|
本帖最后由 小t 于 2011-11-1 23:53 编辑
2011-11-1 23:40:02 上传 下载附件 (38.83 kb)自出现之日起,下一代防火墙(next-generation firewall,以下简称ngfw)就一直在争议中前行。究其原因,还是概念提出得比较超前,产品跟进却相对缓慢。不久前,梭子鱼与深信服科技在国内先后发布了各自的ngfw产品,加上产品已经正式在售的sonicwall、check point和palo alto,市场上俨然一副山雨欲来风满楼的景象。那么,ngfw究竟是如何定义的?它与传统防火墙、utm又有哪些不同?其产品与市场前景究竟如何?用户部署ngfw又需从哪些角度考虑?请随我们一起走进ngfw的神奇世界,共同领略这类新产品的价值所在。 何谓ngfw 什么是下一代防火墙?这一代、上一代防火墙指的又是什么?在讨论ngfw之前,我们必须先正确认识“防火墙”这个概念。在经历了多次技术变革后,防火墙的概念正在变得模糊,在不同语境中有着不同的含义。在描述具体产品时,防火墙大部分指代的是采用状态检测机制、集成ipsec vpn、支持桥/路由/nat工作模式的作用在2-4层的访问控制设备;而宏观意义上的防火墙,实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备(gateway)。国内的厂商、用户习惯将前者称为“传统防火墙”,国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念,其包含了传统防火墙、ips、utm及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加,广义的防火墙必然将集成更多的安全特性,著名市场分析咨询机构gartner所定义的ngfw就是很好的例证。 得益于许多厂商市场部门行之有效的推广工作,我们在市场上可以看到不少针对ngfw概念的宣导(即便其中可能存在着完全不同的理解)。而业内普遍认同的关于ngfw的定义,则来自gartner于2009年发布的一份名为《defining the next-generation firewall》的文档。该公司注意到,在应用模式、业务流程和安全威胁不断变化的今天,传统防火墙已经无法满足用户的需求。即便在此基础上再加入ips,也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下,gartner定义了ngfw这个术语来形容防火墙的必然发展阶段,以应对攻击行为和业务流程使用it方式的变化。 在gartner看来,ngfw应该是一个线速(wire-speed)网络安全处理平台,定位于企业网络防火墙(enterprise network firewall,firewall指宏观意义上的防火墙)市场。这里的企业指的是大型企业,国内很大一部分都归为行业用户范畴。ngfw在功能上至少应当具备以下几个属性: 除此之外,文档中也提到了ngfw在部署、升级方面的一些规定,但并未做更多的强制性约束。正如文档作者、gartner研究副总裁greg young在接受我们采访时强调的那样,集成传统防火墙、可与之联动的ips、应用管控/可视化和智能化联动就是ngfw要具备的四大基本要素。 发现用户需求及产品形态变化的并不只gartner一家,国际著名第三方安全产品评测机构nsslabs也在今年正式开始了ngfw产品的公开测试工作。从官方发布的信息来看,该机构基本认同gartner对ngfw的定义,只是在智能化联动方面并未做过多的强制性要求,但突出了对用户/用户组的控制能力。从测试的角度出发,相信nsslabs的工程师对产品配置的复杂度和易用性都有很深刻的了解,他们的观点可以代表许多用户。此外,该机构还认为企业并没有准备在数据中心中用任何方案替代掉独立的ips设备,所以ngfw集成的ips模块应该提供对客户端保护(主要在特征库方面体现)在内的完整方案,并且将针对于此的配置归纳到预定义策略模版中去。 ngfw与utm:竞合或补充 但非竞争 需要注意的是,不同机构对ngfw做出的定义都是最小化的功能集合。站在厂商的角度,势必要根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的ngfw产品在功能上可能存在差异,同时更像一个大而全的集中化解决方案,给用户造成了很混乱的印象。我们在采访中听到用户最多也是最经典的反问就是:ngfw不就是一个加强型的utm么? 实际上,这里提到的ngfw和utm都是对厂商包装后的产品的认知,已经脱离了最原始的定义。市场分析咨询机构idc曾经这样定义utm:这是一类集成了常用安全功能的设备,必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能,并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开,但是这些功能必须集成在一个硬件中。idc对utm的定义无疑是非常聪明的,它简单明了,让人易于接受并容易做出判断。“所有功能不一定要打开”这句话,除了说明安全业务要由用户需求决定外,也考虑了早年间硬件平台的实际处理能力。而安全业务的集成化,也确实符合当时的市场需求。有了这样一个宽泛的准入条件,utm的概念一经推出便受到厂商与用户到一致认同,市场份额迅速扩大,成长为目前安全市场上的主流产品。 与idc的宽松态度不同,gartner在其市场分析报告中对utm产品形态则有着更为细致的描述。该机构在调研后认为,除了传统防火墙与ips,utm至少还应该具有vpn、url过滤和内容过滤的能力,并且将网关防病毒的要求扩大至反恶意软件(包括病毒、木马、间谍软件等)范畴。另一方面,gartner对utm的用户群体有着自己的看法,认为该产品主要面对的是中小企业或分支机构(1000人以下,gartner的划分方式)。这类用户通常对性能没有太高要求,看中的是产品的易用性和集成安全业务乃至网络特性(如无线规格、无线管理、广域网加速)的丰富度。实际上,gartner之前一直使用smb多功能防火墙(smb multifunction firewalls,这里的firewall也指宏观意义上的防火墙)来描述这类产品,只是因为utm这个概念被市场普遍接受,才在2010年的分析报告中修改了称谓。该机构认为utm与ngfw集成安全功能的差异主要体现在时延敏感性上——作为边缘网关,ngfw必须满足时延敏感型应用的需求,与之有悖的功能不适合出现在ngfw上。而从gartner针对其他产品市场的分析报告中可以推断,安全web网关(secure web gateway)似乎是该机构认为的ngfw联合部署的理想对象,此外独立的waf、反垃圾邮件产品也应被考虑。 (责任编辑:admin) |
