格物资讯创始人 韩勖
下一代防火墙(NGFW,Next-Generation Firewall)从问世至今,在国内已经走过用户培育阶段,开始步入市场收获期。围绕下一代防火墙,业界并没有产生太大争议,类似UTM当年那种混乱的概念解读几乎没出现。但乱象并未绝迹:市场上仍有人把NGFW当做新的产品品类,用户中也有人纠结于NGFW与UTM之争……如何正确认识下一代防火墙?它的本质是什么?用户如何选择?让我们来一次正本清源。
防火墙定义的分野这个问题问的貌似很奇怪,但确实很多人存在误解。自从信息安全成为产业以来,国内外对防火墙的理解就有着本质的不同。大部分国内用户乃至厂商都把“防火墙”看做一种产品,它基于状态检测机制,可以做NAT、五元组的访问控制以及2~4层安全防护,甚至国标都是这样定义的。但在海外,业界对Firewall这个词的理解是可以做访问控制、同时提供安全功能的设备。它不是一个具体的产品品类,而是对一系列用在相同应用场景中的产品的归纳描述,与市场行为无关。如果对应到中文专业词汇,Firewall应该被精准翻译成“安全网关”,其中安全可以是一种安全技术,也可以是多种安全技术的集合;网关则指的是能隔离不同安全域,按策略实施不同的访问控制技术。
由此可见,大部分国人对“防火墙”的理解,只是把Firewall在一个特定历史时期的常见形态做了个快照,固化为一个产品品类。而IDC定义的UTM和Gartner定义的NGFW,就不特指某个产品品类了,而是Firewall在不同历史时期应对市场热点的延展性定义,属于Firewall的一个子集。实际上,安全产品发展到现在,已经很难再有固定功能的产品品类出现,在统一的软硬件平台上以模块方式提供安全功能才是产品形态的主流发展方向。
最早定义的UTM在访问控制技术方面没有更新,在安全业务方面要求至少具有IDS或IPS以及网关防病毒的功能;NGFW则在访问控制技术方面做出重大提升,要求必须能以应用为访问控制策略的制订元素,同时至少集成IPS。纵观目前市场上的主流Firewall产品,其实它们几乎都同时符合两种定义,并且在提供安全功能的数量上远远超出两个定义的要求。所以,所谓的UTM与NGFW之争,只是不同厂商和咨询机构出于市场方面的考虑,人为挑起的宣传战罢了。
最后,浑水摸鱼的现象目前在小范围内也是存在的,比如产品明明不能识别应用或不带IPS,却硬包装成NGFW来推广。相信随着市场的进一步成熟,此类产品会逐渐消亡。
安全本位?访问控制本位!其实安全圈做设备的人对Firewall的本质有着非常精辟的概括,那就是“访问控制+特征匹配”。一切Firewall体系内的设备都能以此归类,比如国人印象中的“防火墙”就是基于五元组的访问控制和针对2~4层攻击的特征匹配,UTM的基本要求是基于五元组的访问控制和针对2~4层攻击、病毒代码、漏洞攻击的特征匹配,NGFW的基本要求则是基于五元组+应用协议的访问控制和针对应用协议和恶意代码(涵盖2~4层攻击、病毒、木马、攻击代码等)的特征匹配。至少在APT从根本上改变安全防护体系架构前,Firewall一定是在“访问控制+特征匹配”的技术框架下发展变化。
那么在NGFW的时代,访问控制和以特征匹配为基础的安全功能到底谁更重要?
前段时间,笔者对一些企业/行业用户进行了调研,重点了解他们对NGFW的具体需求。感觉企业用户现在的需求并不是安全,而是基于应用的访问控制,要解决的是非业务应用和带宽占用型应用造成的出口拥塞问题。NGFW更多起到流量控制或上网行为管理的作用,现阶段安全方面反倒体现不出太大价值。
而对于行业用户来说,他们大多拥有分层级的安全体系,安全产品部署上倾向于专品专用,所以不管“防火墙”、UTM还是NGFW,在安全体系内通常只负责访问控制。行业用户非常欢迎应用识别技术的加入,在他们看来,基于应用协议做访问控制可以更精确地限定访问权限,有利于白名单的设定。单凭这一点,NGFW在国内就有了海量市场空间。这原本就是防火墙的主战场,如果不是行业用户在访问控制方面的普世化需求,“防火墙”也不太可能成为市场份额最大的安全产品。
如何选择NGFW?无独有偶,笔者的调研结果很大程度上与Gartner近期报告中提到的结论相吻合,只不过Gartner认为企业用户对安全的需求仍然旺盛。鉴于海外用户在IT意识方面的领先,可以预见NGFW的安全功能也会被越来越多的国内用户所重视。但这并不意味着集成的安全功能越多越好,Gartner在《2013 Gartner Magic Quadrant for Enterprise Network Firewalls》中就特别指出,术语定义上的不同和厂商混乱的营销正导致用户对产品认知发生混淆!
例如,类似WAF、DLP之类的功能,目前只对小众用户存在价值,现阶段并不适宜看做NGFW的必备功能。
对于用户来说,选型时除了以自身需求为导向、避免被某些厂商的过度包装所迷惑外,还要对产品规格有清晰的认识。例如,一些厂商给出的NGFW性能指标依然在传统的“防火墙”形态下测得,这对大部分期待使用应用识别技术的用户就毫无参考价值。所幸,以Palo Alto Networks、华为为代表的一批主推NGFW的厂商已开始公布更详细的产品性能,比如开启应用识别时的吞吐量、开启安全功能时的吞吐量等等,可以让用户在选型时做到心中有数。
除此之外,用户在选择NGFW时,最好能提前进行实地操作(或从一些厂商官方网站登录NGFW演示系统),亲自感受一下产品的易用性。调研中有一些用户提到,用NGFW和用传统“防火墙”的一大不同,那就是“防火墙”做好策略后只要不出问题,基本就不会主动登录到管理界面;NGFW则不然,很多IT乃至CIO都经常性地登录到设备上查看各类统计信息,认为这样有助于发现安全隐患或提升网络效率。既然总要和设备打交道,管理配置界面的易用性就显得非常重要了,一个友好、强大的交互系统能让操作者事半功倍、心情愉快,反之则只能忍受无尽的痛苦了。
