计算机世界：竞速下一代防火墙

     2011-7-2 16:14:41     来源： itwriter     

本报记者韩勖

　　自出现之日起，下一代防火墙（next-generation firewall，以下简称ngfw）就一直在争议中前行。究其原因，在于概念提出得比较超前、产品跟进却相对缓慢。

　　就在不久前，梭子鱼与深信服在国内先后发布了ngfw产品，加上产品已经正式在售的sonicwall、check point和palo alto，市场上俨然一副山雨欲来风满楼的景象。

　　那么，ngfw究竟是如何定义的？它与传统防火墙、utm有哪些不同？用户部署ngfw又需从哪些角度考虑？请随我们一起走进ngfw的神奇世界，共同领略这类新产品的价值所在。

　　何谓ngfw？

　　什么是下一代防火墙？这一代、上一代防火墙指的又是什么？在讨论ngfw之前，我们必须先正确认识“防火墙”这个概念。

　　在经历了多次技术变革后，防火墙的概念正在变得模糊，在不同语境中有着不同的含义。在描述具体产品时，防火墙大部分指代的是作用在2~4层，采用状态检测机制、集成ipsec vpn、支持桥/路由/nat工作模式的访问控制设备；而宏观意义上的防火墙，实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备（gateway）。国内的厂商、用户习惯将前者称为“传统防火墙”，国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念，其包含了传统防火墙、ips、utm及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加，广义的防火墙必然（来自：湖北教育考试网）将集成更多的安全特性。

　　得益于许多厂商市场部门行之有效的推广工作，我们在市场上可以看到不少针对ngfw概念的解释（即便其中可能存在着完全不同的理解）。而业内普遍认同的关于ngfw的定义，来自市场分析咨询机构gartner于2009年发布的一份名为《defining the next-generation firewall》的文章。gartner注意到，在应用模式、业务流程和安全威胁不断变化的今天，传统防火墙已经无法满足用户的需求。即便在此基础上再加入ips，也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下，gartner定义了“ngfw”这个术语来形容防火墙的必然发展阶段，以应对攻击行为和业务流程使用it方式的变化。

　　在gartner看来，ngfw应该是一个线速（wire-speed）网络安全处理平台，定位于企业网络防火墙（enterprise network firewall，firewall指宏观意义上的防火墙）市场。这里的企业指的是大型企业，国内很大一部分都归为行业用户范畴。ngfw在功能上至少应当具备以下几个属性：

　　传统防火墙：ngfw必须拥有传统防火墙所提供的所有功能，如基于连接状态的访问控制、nat、vpn等。虽然我们总是在说传统防火墙已经不能满足需求，但它仍然是一种无可替代的基础性访问控制手段。

　　支持与防火墙自动联动的集成化ips：在同一硬件内集成ips功能是必须的，但这不是gartner想表达的重点。该机构认为，ngfw内置的防火墙与ips之间应该具有联动的功能，例如ips检测到某个ip地址不断地发送恶意流量，可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是由ngfw自动完成的，而不再需要管理员介入。比起前些年流行的传统防火墙/ids间的联动机制，这次升级并不是一个特别高深的技术进步，但我们必须承认它能让管理和安全业务处理变得更简单、高效。

　　应用识别、控制与可视化：ngfw必须具有以与传统的基于端口和ip协议不同的方式进行应用识别的能力，并执行访问控制策略。例如允许用户使用qq的文本聊天、文件传输功能但不允许进行语音视频聊天，或者允许使用webmail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况，保证关键业务的畅通。虽然严格意义上来讲应用流量优化（俗称应用qos）不是一个属于安全范畴的特性，但p2p下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。

　　智能化联动：获取来自“防火墙外面”的信息，做出更合理的访问控制，例如从域控制器上获取用户身份信息，将权限与访问控制策略联系起来，或是来自url filter判定的恶意地址的流量直接由防火墙去阻挡，而不再浪费ips的资源去判定。我们理解这个“外面”也可以是ngfw本体内的其他安全业务，它们应该像之前提到的ips那样与防火墙形成紧密的耦合关系，实现自动联动的效果（如思科的“云火墙”解决方案）。

　　除此之外，文档中也提到了ngfw在部署、升级方面的一些规定，但并未做更多的强制性约束。正如文章作者、gartner研究副总裁greg young在接受本报记者采访时强调的那样，集成传统防火墙、可与之联动的ips、应用管控/可视化和智能化联动就是ngfw要具备的四大基本要素。

　　发现用户需求及产品形态变化的并不只gartner一家，国际著名第三方安全产品评测机构nsslabs也在今年正式开始了ngfw产品的公开测试工作。从官方发布的信息来看，该机构基本认同gartner对ngfw的定义，只是在智能化联动方面并未做过多的强制性要求，但突出了对用户/用户组的控制能力。从测试的角度出发，nsslabs的工程师对产品配置的复杂度和易用性都有很深刻的了解，他们的观点可以代表许多用户。此外，该机构还认为企业并没有准备在数据中心中用任何方案替换独立的ips设备，所以ngfw集成的ips模块应该提供对客户端保护（主要在特征库方面体现）在内的完整方案，并且将针对于此的配置归纳到预定义策略模版中去。

ngfw产品加入应用识别后的访问控制量效果

　　ngfw与utm：

　　竞合或互补，但非竞争

　　需要注意的是，不同机构对ngfw做出的定义都是最小化的功能集合。站在厂商的角度，势必要根据自身技术积累的情况，在产品上集成更多的安全功能。这导致不同厂商的ngfw产品在功能上可能存在差异，同时更像一个大而全的集中化解决方案，给用户造成了很混乱的印象。我们在采访中听到用户最多的也是最经典的反问就是：ngfw不就是一个加强型的utm么？