本文摘要:傳統的安全架構,如今在面對數據中心帶來的大規模整合和互聯、雲計算和移動計算更爲分散和全方位的安全需求時,正在經受考驗和CIO的質疑,NGFW的出世是否爲安全“老三樣”注入“興奮劑”。
防火牆產品從上世紀九十年代至今,雖然歷經系統架構和軟件形態的多次革新,但在技術發展和用戶、帶寬不斷增長的今天,卻愈發難以滿足多方面的挑戰。尤其是在當前最熱門的數據中心和雲計算環境下,以太網標準由萬兆開始向40G/100G邁進,我國各類數據中心和機房總量已經達到50餘萬個。業務低延遲、高可靠保證和智能化安全管理,都對網關安全產品的性能和功能提出了新的要求。
今年以來,銳捷網絡、梭子魚、深信服陸續在國內發佈下一代防火牆(Next Generation Firewall,以下簡稱NGFW)產品,加上已經在市場上耕耘的SonicWALL、juniper、Check Point等廠商,這個在2009年Gartner定義的來形容防火牆進化發展的產品似乎迎來了春天。
傳統的安全架構,如今在面對數據中心帶來的大規模整合和互聯、雲計算和移動計算更爲分散和全方位的安全需求時,正在經受考驗和CIO的質疑,NGFW的出世是否爲安全“老三樣”注入“興奮劑”。經過我們走訪和接觸數家安全及NGFW廠商發現,各家對NGFW的定義雖不盡相同,但發展訴求是一致的。在提到NGFW能否替代網絡防火牆、IPS、UTM時,各家也是衆說紛紜,有斬釘截鐵說是的,有認爲應根據網絡環境來區別對待的,有認爲對某產品來說是可以完全替代的,還有提到會對其他網安產品形成衝擊的,相信您在猶豫或面臨抉擇時能找到一份答案。對於用戶而言,要的不僅是高性能、多功能的安全產品,在面對威脅時,一款定位於邊界防禦的安全產品能否表現出穩定和高可靠性至關重要,對此,我們發現各家廠商的回答也是不一,但終究是要經過市場應用考驗。其實,很多CIO也發現在面對網絡架構的演進和更復雜的終端設備和用戶應用,對傳統防禦造成挑戰,然而作爲應運而生的一款全新產品NGFW能否挑起大梁,值得關注和討論。
與傳統的網絡防火牆和UTM產品相比,NGFW的不同之處在哪裏?硬件架構做了哪些改變?NGFW相對傳統獨立的網絡安全架構是否具有穩定和可靠性?企業部署應該做哪些準備,如何選型?近日,ZDNET安全頻道採訪國內外數十家主流安全及NGFW廠商,帶您撥開雲霧。同時,並策劃一期專題“應運而生,看下一代防火牆能否笑傲江湖”,敬請大家關注。
FW力不從心 防火牆在演進
目前不管是網絡廠商、專業防火牆廠商、IPS或應用控制網關等廠商都在圖謀這一領域,在Gartner定義的產品特性基礎上,各家廠商也根據自己的傳統優勢詮釋着自己對NGFW的理解。
企業將面臨來自於Internet的病毒、木馬、DDOS攻擊、網絡釣魚、SQL注入等種類繁多且危害巨大的威脅,H3C網絡安全產品部安全技術總監李彥賓在接受ZDNet採訪時表示,H3C認爲在數據中心和雲計算中下一代防火牆應該具備“虛擬化、高性能、高可靠以及智能化”四個特徵,會向高性能、高可靠,虛擬化和智能化演進。
對於SonicWALL來說,下一代防火牆包括以下元素,第一個是入侵防護服務,另外是網關防病毒服務,還有防火牆的保護。同時包括以下特性,如內容過濾功能、反垃圾郵件功能,以及通過策略來管理應用程序的功能,同樣也包括確保網絡的可視性,並能對網絡中的每一個正在進行的數據流進行全面的檢測,SonicWALL中國區技術經理蔡永生介紹說。
綠盟科技產品市場經理段繼平認爲,NGFW除了對web2.0應用的識別管理能力外,還強調區分於UTM最重要的指標之一的性能。並能夠集成IPS,Gartner認爲NGFW需要集成IPS功能,但不是像UTM那樣做簡單疊加,而是要將IPS無縫的功能融合入NGFW產品中去。以及用戶集成,強調用戶身份與NGFW策略的整合。NGFW的這4點特徵針對UTM存在的短板做了改進,並強調與目前最新的安全趨勢融合。
雖然NGFW沒有統一的標準,經過採訪我們發現,各家廠商對NGFW的發展訴求是一致的,把傳統防火牆將訪問控制對象從網絡層、傳輸層(L3-L4)調整爲應用層(L7)協議,並能夠識別用戶、應用和內容,具備完整的安全防護能力的高性能下一代防火牆。
NGFW能否替代FW、IPS、UTM
衆所周知,傳統防火牆在上個世紀90年代就已經得到了廣泛應用,種類也比較多。而UTM概念是2004年IDC發表的,NGFW的概念是2009年Gartner發表的。新的網絡環境下,出現了哪些新的安全威脅,用戶安全需求又在如何轉變,傳統的安全設備如何變得愈加無力。
對此,梭子魚產品經理潘淵告訴記者,傳統防火牆只能提供一般意義上的數據包轉發和攔截功能,以及一些簡單的包檢測機制。UTM和傳統防火牆相比,確實增加了很多過濾功能,包括應用層的識別和過濾。但是UTM的致命缺陷是由於採用串行掃描方式,處理效率低下。即便是增加了單點解決方案,能提供對email業務、Web應用、遠程接入、即時通訊軟件等病毒防護,但運營成本也會大幅度提高。而NGFW採用了高效的並行處理機制,並集成了網絡安全、內容安全以及基於七層應用管理的網絡接入控制保護能夠抵禦來自應用層的攻擊,有效解決UTM的本質缺陷。
UTM誕生是因爲早期的網絡防火牆在IPS、反病毒、防惡意代碼、反垃圾郵件等功能的缺失,而在其基礎上堆砌了這些功能,邁克菲中國區網關安全產品總監郭偉強調說,UTM產品的本質仍然是基於傳統網絡防火牆架構的過渡性產品,其底層架構與傳統網絡防火牆無異。
“NGFW更注重在Web2.0時代的客戶體驗,比如採用客戶化的GUI,多核CPU併發處理等。隨着企業的發展,需要更主動,更直觀,更定製化,性能更高的安全產品,這是NGFW的特點。對於企業來說,NGFW更貼合現有網絡環境,對企業業務保護更加全面。”天融信方案與推廣副總裁劉輝說。
各大廠商幾乎不約而同的說到,不論是傳統防火牆還是UTM,已無力應對Web2.0交換式多種應用場景下的實時變化的安全威脅。在記者問到NGFW將是網絡防火牆、IPS、UTM的替代品嗎的問題時。瞻博網絡大中國區產品市場經理譚俊直言道,“是的,這是一個基於新一代架構和理念不斷創新和演進的過程。” 深信服市場行銷部技術總監殷浩表示,傳統防火牆、UTM由於低廉的採購成本,在少數簡單網絡環境還是會成爲用戶的一種選擇。但最終面對用戶的應用層安全需求,FW、UTM終將不斷演進到NGFW的產品形態。邁克菲中國區網關安全產品總監郭偉的回答更爲保守,他認爲,對於一些安全要求比較低的網絡環境比如企業的訪客網絡,非核心業務網絡等,傳統網絡防火牆還是有其應用需求的,並且可以和NGFW實現梯次配置,實現差異化分層防護。IPS產品的優勢在於利用簽名技術對網絡流量進行快速、無時延的檢索,要求其有高轉發率特性,擅長檢索已知網絡威脅,防止DDos攻擊等,因而與NGFW相比有各自不同的關注重點。但在談到UTM時,郭偉認爲,凡是UTM能夠部署的地方, NGFW都可以無縫替換,更加之UTM一直存在性能瓶頸,所以UTM產品最終會爲NGFW所取代。啓明星辰邊界安全產品部副經理馬駿則特別強調了NGFW對上網行爲管理市場的衝擊,馬駿認爲,NGFW最終會替代上網行爲管理產品,與FW、UTM和IPS產品會形成新的市場佈局,並形成相對長期競爭態勢,相互功能也會不斷融合,與各種形態的網關產品市場形成比較理性的佈局。
NGFW單次解析架構 滿足網絡高性能
很多用戶對UTM的抱怨是,如果對集成的多種功能同時開啓,性能顯著下降,從而無法兌現其標稱的性能指標。打個比方,UTM產品架構類似於我們經常在城鎮郊區看到的自建房,因爲一開始沒有統籌規劃,在擴建上只能在原來的平房的基礎上加蓋,但你很少見到加蓋的層數超過4層。因爲這樣,地基、承重牆都無法負擔。這就是目前UTM的架構。
“這實際上是由於UTM產品軟硬件架構設計原理瓶頸所致,” 邁克菲中國區網關安全產品總監郭偉說到,NGFW在設計之前就已經考慮到未來安全的需求變化,軟硬件架構採用了分離棧的設計思路,不同的應用防護,不同的功能集成項分別設置分離的TCP/IP棧結構,充分利用了目前硬件的多CPU、多喝的硬件體系,所以在全部功能加載運行後不會像UTM產品那樣,雖然功能比較全,但實際應用場景中性能指標無法滿足,而最終導致很多UTM功能成爲擺設。
深信服市場行銷部技術總監殷浩告訴記者,NGAF採用單次解析架構,結合多核並行處理技術,將所有內容掃描功能混合在一個模塊完成,由於所有數據流只會有一次掃描,性能就得到了大幅提升,相對於多數UTM僅有幾百兆到1G的應用層性能來說,NGAF實現10G應用層吞吐能力更能滿足用戶對高性能場景的需求。梭子魚梭子魚產品經理潘淵表示,“性能差異是UTM設備和NGFW設備最根本的區別,這是由於完全不同的功能實現機制導致的。梭子魚下一代NGFW特有的ACPF防火牆引擎技術,通過一次性的解包,並行處理所有識別、掃描、過濾與控制,大大提升數據處理效率。”
NGFW的重要特點就是開啓多重安全功能後性能不會出現明顯下降,綠盟科技產品市場經理段繼平解釋到,NGFW相對於原有的UTM產品最大的創新在於軟件方面,比如軟件架構採用統一引擎架構,將原有的安全功能的堆疊變爲安全功能的融合,基於Web 2.0 的可視化等。
傳統UTM設備僅僅將FW、IPS、AV進行簡單的整合,開啓多個模塊時是串行處理機制,一個數據包先過一個模塊處理一遍,再重新過另一個模塊處理,一個數據要經過多次拆包,多次分析,導致降低了包的處理傳輸效率。這是我們採訪時聽到的最多的答案。NGFW由於實現在一次拆包中的並行處理,山石網科技術市場經理任磊強調到,“在設備本身硬件架構方面勢必要採用具備並行處理能力的多核處理芯片,而在當前衆多安全廠商的多核產品中以採用多核網絡專用架構的解決方案更適用於當前複雜應用控制、安全防護的網絡。”
面對穩定和可靠性 NGFW能否經得起考驗
通過我們逐步深入的瞭解,顯然,NGFW具備高度融合的特性。所以,NGFW自身必須具備高度的穩定性、可靠性和性能可擴展性,這是一個前提條件,否則自身會成爲安全防禦和網絡性能的一個薄弱點。面對重大的網絡入侵,如何依然保證其高度穩定和可靠性,就要求實現的產品具備高度成熟的模塊化操作系統,高可靠的電信級冗餘設計,可擴展性和高性能。NGFW能否擔此重任,或者相比傳統獨立安全設備是否具有優勢,看記者深入採訪,且聽百家爭鳴。
北美和歐洲的政府機構,包括對網絡安全管控要求較高的機構和阻止,例如:國家基礎設施,電力、能源、水利等領域在最近幾年已經幾乎摒棄了傳統網絡防火牆和UTM設備的採購而轉向NGFW。再看看全球500強的大型跨國公司目前對網絡安全的設備需求也都紛紛轉向到更加專注於應用安全管控NGFW爲主體,包括銀行、保險等機構,例如對知識產權關注度較高的Hi-Tech公司。新加坡也從2009年規定,今後有關政府、公共安全部門的防火牆採購需求將以NGFW爲主體,不再考慮對傳統網絡防火牆和UTM的採購。邁克菲中國區網關安全產品總監郭偉強調,“這些都在商務和客戶層面證實了NGFW能夠滿足企業對網絡安全產品的穩定性和可靠性的要求。”
天融信方案與推廣副總裁劉輝表示,“NGFW產品一般都集成了多種安全引擎,使其具備了防火牆、IPSEC VPN、SSL VPN、防病毒、IPS、虛擬防火牆等安全功能。這些功能將通過一個引擎進行檢測,通過統一的界面控制,無論遇到那種威脅,智能管理系統都會執行相應的策略,用最有效的功能組合來阻擋入侵。相對於單獨的安全產品堆砌來說,NGFW各項功能間的配合更緊密。比如入侵防禦模塊發現的威脅可以自動加載到防火牆規則內,在網絡層就能提前被阻斷,防火牆和入侵防禦已經不僅僅是互動關係,而是一個整體。”
“對於常見的網絡層入侵,NGFW所具備的更高每秒新建會話能力在相同軟件算法的情況下可以提供更強壯的抗攻擊能力;對於應用層攻擊,NGFW真正集成IPS後在一次拆包就可以實現對入侵行爲的識別、動作和記錄,這種無縫對接保證了對網絡入侵行爲出現時的時效性、準確性和高處理性能。”山石網科技術市場經理任磊顯然對於NGFW的防禦能力深信不疑。
而H3C網絡安全產品部安全技術總監李彥賓的回答則大相徑庭,他對NGFW的表現顯然不那麼樂觀,“面對重大的網絡入侵,NGFW融合的設備相對IPS(入侵防禦系統)獨立安全設備在穩定性和可靠性方面還有一定的差距。比如IPS透明部署在網絡中,在遇到極端情況下,有二層回退、PFC掉電保護等多種可靠性設計,保證業務的暢通。而NGFW作爲網關部署在網絡中,一旦出現問題,會造成網絡的中斷。”
國標中對入侵的定義是指“任何危害或可能危害資源完整性、保密性、可用性的行爲”,網絡入侵往往包含了多種攻擊手段,從攻擊過程來看,是一個動態的、長期的、變化的過程,涉及人員、網絡、設備、操作系統、應用系統多個方面。啓明星辰邊界安全產品部副經理馬駿表示,從縱深防禦體系來看,NGFW是定位在邊界防禦,考量NGFW的重要指標在於其安全防禦能力以及事件庫的更新速度,這方面取決於廠商在漏洞研究、漏洞驗證、入侵檢測、快速響應、硬件整合等多方面的能力,是廠商綜合能力的體現。專業設備在這方面目前做得很成熟,並已經獲得市場和用戶的認可。在NGFW上還需要時間和市場應用的檢驗。
應運而生 NGFW是否存在獨立市場
NGFW產品是最終網絡安全需求的深入和目前時刻面臨的多變的基於應用和內容網絡安全威脅而誕生的,根據Gartner的預測,到2014年底,35%的企業會在採購安全設備的時候轉向下一代防火牆,60%新購買的防火牆將是NGFW。在這種趨勢下,傳統安全設備廠商不可能熟視無睹,他們的產品都會向高性能的應用識別和應用防護的方向轉變,最終實現普遍的應用層安全。
在談到NGFW在國內的市場應用前景時,山石網科技術市場經理任磊告訴記者,下一代防火牆代表着防火牆產品發展的一種趨勢,在數據處理模式和效率方面有質的提升,這種提升是爲了滿足網絡發展的需求,這樣的話也就理應成爲未來用戶解決網絡安全問題的主流選擇,而隨着雲計算環境下安全的需求和虛擬化技術的不斷普及,在安全方面針對應用的高性能深層防護將出現井噴性需求,市場潛力是巨大的。
“下一代防火牆將開闢一個全新的,獨立的網絡安全硬件市場,國內的下一代防火牆市場處於起步階段,卻發展迅速,而主流的安全硬件廠商都已推出了基於下一代防火牆概念的產品也恰恰驗證了這一市場的廣闊前景;國內用戶在選擇安全產品時,肯定會發現下一代防火牆產品正是能解決日益增多的企業網絡安全問題,日益下降的網絡性能問題,困擾網管們的網絡管理問題的最佳產品。” 梭子魚產品經理潘淵表示。
綠盟科技產品市場經理段繼平認爲,短期內NGFW在國內不會形成獨立的市場,將依然會與傳統的防火牆,UTM,甚至IPS,上網行爲等網關類產品形成直接競爭。中期內,由於國內各類用戶對新產品的認可度不同,NGFW產品將首先會在大型企業,金融,電信等中高端領域逐漸被用戶接受。長期內,由於NGFW代表了未來綜合安全網關的發展方向,國內其他FW,UTM等類廠商會逐漸改進現有產品線以符合NGFW方向。最終NGFW會成爲綜合網關市場最核心的產品形態。
“根據企業需求部署網絡安全網關產品是比較具有性價比的模式。對於中大型企業來說,NGFW的功能、性能、管理等方面都更勝一籌,所以是一種更好的選擇。對於一些小企業來說,網絡結構簡單,安全問題不突出,則可以選擇單一的安全產品或者是UTM。目前的NGFW還是以行業用戶應用爲主。” 天融信方案與推廣副總裁劉輝認爲。
NGFW作爲Internet安全網關,在部署以及維護管理上有很好的優勢,可以滿足中小企業的需求,在雲計算和數據中心環境下各個廠商也提出推出了適應這種環境要求的安全網關。H3C網絡安全產品部安全技術總監李彥賓認爲,但由於沒有統一標準,在技術上還需要進一步提高發展和規範,整個市場還需要培育。
網絡改造 如何選型NGFW
企業選擇下一代防火牆應該從自身需求角度出發,在提供應用識別、訪問控制、入侵防禦等基本功能的基礎上,綜合處理性能、每秒新建、最大併發連接數和接口數量都是衡量一款設備是否滿足要求的重要指標。山石網科技術市場經理任磊同時強調,升級的及時性、管理界面的友好度、技術支持能力都是考慮的因素,而在一臺設備承載網絡中越來越多職能的今天,良好的軟硬件擴展性、設備的高可靠能力也開始被大多數用戶所關注。
SonicWALL中國區技術經理蔡永生給出了企業選型NGFW更爲細緻的要素。
·性能。IPS與其他功能的緊密集成是實現NGFW極低網絡延遲的關鍵。
·強大的掃描功能。許多NGFW提供商都在大肆宣傳DPI功能,但對這些產品的測試發現,DPI功能會大幅降低網絡的安全防禦能力。評估時,應選擇具備以下功能的NGFW:可掃描各種大小的文件;可解密、掃描和重新加密SSL數據包;可掃描穿越所有端口的原始TCP流量以及大量協議。
·易管理性。
·應用智能、控制和可視化。
·經帶擴展的NetFlow和IPFix報告的能力。NetFlow和IPFix是向外部收集程序報告網絡流量的兩大行業標準。NetFlow部署於交換機和路由器,可導出各種數據,如IP地址源和目的地、源端口和目標端口、3層協議類型和服務等級。
深信服市場行銷部技術總監殷浩強調了NGFW應具備完整的應用內容防護功能,避免安全防護的短板。能夠提供完整的漏洞防護能力,不但可以針對服務器OS、應用系統的漏洞提供防護,還可以針對終端瀏覽器、惡意代碼、Office軟件的漏洞提供防護能力。具備Web服務器強化防護,支持防應用掃描、防SQL注入、OS注入、XSS攻擊、URL權限控制、數據保護等功能,以避免來自內容級別的入侵竊取服務器關鍵數據。
瞻博網絡大中國區產品市場經理譚俊特別指出,下一代防火牆與整體安全架構的協同防護能力。NGFW需要和其他企業安全基礎設施整合,具備感知全方位安全、應用和身份信息的能力,才能充分發揮其效能。
企業部署NGFW,將有效地簡化傳統安全架構並提升其感知應用和用戶的能力。但NGFW並不是一個孤立的元素,更需要整合到整體的安全體系中才能充分發揮其效果,實現有效地全面安全防護。譚俊同時強調,作爲企業而言,在遷移中需要基於當前需求,以及下一步虛擬化,雲計算的應用趨勢來考慮整合安全架構的設計。首先要選擇滿足相應容量,性能和可靠性要求的平臺,其次要在該平臺上部署高度集成的NGFW安全服務,最後還要注意該方案能夠具備方便的,不影響業務的添加新的安全服務和擴充新的容量的能力。
NGFW從功能上滿足了用戶多個層次的安全需求(如FW、IPS及應用訪問控制),可以簡化企業邊界安全部署。從架構上來說,NGFW仍屬於邊界安全產品,對於傳統安全架構影響不大。對於新建網絡來說,部署NGFW比較簡單;但是在網絡改造過程中的替代部署,則需要企業與廠商仔細評估NGFW對原設備功能的替代度。正如啓明星辰邊界安全產品部副經理馬駿舉的一個例子,原有FW系統支持VPN,這就需要評價NGFW的VPN協議的支持、隧道數的支持、用戶數的支持、算法的支持、認證模式等多項指標。企業在向NGFW遷移時,首先要考慮自身的邊界安全需求,包括性能及功能兩個方面,現有的NGFW是否能夠替代原有多個安全設備,能否滿足新的安全需求?如果不能完全替換,則需考慮跟NGFW如何配合使用,以及在配合使用下的綜合運營成本,不能簡單考慮只是設備的替換。