一代防火墻的產品測試過后,結果顯示,只有一半的NGFW產品其安全性能評分達到90%以上,而且廠商對其產品處理性能的夸大也值得注意。八款產品中的五款產品吞吐量未能達到廠商所聲稱的數據,而全部八款產品的最大連接數測試均低于宣傳數值。雖然我們并未能對國內更多的NGFW產品進行全面的測試,但是對于產品實際表現與性能的擔憂也應該存在。
“我們的思維模式需要轉變。下一代防火墻不應只是一個產品,更應該代表一種前瞻性的眼光。”天融信高級副總裁劉輝說。作為下一代防火墻的“異見”代表,他還認為,互聯網飛速發展,如果安全廠商沒有遠見,不能看到“下一代”的安全需求,只是做到亦步亦趨,終將只能在市場競爭中扮演配角。對此,Gartner才用前瞻性和執行力作為其魔力象限的兩個維度來衡量一個領域廠商的水平。如果只是把單一的產品稱之為下一代,會對產品的發展產生不利的影響。下一代防火墻需要更智能,結合云計算充分發掘大數據的價值,通過對互聯網中的海量數據(包括防火墻日志)進行數據挖掘和分析,將防火墻與整個體系深度結合,使防火墻更加智能、靈活,從而對防火墻下發更加準確的策略。對于網絡防護設備來說,其主要功能還是網絡層和傳輸層。因此,隨著SDN成為網絡發展趨勢,作為更智能、更靈活的下一代防火墻也需要適應下一代網絡的發展,對于SDN的支持可謂必不可少。
在對于網絡安全未來的看法上,思科高級安全顧問徐洪濤認為,傳統意義的網絡邊界已經越來越模糊,給網絡安全也帶來了新的挑戰。因此,防火墻技術也必須隨之做出改變。云計算技術的發展,需要安全平臺更好地去識別最新的網絡威脅。移動互聯網和智能終端的發展,需要安全平臺更好地去識別用戶身份和終端。而新應用的出現,則需要安全平臺去更好地識別新的應用。只有這樣,才能真正地起到防火墻安全防護和控制的作用。保證網絡安全的前提是對網絡的終端和使用有全面的可見性,并且能提供足夠的控制能力。全網可見性的提高和可控性的增強,目前來看已經成為用戶做網絡安全建設的核心思想。在未來的一年中,網絡安全市場也將會以此為主導,專用安全產品的授權因素需要豐富,而大量部署的網絡設備的安全特性與識別功能也會得到更多的使用。網絡安全技術本身會更加全面和動態,而網絡安全技術與網絡技術的結合也將會更為明顯。
對于下一代防火墻的看法,我們或許真的應該突破盒子本身。硬件設備須與云平臺進行整合,基于云的分布式計算環境不僅可以提升識別效率,還能有效地降低硬件部署成本。Gartner也提到,對于延時敏感的企業建議使用下一代防火墻。已知威脅的處理效率會對網絡出口產生延遲影響。而對于未知威脅的檢測效率和準確度不夠,也應算作延時的一種。對于已知威脅的掃描、檢測、隔離并不是競爭的重點,通過有效的手段進行高速的未知威脅識別才是未來競爭的主戰場。高效而準確的識別未知威脅,才能真正保護網絡的安全。
未知威脅的識別必須依托背后強大的云平臺。Palo Alto的Wild Fire(野火)安全平臺,基于云計算,有效地解決了未知惡意軟件威脅。一小時之內,野火會返回對于一個新發現的惡意軟件的識別報告,并自動下發給防火墻。這一切都是由云自動完成的。而一年前,這件事還需要一天的時間來完成。網康科技營銷副總裁左英男說:“下一代防火墻將不再是孤立的硬件產品,必須依托于強大的外在安全服務來構建實時的安全防護體系。”網康科技的下一代防火墻采用了基于云的URL過濾功能,可以主動掃描預防和在線內容識別,快速發現并識別可疑網站。#p#
前路漫漫 道阻且長
盡管不斷變化的威脅環境,以及業務流程使企業在安全系統更新換代時必將考慮下一代防火墻,然而Ellen在承認NGFW帶來技術革新的同時,也對市場表示了一定程度上的擔憂。他向記者解釋道,從整個企業級防火墻市場來說,有這樣一種假設,就是在我們當前的網絡環境中和我們即將步入的移動互聯、云計算時代中,處處都需要下一代防火墻。事實上它很難實現,尤其是對于大型企業來說。企業用戶曾明確表示他們不希望將反病毒功能集成在下一代防火墻中,而NGFW中的IPS功能也鮮有人問津。另外,企業客戶也不愿意因為適應不必要的下一代防火墻而增加他們現有防火墻策略的復雜度。
傳統防火墻和UTM短期之內不會被下一代防火墻完全取代。網神科技產品運營總監陳超認為,我們無須對于一款產品的名字過于糾結,最重要的是能夠滿足客戶的需求和該企業在未來一段時期內的發展,擴容需求。下一代防火墻確實解決了傳統防火墻和UTM的種種問題,但是在某些特定領域還是更傾向于保守地選擇傳統產品。比如對于大型IDC來說,核心需求就是超高速的轉發,所以可能需要百G的吞吐。在這種情況下,傳統防火墻無疑比下一代防火墻更具競爭力。
對于UTM來說,情況也是如此。東軟網絡安全營銷中心產品策劃部部長于江在采訪中表示,UTM能夠獲得如此大的成功,也證明了其滿足當前客戶對于安全保障的需求。在一些小型企業,對于吞吐和性能的要求并不高,已有的UTM設備已經完全滿足日常所需。這也是在下一代防火墻起步初期,產品滲透率不高的原因之一。在未來一到兩年內,隨著互聯網的進一步發展、安全需求更加復雜多樣,下一代防火墻的滲透率會有很大的提升。未來幾年內,會出現NGFW、傳統防火墻、UTM三足鼎立的情況,直至隨著設備的自然更替,NGFW完全替代傳統防護設備。
對于有意愿引進下一代防火墻的企業來說,只須根據企業網絡情況,以及未來發展規劃,合理部署下一代防火墻即可保障其在整個網絡中的正常使用。不僅可以提升企業網絡的安全性,也可以讓企業在未來升級網絡時更加流暢。深信服市場行銷部技術總監殷浩表示,如果原有的傳統安全產品處于正常使用周期內,建議只啟用下一代防火墻的應用層安全防護功能和原有的產品及方案形成互補。當原有傳統安全產品超出正常使用周期,可以啟用下一代防火墻的其他安全防護功能進行替換。如果企業需要新建一個網絡,則建議直接選擇下一代防火墻構建安全防護體系。對于安全要求更高的金融、運營商單位,建議采用兩種下一代防火墻品牌進行異構部署。
在本次采訪過程中,記者發現各家廠商產品的研發和設計理念有三點是共通的:即易用性、全面可視化和用戶需求。這三者即是相互獨立,又是相互聯系的。在這個越來越強調人機交互的時代,安全產品也需要做到好的用戶體驗。網絡管理人員對于產品熟悉的程度越快,就越能更好、更快地將其發揮到最大功效。全面可視化可以讓用戶更好地對通過防火墻的流量進行分析。只有獲取的信息足夠充分,才能做出更為合理的分析、對防火墻部署更有效的策略。產品的設計和研發最終目標是銷售給客戶,因此產品必須要滿足用戶的需求。安全威脅每時每刻都在發生、更新,也會隨著安全防御技術的發展而變化,互相抑制、互相刺激。作為廠商來說,用戶需求的滿足不單只是當前需求的滿足,更要看到更長遠的未來需求。只有這樣才能讓自己的殘酷的市場競爭中立足,最終成為領導行業風向的企業。
非淡泊無以明志,非寧靜無以致遠。在當今瞬息萬變的快餐時代,我們不僅需要接受新事物,迎接新挑戰,尋求新突破。也需要我們擁有一顆堅守的心,一份不為世俗所打擾的魄力。網絡安全需要你我共建,網絡新時代等待我們共創。只要心中有夢想,哪怕山重水復,哪怕道阻且長。
【編輯推薦】
