|
在应用感知方面,天融信防火墙可以做到对各种应用的精准识别,例如可以在识别出用户使用的即时通讯软件是msn、qq、yahoo! messenger还是网易泡泡等客户端的基础上,准确捕捉到用户正在进行的是文字通讯、语音视频、文件传输还是音乐播放等行为,从而有目的、有针对性地加以拦截和限制。 天融信防火墙还可以在多种环境下灵活定义以适应需要。在控制对象上,我们更强调将虚拟世界与现实主体结合在一起的行为控制。虽然gartner在定义中强调了更细粒度的应用意识,但在应用支撑上关注不够,天融信防火墙不仅仅强调应用意识,还开发了丰富的应用支撑功能,如ssl业务的支持,业务通道的流量优化等。未来大家还会看到更丰富的应用保障功能,将颠覆目前的防火墙概念。
当前国内防火墙厂家和产品很多,各家产品在追求差异化的过程中创造了种种概念,相似的功能也往往采用不同的表现形式。这一方面激发了厂家的创造性,一方面也对用户理解产品、选择产品造成了一定的困扰。gartner作为专业的咨询机构,牵头定义ngfw概念是值得欢迎的,对规范行业内产品形态、引导市场方向来说能起到很好的促进作用。但也应该认识到,ngfw是传统防火墙产品技术的发展延伸,而不是对其的否定,两者不能切割、对立起来。另外,ngfw标准也不会是一成不变的,随着市场需求和技术的不断发展,它也需要做相应的调整,因为只有真正符合用户需求的产品才是合适的产品。 在现有标准之外,ngfw应考虑加入基于权限及身份认证的安全接入控制和用户上网行为监控特性。此外,不同的用户群体有不同的需求侧重,如运营商就在bgp、mpls、ipv6等方面有着更高要求。还有一个容易被大家忽视的是智能化可视报表及人机交互系统的易用性,这也是ngfw在传统防火墙基础上需要改进的。 防火墙做为边界安全第一道防线,仍是安全市场需求热点,且仍会占据最大的市场份额;ngfw作为防火墙产品中的一员,也会在这个市场中占有一席之地。短期来看,用户接受ngfw还需要一个过程;长期来看,ngfw肯定能更好地解决部分现有防火墙难以解决的问题,市场增长速度会超过防火墙整体市场的增长速度。当国内厂商积极引导、顺应客户需求的、纷纷推出ngfw产品时,会掀起市场的热潮,甚至带动防火墙整体市场取得更大的突破。对于网御神州来说,ngfw已纳入公司产品规划,计划在明年第三季度推出一系列不同规格的ngfw产品,以满足不同用户的需求。同时,ngfw的部分理念也已融合在现有的产品中。
gartner定义的ngfw标准主要强调了在应用层抗攻击的重要性。从技术层面上看,我公司认为ngfw需要在应用层实现丰富的审查与控制功能,例如应用层的流量分析与过滤、应用层qos、对应用层ddos攻击的防护都是ngfw的重要特性。在产品层面,ngfw产品需要在高可扩展性方面做出更多革新,通过在软件和硬件层面的模块化设计,实现功能、接口数量、处理能力的即插即用式升级,才能够使产品具有更长的生命周期。具有长远的技术前瞻性、架构设计优秀的产品才能够作为ngfw的代表。 产品设计方面,ngfw应该实现控制、转发、抗攻击三平面的硬件模块化分离。由于下一代防火墙需要在高性能网络中承担应用层审查和攻击抵御的任务,其转发平面势必面临比传统防火墙更为繁重的压力。如何在繁重的压力下保证防火墙的可管理性是未来必然面临的问题。因此,把控制层面独立出来,在高速安全处理的同时保证管理层面的畅通无阻,是提升防火墙稳定可靠的决定性因素。此外,针对dos攻击等恶意流量,通过独立的抗攻击硬件层面进行处理也能够从根本上保障正常数据流不会被攻击流量所干扰,确保业务的健康运行。 一款产品的架构设计决定了其生命周期的长度。下一代防火墙中,在高端产品线引入交换矩阵是非常重要的。只有通过交换矩阵才能突破跨板卡流量性能的瓶颈,真正实现无阻塞转发。同时为了适应业务的增长需求,是否能真正做到可灵活扩展也是非常重要的因素,下一代防火墙需要能够实现性能、接口的零配置平滑升级,而决不能是简单的多台独立防火墙堆砌式升级。只有这样,才能实现可远期规划的网络架构,也可以节省投资、机房空间与能耗。 另外,防火墙的高可管理性也是下一代防火墙必须实现的目标。除了丰富的统计、日志以及友好的界面外,ngfw产品还应提供一个具有开放性的平台和丰富的接口,支持自编程脚本在设备上的运行,才能满足不同行业用户越来越多的个性化需求。 国内用户正在从扩张网络规模的建设阶段向建立追求高质量的、以数据模型为核心的网络为目标进行演进。在这个过程中,ngfw产品将成为网络安全层面不可或缺的角色。瞻博网络在2008年就已推出了ngfw的代表作srx系列防火墙,该产品在传统防火墙的基础上灵活集成了攻击代码检测与防护、应用层识别与防护、应用层dos攻击防御等功能。目前,srx系列防火墙已经在国内的运营商、金融、能源、教育等行业用户的网络中大规模部署。
|
