什么是真正的下一代防火墻？

2013-10-16 10:48:37 EP電力信息化網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

隨著BYOD、云計(jì)算和社交網(wǎng)絡(luò)的流行，網(wǎng)絡(luò)已經(jīng)迎來了大帶寬時(shí)代。移動(dòng)辦公消除了網(wǎng)絡(luò)邊界，數(shù)據(jù)中心的云化、面向云和面向虛擬機(jī)的安全帶來了新的挑戰(zhàn)。應(yīng)用和社交網(wǎng)絡(luò)給安全管控也帶來了新的威脅。被動(dòng)防御為主的

2009年Gartner發(fā)布了一篇白皮書，增加了一名新成員——下一代防火墻（NGFW），它基于用戶、應(yīng)用和內(nèi)容作為管控基礎(chǔ)?，F(xiàn)在已經(jīng)距離當(dāng)時(shí)過了四年，在這四年期間，下一代防火墻作為業(yè)界的新詞越來越火，國內(nèi)外眾多廠商紛紛推出了自己的下一代防火墻產(chǎn)品，但它們真的是下一代防火墻嗎？還是披著“下一代防火墻”外衣的UTM或者上網(wǎng)行為管理產(chǎn)品？

什么是真正的下一代防火墻？

首先它應(yīng)該具備基本防火墻的功能，如NAT、VPN等；第二，也是最核心的本質(zhì)特性：應(yīng)用識(shí)別能力,且應(yīng)用識(shí)別應(yīng)該是下一代防火墻所有安全管控的基礎(chǔ)，而非簡單的為了實(shí)現(xiàn)應(yīng)用控制；第三是要跟IPS深度的集成，而不是簡單的功能疊加；最后，Gartner還要求NGFW提供諸如智能聯(lián)動(dòng)和智能分析等一些輔助功能。

下一代防火墻功能眾多，它將取代UTM、WAF或者上網(wǎng)行為管理嗎？

Gartner在企業(yè)防火墻魔力象限報(bào)告中指出，出現(xiàn)這種疑問的原因主要有兩個(gè)：一個(gè)是在技術(shù)術(shù)語，不同產(chǎn)品之間確實(shí)有重合之處；另一個(gè)方面則是由于廠商混淆視聽的營銷宣傳所致。Gartner強(qiáng)調(diào)，下一代防火墻有其獨(dú)特的產(chǎn)品價(jià)值，與上述產(chǎn)品有明顯的區(qū)別。

下一代防火墻vs高級(jí)防火墻

下一代防火墻的性能和功能無疑更強(qiáng)大了，但僅僅如此與高級(jí)防火墻有何區(qū)別？有些廠商在防火墻上加了一些簡單的應(yīng)用識(shí)別；有些廠商在流量管控的基礎(chǔ)上，加上一些威脅防控；還有一些DLP廠商轉(zhuǎn)身來做下一代防火墻。

其實(shí)下一代防火墻代表的是完全不同的安全理念，在部署、使用、管理乃至整個(gè)安全模式上都與傳統(tǒng)防火墻截然不同，NGFW能夠把整個(gè)策略實(shí)現(xiàn)原理和對(duì)網(wǎng)絡(luò)資源調(diào)度提升到新的應(yīng)用管理水平，它還顛覆整個(gè)防火墻訪問控制管理的基礎(chǔ)，帶來了新的管理視角，因此實(shí)際上能夠簡化管理。

在眾多廠商發(fā)布了NGFW后，華為作為后起之秀，今年下半年也將推出NGFW。華為安全產(chǎn)品營銷經(jīng)理朱峰指出NGFW面臨四大挑戰(zhàn)。

1.管控是否精細(xì)。隨著IT潮流的巨變，NGFW如何識(shí)別更新的應(yīng)用，如何在應(yīng)用過程中識(shí)別風(fēng)險(xiǎn)，解決新IT環(huán)境下邊界失效的問題，重新建立起網(wǎng)絡(luò)邊界的有效管控，成為首要挑戰(zhàn)。

2.管理是否簡單。NGFW在強(qiáng)化了管控手段以后，管理配置的復(fù)雜度明顯提升，面對(duì)著數(shù)以千計(jì)的應(yīng)用選擇，那些隱藏風(fēng)險(xiǎn)？哪些對(duì)工作有用應(yīng)該打開甚至保障帶寬應(yīng)用？哪些對(duì)工作無用需要進(jìn)一步的控制甚至阻斷？這對(duì)管理員提出了更高的管理挑戰(zhàn)。

3.可辨未知威脅。近幾年新威脅和新挑戰(zhàn)持續(xù)增加，特別是未知的攻擊越來越多，很多的攻擊行為非常隱蔽的，需要延時(shí)去檢測(cè)，黑客行為已經(jīng)是組織化，甚至國家化。防火墻的作用類似網(wǎng)絡(luò)出口的看守，要能夠?qū)π碌耐{做防護(hù)。

4.性能是否足夠。有些產(chǎn)品一旦開啟強(qiáng)制性防護(hù)，性能急劇下降，基本不可用，NGFW如果不想重蹈覆轍，在性能方面一定要有自己的定義，是要有專門的測(cè)試辦法和門檻要求的，不是說有了某些特性就可以。而且這些特性一定要在真實(shí)的網(wǎng)絡(luò)環(huán)境下可用，不是擺設(shè)。

華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線的安全產(chǎn)品總經(jīng)理左文樹表示：“針對(duì)以上挑戰(zhàn)，華為的NGFW能夠做到四點(diǎn)：一、細(xì)粒度管控。為了應(yīng)對(duì)移動(dòng)化、虛擬化、社交化，除了價(jià)值應(yīng)用、用戶和內(nèi)容外，還應(yīng)該感知位置、風(fēng)險(xiǎn)和設(shè)備等。二、智能管理，隨著配置維度的復(fù)雜化，管理會(huì)變?yōu)橐粋€(gè)瓶頸，華為的NGFW提供了一種全新的管控視角，通過流量分析，自動(dòng)識(shí)別網(wǎng)絡(luò)中的應(yīng)用，風(fēng)險(xiǎn)和問題，給出合理的意見和建議，方便使用者和管理者。三、全面防護(hù)。不僅識(shí)別應(yīng)用，還要識(shí)別應(yīng)用威脅、風(fēng)險(xiǎn)和未知威脅，可有效防御APT攻擊。四、高性能體驗(yàn)。NGFW的基礎(chǔ)性能是在同時(shí)開啟防火墻和應(yīng)用識(shí)別時(shí)的產(chǎn)品性能，因?yàn)閼?yīng)用識(shí)別是NGFW的基礎(chǔ)，所以開啟應(yīng)用識(shí)別后的性能，才能代表NGFW的基本性能。NGFW的高性能就在于開啟了所有威脅防護(hù)后，其性能相對(duì)基礎(chǔ)性能的下降幅度不能超過50%。”

華為的NGFW提供獨(dú)特的ACTUAL管控機(jī)制。通過六個(gè)維度進(jìn)行管控：A是App，C是Cantent，T是Time，U是User，A是Attack，L是Location，不僅可識(shí)別6000多種應(yīng)用，還可以識(shí)別應(yīng)用中的威脅和攻擊位置，提供最細(xì)粒度的管控。此次華為發(fā)布的全系列NGFW，面向企業(yè)和運(yùn)營商，一共有十余款設(shè)備，覆蓋到1G-40G應(yīng)用層性能，提供20G全威脅防護(hù)性能。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊