|
2011-11-1 23:41:44 上传 下载附件 (109.16 kb)通过上面的分析,我们可以得出明确的结论:至少在gartner看来,utm和ngfw只是针对不同级别用户的需求,对宏观意义上的防火墙的功能进行了更有针对性的归纳总结,是互为补充的关系。无论从产品与技术发展角度还是市场角度看,它们与idc定义的utm一样,都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述,其出发点就是用户需求变化产生的牵引力。对此,fortinet创始人、首席技术长官、工程副总裁谢华在接受我们采访时有着非常精辟的总结:“utm的概念在不断的进化,包含了越来越多的安全功能。但像500强那样的大企业对utm的接纳相对保守,不过他们也开始从独立的安全设备开始转向集成化的道路,其关注重点就是gartner定义的以传统防火墙与ips为基础元素的ngfw——utm进化中的一个细化分支。无论如何,我们将看见安全功能整合的革命将继续进行下去。”fortinet提供的产品技术也已覆盖了网络,内容和应用三个层面,应用识别与控制就是其中的扩展模块之一,ngfw的定义在可扩展化的utm系统中得到充分的体现。 应用识别与控制:全能杀手锏 对于ngfw这种新生的产品形态,市场上也不乏质疑声。在多功能安全网关领域,有xtm做前车之鉴,不少人认为ngfw也将是昙花一现的概念。不过utm概念刚被提出时,市场上也有过类似的质疑声,但用户用实际行动表明了对这种功能丰富、性价比高的产品的认可,其市场份额长期保持乐观增长。idc预计,国内utm市场2011年增长率为38.2%,市场规模将达到1.741亿美金;2010到2015年的复合增长率为33.6%,市场规模在2015年将达到5.353亿美金。为什么utm比xtm成功得多?我们认为关键在于前者在适当的时候集成了用户需求最迫切的功能,后者却试图引导用户,以一些相对小众的特性为卖点。而对于ngfw来说,其最大的亮点在于应用识别与控制功能,这恰恰也是目前用户最迫切需要的功能,有着很大的潜在用户群体。gartner表示,目前只有不到1%的互联网连接采用ngfw来保护。而到2014年年底,这个比例会增加到现有用户总量的35%,并且新购买的防火墙中将有60%是ngfw。该机构还建议,无论用户现在使用的是防火墙、防火墙+ips还是安全服务,都应在下一个更新周期来临时切换到ngfw。 作为ngfw定义中明确要求具备的特性,应用识别、控制与可视化可以解决给企业用户带来极大压力的网络滥用问题,同时对业务流量进行优化,受到了所有受访用户的关注。而5家推出ngfw产品的厂商均表示,该功能已经成为各自产品中的标准配置,也就是说,即便用户在购买时不包含其他任何安全功能的使用许可,也会得到一个“应用防火墙”形态的产品,我们认为这也将成为未来ngfw产品商业模式方面的常态。但多数受访厂商也希望用户认识到,ngfw产品只能提供上网行为管理产品和专业流控产品中最基本的一部分功能,且应用场景和功能侧重都有很大差异,并不存在完全的取代关系。流控产品通常会被部署在行业用户或运营商网络的边缘,用于对应用层流量进行合理的整形与优化;上网行为管理产品则基本部署在企业网络中,在阻止网络滥用行为的同时提供更丰富的行为控制与审计能力。二者都是单一功能设备,与强调一体化接入安全的ngfw没有可比较的环境。ngfw的优势在于应用识别/控制与安全业务的无缝衔接,可以完成诸如“允许msn传输文件并对文件进行病毒过滤,但不许使用语音视频聊天”这样的综合访问控制策略。 除了上网行为管理产品和流控产品,部分市售的utm产品也带有应用识别与控制功能,令人感觉与ngfw十分相似。不过该功能大多以独立的功能模块形态存在,通常在策略配置、日志/报表乃至授权许可方面都不统一,应用体验与ngfw存在一定差距。此外,至少我们所测试过的集成应用识别与控制功能的utm产品中,还没有任何一款在特征库中包含web 2.0应用,显然不能满足互联网应用发展带来的新安全需求。最后也是最关键的一点,部分没有采用统一处理引擎的utm产品在性能上的衰减也许是任何人都始料未及的。我们曾经测试过这样一款产品,只开启防火墙时可以达到几百兆的吞吐量(http大页面,后同);在此基础上开启ips,吞吐量下降到一百多兆;如果再开启应用识别与控制,吞吐量则只有几十兆。而ngfw被gartner定义为线速(wire-speed)网络安全处理平台,虽然在启用多种功能时性能也会有所降低,但从目前市场上销售的ngfw产品的规格指标来看,部分产品在开启应用识别与控制功能后,性能能够达到单独开启防火墙时的60%-80%;在此基础上再开启反恶意软件、ips等功能,性能最高者可以达到单独开启防火墙时的50%。当然我们不能以偏概全,无论是utm还是ngfw,在开启多功能部署前都应进行细致的测试工作。 在稍后的产品分析中可以看到,虽然gartner在定义文档中将ngfw的用户群体圈定在大型企业和行业用户,但5家厂商都推出了全功能的中低端产品。实际上,中小企业对应用识别与控制功能的需求,要远远高于其他任何安全特性。自防火墙普及以来,大部分中小企业用户就把它当做一个接入设备而非访问控制设备来用。如今,他们面临最严重的问题不是安全问题,而是如何限制网络滥用行为,保证接入质量。微博上最近流传的笑话就很说明问题:某小公司内上网体验十分恶劣,经常连网页都无法完整打开,领导对此也无可奈何。唯有每月财务人员在公司qq群内喊一句“都停下,我要发工资”,网络访问才会短暂地恢复正常。这个例子很生动地表明,目前许多中小企业用户面对网络滥用行为缺乏有效的技术管理手段,导致网络陷入完全失控的局面。 目前常见的解决方式是使用带应用控制功能的路由器或上网行为管理产品,前者价格低廉但功能简单,不少产品在应用识别与控制能力上仍待加强;后者虽然功能强大但价格昂贵,中小企业或许要为一些很少用到的功能买单。从市场角度看,两类产品在用户覆盖上造成一个断层,中间有大量用户的需求没有被满足。而中低端ngfw产品的出现,在功能、性能上满足了此类用户的需求(多数产品的基本配置都是带应用识别与控制功能的“应用防火墙”),又提供了安全业务的扩展能力,价格也基本维持在同规格utm产品的水平,值得所有中小企业用户关注。 如何评估ngfw产品 ngfw属于新生产品,目前业界对其还没有一个公认的测试标准,甚至独立的测试报告都寥寥无几。nsslabs曾经在几个月前发布了针对check point power-1 11065的单品测试报告,这也是该机构第一次发布ngfw类别的测试报告。我们从中可以看出,nsslabs针对ngfw产品的测试方法可以看作是在传统防火墙和ips测试的基础上,补充了针对用户/应用的识别与控制能力的测试。不过,我们注意到应用识别与控制测试中使用的样本多为欧美地区流行的应用,国内用户应当重点考察ngfw产品对迅雷、新浪微博、开心网等本土热门应用的识别与控制能力。采访中有些用户就抱怨说,目前使用的国外某utm产品在ips模块中虽然也集成了对应用的识别控制功能,但扩充及更新速度太慢,以至于上线不久就失去了对迅雷等频繁更新应用的控制能力。 此外,应用对于网络的使用模型趋于多元化,ngfw产品在应用控制方面的细粒度也应被重点关注。对于传统的网络应用,以迅雷为例,可以考察产品是否能够在允许常规http、ftp下载的前提下,屏蔽一切p2p或cache加速下载行为或进行限速处理;而对于开心网这样的互联网/移动互联网应用来说,可以考察设备是否能够对基于web 2.0平台的小应用(如开心农场、开心城市)进行单独的屏蔽。即便不能做到这一点,ngfw产品也应该能够通过url-filter特征库中的分类或手动设定策略的方式进行屏蔽。 除了应用特征库包含的协议种类与特征更新速度,管理界面的易用性也是不容忽视的评估要素。虽然用户识别/控制和统一的策略框架不是gartner的ngfw定义中的强制功能,但我们发现目前市场上的产品都有提供,并且厂商纷纷在该领域做着更加深入的尝试。用户应当考察ngfw产品是否可以通过获取域控制器信息或web认证等手段,做到ip与用户身份的绑定,再通过统一的策略框架进行更加直观、简单的权限定义,以达到“允许市场部门的所有员工从任何位置访问新浪微博“、“只允许it部门员工从特定位置使用ssh、telnet、远程桌面应用”等以用户、应用为核心元素的访问控制策略配置模式。易用性的另一个重要体现是设备是否提供中文的webui、报表系统、端点套件和集中管理系统。英文界面无疑会增加ngfw产品的配置管理难度,对it管理效率造成不可忽视的影响。 性能测试方面,许多用户都知道针对传统防火墙有rfc2544、rfc3511、gb/t 20281-2006这样公认的测试规范。这类产品的业务模型比较单一,有经验的测试人员/管理员根据依照规范测得的结果,甚至可以凭经验去预估防火墙在某个特定场景中的性能衰减幅度。而当网关设备使用的访问控制技术走进dpi时代开始,实验室环境中进行的标准化测试就失去了普世的指导意义。即便是ips,部署在数据中心出口时与部署在企业出口时的性能也会有很大差异。而ngfw产品在进行性能评估时会更复杂,用户必须根据自身的业务需求,抽象出与之吻合的流量模型,进行细致的、有针对性的测试工作,才能得到有价值的评估依据。并且在测试过程中,应时刻以“寻找最差性能”的目标,方可在未来的实际使用中规避性能瓶颈。 经历了实验室环境中的考验,用户也不应忽视产品在实际环境中的测试工作。比起utm,功能更加丰富的ngfw产品需要更长的测试周期以证明设备的稳定性和在用户业务、管理方面的兼容性。同样要长期验证的还有身份(id)的同步和策略执行的效果,安全部门在这一环节也许需要行政部门的配合(gartner和nsslabs都曾或多或少地提到过这个环节存在的难度,或者说是“管理矛盾”)。途牛旅游网的资深网络工程师吴康在采访中就谈到这样的体会:该公司在明确自身安全需求后,选择了ngfw产品取代utm搭配上网行为管理的方案保护包括订单系统在内的在线oa平台。经过长达半年的上线测试,途牛旅游网的it团队才以用户身份关联为基础逐步实现了策略的统一配置,验证了产品性能与稳定性,在满足需求的同时大幅提升了管理效率。由此可见,充分的测试是ngfw产品部署前必不可少的环节,鉴于大部分用户都会同时启用ngfw多种安全功能,我们建议无论是否进行实验室测试,都要在实际环境中进行至少3个月以上的、结合自身业务需求的测试,尽可能地与原有信息系统磨合,排除潜在隐患。 (责任编辑:admin) (责任编辑:admin) |
