當前,業界對於防火牆的安全防禦能力似乎總是存在些許偏見。諸多媒體或廠商在向用戶推薦安全產品時,紛紛指出傳統的防火牆無法滿足用戶的安全需求,更有甚者提出“防火牆已死”的論調。作爲網絡安全的“元老”級設備,防火牆的未來將何去何從?
衆所周知,防火牆憑藉其成熟的訪問控制技術,已佔據了IT硬件安全市場的半壁江山,凡是需要策略控制、訪問控制的網絡就必然有防火牆的身影。然而隨着用戶業務形態的轉變,各種Web應用迅速普及,傳統的安全邊界正變得越來越模糊,用戶對於安全的需求發生了改變。安全威脅正逐漸由網絡邊緣轉移到用戶存儲的關鍵信息與應用,甚至是基於網絡的核心業務系統。
只有用戶不斷地提出需求,信息安全產業才能實現快速發展,作爲存在已久的防火牆產品更是要因需而變。業界對於防火牆的抨擊和質疑,多是因爲傳統防火牆2~4層工作原理的侷限。如今,防火牆這一“先天劣勢”在新一代防火牆設計和生產中已經發生了本質的改變。作爲國內信息安全產業的領導者,天融信的X3戰略之X-Firewall系列就在此方面率先做出改變,不僅實現了模塊化的安全功能,統一的安全策略管理,還打破了傳統防火牆部署方式的侷限,可靈活部署於網絡中的各個節點。X-Firewall已經爲我們預言了新一代防火牆的發展趨勢。
今天的防火牆正在因需而變
縱觀信息安全產業發展歷程,我們發現十幾年中防火牆技術經歷了多次重大的變革。與路由器同時出現的第一代防火牆技術,採用了包過濾技術,實現了簡單的ACL功能;進入90年代,第二、三代防火牆面世,在用戶需求的基礎上防火牆發生了改變,應用層防火牆(代理防火牆)的雛形建立;隨後第四代防火牆基於動態包過濾(Dynamic packet filter)技術,爲狀態監控技術奠定了基礎;到1998年第五代防火牆更新了安全代理(Proxy)技術,給防火牆賦予了全新意義;如今隨着安全網關性能瓶頸的打破,UTM(統一威脅管理)等新一代防火牆產品迅速推出市場,拉開了安全網關激烈競爭的序幕。防火牆這一系列的變革都與用戶更高的要求有着不可分割的關係。
或許是由於思科停產了PIX防火牆帶來的影響,或許是因爲安全需求的改變,當前諸多廠商對於炒作UTM的神奇功效樂此不疲,但各家似乎都在刻意迴避UTM源自防火牆的現實,在突出UTM產品功能特色的同時,卻忽略了其與防火牆檢測標準的如出一轍。理性的講,在多核技術、模塊化設計日臻完善的今天,UTM是防火牆發展的必然經過,稱其將完全取代防火牆最終獨佔鰲頭卻有失偏頗。用戶必須意識到,幾乎所有標榜萬兆多核的高性能UTM,其設計模型都在借鑑防火牆多年積累的成功經驗。
2009年3月IDC報告顯示,防火牆市場佔有率依然高達43.4%,其安全網關的核心地位不可動搖。作爲國內最大的信息安全產品與服務提供商,天融信公司連續八年佔據國內防火牆市場和安全總體市場份額排名雙第一,其成功的祕訣正是一切從需求出發,爲用戶構建可信安全防禦體系,而不僅侷限於一款產品。
天融信公司市場總監張龍勇表示,“隨着多核技術、加速芯片技術以及產品設計上的日臻完善,安全網關具備多種安全防護功能已是必然趨勢。如今,用戶需要的並不是簡單的幾合一的安全網關,特別是行業用戶需要的是可以保證其業務穩定運行的高質量安全防禦體系,這就需要提升用戶的綜合安全能力建設,即防護能力、監控能力和運維能力的建設。爲此天融信對安全網關提出了更高的要求,力求使用戶的安全防禦實現按需定製,在安全設備間形成聯動的防禦體系。”
新目標:安全按需定製
正如天融信公司董事長兼總裁賀衛東所言,“中國的信息安全,只能靠中國人自己解決。”當越來越多的外來安全產品、技術和理念進入中國市場,理性的思考我國用戶安全需求顯得尤爲重要。伴隨我國信息化建設的快速發展,各種新業務與應用快速出現於用戶網絡,用戶需求的改變是對我國信息安全廠商提出的更加嚴格要求。
如何滿足用戶安全建設擴容,如何保障業務可持續健康發展,如何構建可信安全防禦體系?新一代防火牆必須實現“安全按需定製”。
與過往不同,以X-Firewall爲代表的新一代防火牆打破了固有的安全防護形態,強調設計一體化、功能模塊化,以及安全策略的統一調度與管理。爲實現“安全按需定製”的目標,安全網關的技術變革需要貫穿產品的軟硬件選型與設計。其中開發專用的安全操作系統已被業界認可。
全球知名市場調研公司Forrester於2009年2月發佈的報告就指出,單一網絡操作系統是確保網絡操作效率與靈活性的最佳方式之一。安全同樣如此,開發專用安全操作系統,滿足安全設備間的統一策略管理,實現安全功能的模塊化設計顯得尤爲重要。
作爲國內第一家推出專用安全操作系統的天融信公司,在產品開發初期便着重思考了國內用戶安全需求的變化。借鑑思科與Juniper等公司的成功經驗,TOS安全操作系統不但實現了多安全功能的融合,也實現了困擾業界已久的統一策略管理問題,爲企業安全防禦體系的建立提供了有力支撐。
新挑戰,大作爲
據中國互聯網絡信息中心的報告顯示,今年上半年有1.95億網民上網時遇到過病毒和***的***,1.1億網民遇到過賬號或密碼被盜的問題。如今業務和互聯網的結合,對於用戶的安全防禦體系建設的要求更加嚴格。不論是單純的從網關進行攔截,或者由終端進行強化,安全威脅都隨時有可能出現。用戶對於安全的需求已不再侷限於產品,安全體系建設需求,滿足等級保護要求,都將爲新一代防火牆提供廣闊的市場。
市場需求越大,挑戰難度越大。美國超級計算機中心的安全專家近日指出,新一代防火牆必須克服先天的缺陷,首先是解決單點故障問題,其次要實現統一的策略管理,最後對於來自企業內部人員的安全威脅也必須形成有效的管控。
越來越多的證據顯示,安全體系的建設絕不僅依賴於一款產品,整合安全已是大勢所趨。只有讓用戶的安全策略形成有效的統一和流程化管理,實現網絡各節點的安全聯動,才能讓用戶的信息安全得到最大限度的保障。新一代防火牆擁有“按需定製”的特性,正好滿足了用戶新形勢下的安全需求,爲實現網絡的統一安全管理調度提供了保證。