|
现状 理论上的定义总是滞后于用户需求和技术发展,从市场上可以购买到的实际产品来看,ngfw集成的安全功能已经远远超过了咨询机构给出的最小化定义。虽然不同厂商在功能提供上还存在差异,但大家的目标都是一样的,那就是功能最大化集成,性能(产品规格)通吃低端到高端,这与gartner细分功能、用户群体的追求有很大出入。其实厂商这样做无可厚非,只有功能模块化加系统平台化的方式才能做到成本最低和利润最大化。 近日,《计算机世界》报记者走访了发布了ngfw产品的5个厂商和部分用户,梳理出一些国内用户在选型时最关注/最值得关注的功能和评估经验,供读者参考。
全方位的本土化:应用特征库的本土化是影响ngfw产品使用效果的关键因素,每一个厂商都需在协议种类与更新响应速度方面做出最大努力。采访中有用户就抱怨,目前使用的国外某utm产品在ips模块中虽然也集成了对应用的识别控制功能,但扩充更新速度太慢,以至于上线不久就失去了对迅雷等频繁更新应用的控制能力,同时全英文的操作/报表界面也加大了使用难度,对于it管理效率有着不可忽视的影响。 对此,sonicwall中国研发中心总经理陈中在接受采访时有针对性地提到,目前该公司的ngfw产品在每次系统版本更新后1~2个月内即可提供中文版,并且有专人负责国内应用特征的添加与维护,达到平时每周1次、紧急情况下1天响应的更新频率。而以内容和应用安全起家的深信服科技在这方面显然也有着先天性的优势,该公司技术总监殷浩表示,本土化的应用识别和应用防护功能是ngfw用户获得良好使用体验的基础,深信服目前使用的识别引擎已经能够辨析600多种应用,可以满足不同部署场景的要求。 用户识别与控制/统一的策略框架:虽然它们不全是gartner的ngfw定义中的强制性功能,但我们发现目前所有的ngfw产品都有提供,并且在此领域做着更加深入的尝试。ngfw应当可以通过获取域控制器信息或web认证等手段,做到ip与用户身份的绑定,再通过统一的策略框架进行更加直观、简单的权限定义。据paloalto公司创始人、首席架构师毛宇明介绍,该公司的ngfw产品将用户识别与应用识别、内容识别并列为3大核心功能,最大化地融合了用户权限与策略配置的描述,例如“允许市场部门的所有员工从任何位置访问新浪微博”、“只允许it部门员工从特定位置使用ssh、telnet、远程桌面应用”等等,并且这种融合会让报表更具实用价值。 集中管理平台:ngfw集成了更多的安全功能,我们认为在管理尤其是集中管理上还应该给行业用户提供更强大、易用的解决方案。梭子鱼网络有限公司中国区技术总监谷新就特别提到,该公司在集中管理平台的构建上投入了很大精力,可以管理维护多达数千台ngfw产品。该平台还结合独特的图形化管理维护技术,利用业界独特的“梭子鱼ng地球”特性,使分布网络的管理变得简单高效。 在实验室级别的测试方面,目前业界对出现在市场上不久的ngfw产品还没有一个公认的测试标准,甚至独立的测试报告都寥寥无几。nsslabs曾经在几个月前发布了针对checkpointpower-111065的单品测试报告,这也是该机构第一次发布ngfw类别的测试报告。我们从中可以看出,针对ngfw产品的测试方法可以理解为在传统防火墙和ips测试的基础上,补充了针对用户/应用的识别与控制能力的测试。据checkpoint中国区技术经理刘刚介绍,该产品在测试中有着非常优秀的性能表现,在防火墙、身份识别以及应用程序控制执行的各项评测中取得100%的有效率,成为业界首个获得nsslabsngfw“推荐”级别的厂商。但用户也应认识到,实验室环境中的测试结果代表了一种特殊的应用场景,在选型时还应结合自身业务需求寻找更多的评估依据。例如未来如果打算启用dlp功能,就一定要关注重组大小、解码种类等方面的限制,最好能创造环境去测试设备在此条件下的最差性能。此外,我们注意到nsslabs在应用识别与控制测试中使用的多为欧美地区流行的应用样本,国内用户应当重点考察ngfw产品对迅雷、新浪微博、开心网等本土热门应用的识别与控制能力。 (责任编辑:admin) |
