志不强者智不达。自从2009年Gartner定义下一代防火墙至今,国内外业界风起云涌,竞相角逐。但是下一代防火墙成为众家“香饽饽”之时,便可能成为跟风者邯郸学步之日。滚动着泡沫的一汪沸水,你能否看到水底蕴藏的那潜在力量?

2007年,Palo Alto Networks发布世界第一款下一代防火墙产品。此后,国际网络行业领导厂商诸如 Barracuda Networks、Cisco、Check Point、Dell SonicWALL、Fortinet、Juniper Networks等等公司也相继推出下一代防火墙。国内厂商自然不甘落后,2011年深信服发布中国第一款F代防火墙伊始,拉开了中国厂商开启下一代防火墙模式的序幕。一年来,国内厂商宣布推出“下一代”单品的已有迪普、东软、锐捷、深信服、天融信、网康、网神等。越来越多的厂商注意到了将设备与云相结合,使用云计算的优势来进一步提升下一代防火墙在未知威胁防护上的处理效能,但是在硬件设备方面却鲜见有亮点的升级,加之中国大部分厂商都只是今年才推出第一代NGFW产品,所谓有亮点的产品升级更新更无从谈起。诚然,下一代防火墙已经逐渐被市场所接受、认同,但这是否是因为夸大的市场宣传而“被接受”了呢?

从一年前的凤毛麟角到如今的满城尽是“下一代”,网络安全新产品的蓬勃发展是我们愿意看到的,但如果是厂商为了迎合“下一代”风潮而削足适履,这是我们不愿意看到的。当然,我们更不愿意见到的是无休止的炒作掩盖了产品的真正价值。

新技术应对新挑战

通过对多家安全厂商的走访,记者发现大家不约而同地指出网络活动急剧增加,也日趋复杂,安全攻击出现多样性,云计算、移动互联网、BYOD、Web 2.0等成为了新时代的网络安全挑战。

Web2.0时代带来爆炸式的应用增长,对传统防火墙造成了极大的挑战。在各式各样的Web应用潇洒地通过80端口时,基于“五元组”的传统防火墙无异于被蒙上双眼的士兵,不再能很好地守护网络的安全。

此外, APT攻击近年来分外活跃。Stuxnet病毒不仅使伊朗核计划遭到重创,也拉开了工控系统入侵的序幕。长久以来,工控系统被认为并不会受普通电脑病毒的影响。随着这一想法被颠覆,更多的网络攻击将会瞄准工控系统和物联网。在网关处,更深度的数据包检测、病毒入侵防护,以及工控系统协议的支持等需求也变得越来越迫切。

在谈及如何应对新时代带来的新挑战时,锐捷网络安全产品线经理王福光说:“云计算等新技术应用的发展,带来了三个方面的转化,即数据集中化;应用复杂化;边界多元化。数据的上收让云计算核心的数据中心承担着巨大的安全压力与挑战。如何在保障安全的同时满足高速、无瓶颈的性能要求,也成为了防火墙的基础要求。”

Check Point安全顾问吴航在采访中也表示,APT(高级可持续性威胁)攻击在近两年也愈演愈烈,Stuxnet病毒对于工控系统和物联网的影响已经改变了业界关于安全的观点,很多大的企业已经意识到威胁的形式发生着巨大的改变。因此对更加高效、多功能的网关防护设备的需求程度也在不断提高。

通过研究Gartner和NSS Labs对于下一代防火墙的定义发现,作为一个整合深度数据流检测、应用安全识别,以及攻击防护的安全平台,必须要具备传统企业级防火墙的全部功能。比如基础的包过滤、多层状态检测、NAT,以及面对一切网络流量时保持高稳定性和可用性。在此之上,下一代防火墙还必须要具备应用识别和控制、用户及用户组控制、完整的IPS功能、灵活的功能扩展选择和外在信息源。其实还有一点,也是业界一直在宣传的,在开启多个功能,甚至是全功能时,性能下降不明显,这也是区分UTM与NGFW的一个显著标志。

“下一代”不仅仅代表了多功能、高性能,更是对于传统设备软件和硬件技术的革新。对此观点,我们也独家连线了美国网络世界安全频道资深编辑Ellen Messmer。Ellen认为,下一代防火墙对于传统基于端口检测的防火墙来说是革命性的改变,它打破了以往UTM简单将各功能模块串联起来的基础架构模式。

对于设计架构方面,下一代防火墙从基础架构上解决了多功能开启时UTM性能急剧低下的问题。Palo Alto通过独家设计的单通道并行处理架构,紧密结合了软件与硬件,简化了管理工作,也提供了一个流畅的运行程序与最佳性能。这个架构的卓越之处在于,当数据流通过时,软件通过一次性的策略查找、应用程序的识别和解码、用户的识别,以及内容扫描(病毒,木马,入侵防护),而硬件平台使用特殊功能的处理器执行联网、安全、威胁防护与管理,使整个设备达到最大的性能与最小的延迟。因此,基础架构的革新决定了下一代防火墙能够解决UTM性能瓶颈的问题。

经过一段时期的发展,不论是防火墙市场的老牌劲旅,还是创建没几年的新兴公司都纷至沓来,推出下一代防火墙,欲求在市场中分一杯羹。通过对多家安全厂商的走访和产品调查,我们发现目前市场上普遍的下一代防火墙设计架构都趋向于单通道并行处理的一次拆分包技术。但是在实际的应用层处理性能、深度病毒检测性能等方面,国内产品与国际领先厂商的产品尚有一定差距,还需要提升自身技术实力,同时进一步接受市场的考验。

近两年,厂商和媒体的大力宣传,防火墙市场表现出蓬勃发展、百舸争流的态势,而下一代防火墙也被宣传成了一款“万金油”产品。然而我们是否需要冷静一下,还原一个真实的下一代防火墙呢?