|
最新日志 最新评论 日志分类 最近阅读 个人简介
标题: 竞速下一代防火墙
原文发于《计算机世界》。由于版面及内容形式等因素限制,文章在报纸上分3期共10个版进行连载。本文是在连载结束后,重新调整了内容框架,修正、更新了一部分文字而成,看起来更像是一个完整的内容专题。尤其是对13家厂商的采访部分,除了错别字和极个别不妥当的措辞或叙述外,未再做其他修改。
文章撰写过程中,得到了许多来自咨询机构、厂商、学术界的朋友的大力支持,在此表示感谢。同时也要感谢我的同事,是她们的努力使得专题内容得以按时发布。最后,我必须感谢一下我的太太,她为专题做了许多资料翻译工作,并在撰写过程中为我创造了良好的工作环境。 水平所限,文中多有待商榷之处,请不吝赐教。希望这一专题内容能抛砖引玉,引发更多有价值的讨论。 ===================================================================== 自出现之日起,下一代防火墙(next-generation firewall,以下简称ngfw)就一直在争议中前行。究其原因,还是概念提出得比较超前,产品跟进却相对缓慢。不久前,梭子鱼与深信服科技在国内先后发布了各自的ngfw产品,加上产品已经正式在售的sonicwall、check point和palo alto,市场上俨然一副山雨欲来风满楼的景象。那么,ngfw究竟是如何定义的?它与传统防火墙、utm又有哪些不同?其产品与市场前景究竟如何?用户部署ngfw又需从哪些角度考虑?请随我们一起走进ngfw的神奇世界,共同领略这类新产品的价值所在。
何谓ngfw 什么是下一代防火墙?这一代、上一代防火墙指的又是什么?在讨论ngfw之前,我们必须先正确认识“防火墙”这个概念。在经历了多次技术变革后,防火墙的概念正在变得模糊,在不同语境中有着不同的含义。在描述具体产品时,防火墙大部分指代的是采用状态检测机制、集成ipsec vpn、支持桥/路由/nat工作模式的作用在2-4层的访问控制设备;而宏观意义上的防火墙,实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备(gateway)。国内的厂商、用户习惯将前者称为“传统防火墙”,国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念,其包含了传统防火墙、ips、utm及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加,广义的防火墙必然将集成更多的安全特性,著名市场分析咨询机构gartner所定义的ngfw就是很好的例证。 得益于许多厂商市场部门行之有效的推广工作,我们在市场上可以看到不少针对ngfw概念的宣导(即便其中可能存在着完全不同的理解)。而业内普遍认同的关于ngfw的定义,则来自gartner于2009年发布的一份名为《defining the next-generation firewall》的文档。该公司注意到,在应用模式、业务流程和安全威胁不断变化的今天,传统防火墙已经无法满足用户的需求。即便在此基础上再加入ips,也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下,gartner定义了ngfw这个术语来形容防火墙的必然发展阶段,以应对攻击行为和业务流程使用it方式的变化。 在gartner看来,ngfw应该是一个线速(wire-speed)网络安全处理平台,定位于企业网络防火墙(enterprise network firewall,firewall指宏观意义上的防火墙)市场。这里的企业指的是大型企业,国内很大一部分都归为行业用户范畴。ngfw在功能上至少应当具备以下几个属性: 除此之外,文档中也提到了ngfw在部署、升级方面的一些规定,但并未做更多的强制性约束。正如文档作者、gartner研究副总裁greg young在接受我们采访时强调的那样,集成传统防火墙、可与之联动的ips、应用管控/可视化和智能化联动就是ngfw要具备的四大基本要素。 (责任编辑:admin) |
