防火墻產(chǎn)品從上世紀九十年代至今，雖然歷經(jīng)系統(tǒng)架構(gòu)和軟件形態(tài)的多次革新，但在技術(shù)發(fā)展和用戶、帶寬不斷增長的今天，卻愈發(fā)難以滿足多方面的挑戰(zhàn)。尤其是在當(dāng)前最熱門的數(shù)據(jù)中心和云計算環(huán)境下，以太網(wǎng)標準由萬兆開始向40G/100G邁進，我國各類數(shù)據(jù)中心和機房總量已經(jīng)達到50余萬個。業(yè)務(wù)低延遲、高可靠保證和智能化安全管理，都對網(wǎng)關(guān)安全產(chǎn)品的性能和功能提出了新的要求。

今年以來，銳捷網(wǎng)絡(luò)、梭子魚、深信服陸續(xù)在國內(nèi)發(fā)布下一代防火墻(Next Generation Firewall,以下簡稱NGFW)產(chǎn)品，加上已經(jīng)在市場上耕耘的SonicWALL、juniper、Check Point等廠商，這個在2009年Gartner定義的來形容防火墻進化發(fā)展的產(chǎn)品似乎迎來了春天。

傳統(tǒng)的安全架構(gòu)，如今在面對數(shù)據(jù)中心帶來的大規(guī)模整合和互聯(lián)、云計算和移動計算更為分散和全方位的安全需求時，正在經(jīng)受考驗和CIO的質(zhì)疑，NGFW的出世是否為安全"老三樣"注入"興奮劑".經(jīng)過我們走訪和接觸數(shù)家安全及NGFW廠商發(fā)現(xiàn)，各家對NGFW的定義雖不盡相同，但發(fā)展訴求是一致的。在提到NGFW能否替代網(wǎng)絡(luò)防火墻、IPS、UTM時，各家也是眾說紛紜，有斬釘截鐵說是的，有認為應(yīng)根據(jù)網(wǎng)絡(luò)環(huán)境來區(qū)別對待的，有認為對某產(chǎn)品來說是可以完全替代的，還有提到會對其他網(wǎng)安產(chǎn)品形成沖擊的，相信您在猶豫或面臨抉擇時能找到一份答案。對于用戶而言，要的不僅是高性能、多功能的安全產(chǎn)品，在面對威脅時，一款定位于邊界防御的安全產(chǎn)品能否表現(xiàn)出穩(wěn)定和高可靠性至關(guān)重要，對此，我們發(fā)現(xiàn)各家廠商的回答也是不一，但終究是要經(jīng)過市場應(yīng)用考驗。其實，很多CIO也發(fā)現(xiàn)在面對網(wǎng)絡(luò)架構(gòu)的演進和更復(fù)雜的終端設(shè)備和用戶應(yīng)用，對傳統(tǒng)防御造成挑戰(zhàn)，然而作為應(yīng)運而生的一款全新產(chǎn)品NGFW能否挑起大梁，值得關(guān)注和討論。

與傳統(tǒng)的網(wǎng)絡(luò)防火墻和UTM產(chǎn)品相比，NGFW的不同之處在哪里?硬件架構(gòu)做了哪些改變?NGFW相對傳統(tǒng)獨立的網(wǎng)絡(luò)安全架構(gòu)是否具有穩(wěn)定和可靠性?企業(yè)部署應(yīng)該做哪些準備，如何選型?近日，ZDNET安全頻道采訪國內(nèi)外數(shù)十家主流安全及NGFW廠商，帶您撥開云霧。同時，并策劃一期專題"應(yīng)運而生，看下一代防火墻能否笑傲江湖",敬請大家關(guān)注。

FW力不從心 防火墻在演進

目前不管是網(wǎng)絡(luò)廠商、專業(yè)防火墻廠商、IPS或應(yīng)用控制網(wǎng)關(guān)等廠商都在圖謀這一領(lǐng)域，在Gartner定義的產(chǎn)品特性基礎(chǔ)上，各家廠商也根據(jù)自己的傳統(tǒng)優(yōu)勢詮釋著自己對NGFW的理解。

企業(yè)將面臨來自于Internet的病毒、木馬、DDOS攻擊、網(wǎng)絡(luò)釣魚、SQL注入等種類繁多且危害巨大的威脅，H3C網(wǎng)絡(luò)安全產(chǎn)品部安全技術(shù)總監(jiān)李彥賓在接受ZDNet采訪時表示，H3C認為在數(shù)據(jù)中心和云計算中下一代防火墻應(yīng)該具備"虛擬化、高性能、高可靠以及智能化"四個特征，會向高性能、高可靠，虛擬化和智能化演進。

對于SonicWALL來說，下一代防火墻包括以下元素，第一個是入侵防護服務(wù)，另外是網(wǎng)關(guān)防病毒服務(wù)，還有防火墻的保護。同時包括以下特性，如內(nèi)容過濾功能、反垃圾郵件功能，以及通過策略來管理應(yīng)用程序的功能，同樣也包括確保網(wǎng)絡(luò)的可視性，并能對網(wǎng)絡(luò)中的每一個正在進行的數(shù)據(jù)流進行全面的檢測，SonicWALL中國區(qū)技術(shù)經(jīng)理蔡永生介紹說。

綠盟科技產(chǎn)品市場經(jīng)理段繼平認為，NGFW除了對web2.0應(yīng)用的識別管理能力外，還強調(diào)區(qū)分于UTM最重要的指標之一的性能。并能夠集成IPS,Gartner認為NGFW需要集成IPS功能，但不是像UTM那樣做簡單疊加，而是要將IPS無縫的功能融合入NGFW產(chǎn)品中去。以及用戶集成，強調(diào)用戶身份與NGFW策略的整合。NGFW的這4點特征針對UTM存在的短板做了改進，并強調(diào)與目前最新的安全趨勢融合。

雖然NGFW沒有統(tǒng)一的標準，經(jīng)過采訪我們發(fā)現(xiàn)，各家廠商對NGFW的發(fā)展訴求是一致的，把傳統(tǒng)防火墻將訪問控制對象從網(wǎng)絡(luò)層、傳輸層(L3-L4)調(diào)整為應(yīng)用層(L7)協(xié)議，并能夠識別用戶、應(yīng)用和內(nèi)容，具備完整的安全防護能力的高性能下一代防火墻。

#p#

NGFW能否替代FW、IPS、UTM

眾所周知，傳統(tǒng)防火墻在上個世紀90年代就已經(jīng)得到了廣泛應(yīng)用，種類也比較多。而UTM概念是2004年IDC發(fā)表的，NGFW的概念是2009年Gartner發(fā)表的。新的網(wǎng)絡(luò)環(huán)境下，出現(xiàn)了哪些新的安全威脅，用戶安全需求又在如何轉(zhuǎn)變，傳統(tǒng)的安全設(shè)備如何變得愈加無力。

對此，梭子魚產(chǎn)品經(jīng)理潘淵告訴記者，傳統(tǒng)防火墻只能提供一般意義上的數(shù)據(jù)包轉(zhuǎn)發(fā)和攔截功能，以及一些簡單的包檢測機制。UTM和傳統(tǒng)防火墻相比，確實增加了很多過濾功能，包括應(yīng)用層的識別和過濾。但是UTM的致命缺陷是由于采用串行掃描方式，處理效率低下。即便是增加了單點解決方案，能提供對email業(yè)務(wù)、Web應(yīng)用、遠程接入、即時通訊軟件等病毒防護，但運營成本也會大幅度提高。而NGFW采用了高效的并行處理機制，并集成了網(wǎng)絡(luò)安全、內(nèi)容安全以及基于七層應(yīng)用管理的網(wǎng)絡(luò)接入控制保護能夠抵御來自應(yīng)用層的攻擊，有效解決UTM的本質(zhì)缺陷。

UTM誕生是因為早期的網(wǎng)絡(luò)防火墻在IPS、反病毒、防惡意代碼、反垃圾郵件等功能的缺失，而在其基礎(chǔ)上堆砌了這些功能，邁克菲中國區(qū)網(wǎng)關(guān)安全產(chǎn)品總監(jiān)郭偉強調(diào)說，UTM產(chǎn)品的本質(zhì)仍然是基于傳統(tǒng)網(wǎng)絡(luò)防火墻架構(gòu)的過渡性產(chǎn)品，其底層架構(gòu)與傳統(tǒng)網(wǎng)絡(luò)防火墻無異。

"NGFW更注重在Web2.0時代的客戶體驗，比如采用客戶化的GUI,多核CPU并發(fā)處理等。隨著企業(yè)的發(fā)展，需要更主動，更直觀，更定制化，性能更高的安全產(chǎn)品，這是NGFW的特點。對于企業(yè)來說，NGFW更貼合現(xiàn)有網(wǎng)絡(luò)環(huán)境，對企業(yè)業(yè)務(wù)保護更加全面。"天融信方案與推廣副總裁劉輝說。

各大廠商幾乎不約而同的說到，不論是傳統(tǒng)防火墻還是UTM,已無力應(yīng)對Web2.0交換式多種應(yīng)用場景下的實時變化的安全威脅。在記者問到NGFW將是網(wǎng)絡(luò)防火墻、IPS、UTM的替代品嗎的問題時。瞻博網(wǎng)絡(luò)大中國區(qū)產(chǎn)品市場經(jīng)理譚俊直言道，"是的，這是一個基于新一代架構(gòu)和理念不斷創(chuàng)新和演進的過程。" 深信服市場行銷部技術(shù)總監(jiān)殷浩表示，傳統(tǒng)防火墻、UTM由于低廉的采購成本，在少數(shù)簡單網(wǎng)絡(luò)環(huán)境還是會成為用戶的一種選擇。但最終面對用戶的應(yīng)用層安全需求，F(xiàn)W、UTM終將不斷演進到NGFW的產(chǎn)品形態(tài)。邁克菲中國區(qū)網(wǎng)關(guān)安全產(chǎn)品總監(jiān)郭偉的回答更為保守，他認為，對于一些安全要求比較低的網(wǎng)絡(luò)環(huán)境比如企業(yè)的訪客網(wǎng)絡(luò)，非核心業(yè)務(wù)網(wǎng)絡(luò)等，傳統(tǒng)網(wǎng)絡(luò)防火墻還是有其應(yīng)用需求的，并且可以和NGFW實現(xiàn)梯次配置，實現(xiàn)差異化分層防護。IPS產(chǎn)品的優(yōu)勢在于利用簽名技術(shù)對網(wǎng)絡(luò)流量進行快速、無時延的檢索，要求其有高轉(zhuǎn)發(fā)率特性，擅長檢索已知網(wǎng)絡(luò)威脅，防止DDos攻擊等，因而與NGFW相比有各自不同的關(guān)注重點。但在談到UTM時，郭偉認為，凡是UTM能夠部署的地方， NGFW都可以無縫替換，更加之UTM一直存在性能瓶頸，所以UTM產(chǎn)品最終會為NGFW所取代。啟明星辰邊界安全產(chǎn)品部副經(jīng)理馬駿則特別強調(diào)了NGFW對上網(wǎng)行為管理市場的沖擊，馬駿認為，NGFW最終會替代上網(wǎng)行為管理產(chǎn)品，與FW、UTM和IPS產(chǎn)品會形成新的市場布局，并形成相對長期競爭態(tài)勢，相互功能也會不斷融合，與各種形態(tài)的網(wǎng)關(guān)產(chǎn)品市場形成比較理性的布局。

#p#

NGFW單次解析架構(gòu) 滿足網(wǎng)絡(luò)高性能

很多用戶對UTM的抱怨是，如果對集成的多種功能同時開啟，性能顯著下降，從而無法兌現(xiàn)其標稱的性能指標。打個比方，UTM產(chǎn)品架構(gòu)類似于我們經(jīng)常在城鎮(zhèn)郊區(qū)看到的自建房，因為一開始沒有統(tǒng)籌規(guī)劃，在擴建上只能在原來的平房的基礎(chǔ)上加蓋，但你很少見到加蓋的層數(shù)超過4層。因為這樣，地基、承重墻都無法負擔(dān)。這就是目前UTM的架構(gòu)。

"這實際上是由于UTM產(chǎn)品軟硬件架構(gòu)設(shè)計原理瓶頸所致，" 邁克菲中國區(qū)網(wǎng)關(guān)安全產(chǎn)品總監(jiān)郭偉說到，NGFW在設(shè)計之前就已經(jīng)考慮到未來安全的需求變化，軟硬件架構(gòu)采用了分離棧的設(shè)計思路，不同的應(yīng)用防護，不同的功能集成項分別設(shè)置分離的TCP/IP棧結(jié)構(gòu)，充分利用了目前硬件的多CPU、多喝的硬件體系，所以在全部功能加載運行后不會像UTM產(chǎn)品那樣，雖然功能比較全，但實際應(yīng)用場景中性能指標無法滿足，而最終導(dǎo)致很多UTM功能成為擺設(shè)。

深信服市場行銷部技術(shù)總監(jiān)殷浩告訴記者，NGAF采用單次解析架構(gòu)，結(jié)合多核并行處理技術(shù)，將所有內(nèi)容掃描功能混合在一個模塊完成，由于所有數(shù)據(jù)流只會有一次掃描，性能就得到了大幅提升，相對于多數(shù)UTM僅有幾百兆到1G的應(yīng)用層性能來說，NGAF實現(xiàn)10G應(yīng)用層吞吐能力更能滿足用戶對高性能場景的需求。梭子魚梭子魚產(chǎn)品經(jīng)理潘淵表示，"性能差異是UTM設(shè)備和NGFW設(shè)備最根本的區(qū)別，這是由于完全不同的功能實現(xiàn)機制導(dǎo)致的。梭子魚下一代NGFW特有的ACPF防火墻引擎技術(shù)，通過一次性的解包，并行處理所有識別、掃描、過濾與控制，大大提升數(shù)據(jù)處理效率。"

NGFW的重要特點就是開啟多重安全功能后性能不會出現(xiàn)明顯下降，綠盟科技產(chǎn)品市場經(jīng)理段繼平解釋到，NGFW相對于原有的UTM產(chǎn)品最大的創(chuàng)新在于軟件方面，比如軟件架構(gòu)采用統(tǒng)一引擎架構(gòu)，將原有的安全功能的堆疊變?yōu)榘踩δ艿娜诤?，基于Web 2.0 的可視化等。

傳統(tǒng)UTM設(shè)備僅僅將FW、IPS、AV進行簡單的整合，開啟多個模塊時是串行處理機制，一個數(shù)據(jù)包先過一個模塊處理一遍，再重新過另一個模塊處理，一個數(shù)據(jù)要經(jīng)過多次拆包，多次分析，導(dǎo)致降低了包的處理傳輸效率。這是我們采訪時聽到的最多的答案。NGFW由于實現(xiàn)在一次拆包中的并行處理，山石網(wǎng)科技術(shù)市場經(jīng)理任磊強調(diào)到，"在設(shè)備本身硬件架構(gòu)方面勢必要采用具備并行處理能力的多核處理芯片，而在當(dāng)前眾多安全廠商的多核產(chǎn)品中以采用多核網(wǎng)絡(luò)專用架構(gòu)的解決方案更適用于當(dāng)前復(fù)雜應(yīng)用控制、安全防護的網(wǎng)絡(luò)。

#p#

面對穩(wěn)定和可靠性 NGFW能否經(jīng)得起考驗

通過我們逐步深入的了解，顯然，NGFW具備高度融合的特性。所以，NGFW自身必須具備高度的穩(wěn)定性、可靠性和性能可擴展性，這是一個前提條件，否則自身會成為安全防御和網(wǎng)絡(luò)性能的一個薄弱點。面對重大的網(wǎng)絡(luò)入侵，如何依然保證其高度穩(wěn)定和可靠性，就要求實現(xiàn)的產(chǎn)品具備高度成熟的模塊化操作系統(tǒng)，高可靠的電信級冗余設(shè)計，可擴展性和高性能。NGFW能否擔(dān)此重任，或者相比傳統(tǒng)獨立安全設(shè)備是否具有優(yōu)勢，看記者深入采訪，且聽百家爭鳴。

北美和歐洲的政府機構(gòu)，包括對網(wǎng)絡(luò)安全管控要求較高的機構(gòu)和阻止，例如：國家基礎(chǔ)設(shè)施，電力、能源、水利等領(lǐng)域在最近幾年已經(jīng)幾乎摒棄了傳統(tǒng)網(wǎng)絡(luò)防火墻和UTM設(shè)備的采購而轉(zhuǎn)向NGFW.再看看全球500強的大型跨國公司目前對網(wǎng)絡(luò)安全的設(shè)備需求也都紛紛轉(zhuǎn)向到更加專注于應(yīng)用安全管控NGFW為主體，包括銀行、保險等機構(gòu)，例如對知識產(chǎn)權(quán)關(guān)注度較高的Hi-Tech公司。新加坡也從2009年規(guī)定，今后有關(guān)政府、公共安全部門的防火墻采購需求將以NGFW為主體，不再考慮對傳統(tǒng)網(wǎng)絡(luò)防火墻和UTM的采購。邁克菲中國區(qū)網(wǎng)關(guān)安全產(chǎn)品總監(jiān)郭偉強調(diào)，"這些都在商務(wù)和客戶層面證實了NGFW能夠滿足企業(yè)對網(wǎng)絡(luò)安全產(chǎn)品的穩(wěn)定性和可靠性的要求。"

天融信方案與推廣副總裁劉輝表示，"NGFW產(chǎn)品一般都集成了多種安全引擎，使其具備了防火墻、IPSEC VPN、SSL VPN、防病毒、IPS、虛擬防火墻等安全功能。這些功能將通過一個引擎進行檢測，通過統(tǒng)一的界面控制，無論遇到那種威脅，智能管理系統(tǒng)都會執(zhí)行相應(yīng)的策略，用最有效的功能組合來阻擋入侵。相對于單獨的安全產(chǎn)品堆砌來說，NGFW各項功能間的配合更緊密。比如入侵防御模塊發(fā)現(xiàn)的威脅可以自動加載到防火墻規(guī)則內(nèi)，在網(wǎng)絡(luò)層就能提前被阻斷，防火墻和入侵防御已經(jīng)不僅僅是互動關(guān)系，而是一個整體。"

"對于常見的網(wǎng)絡(luò)層入侵，NGFW所具備的更高每秒新建會話能力在相同軟件算法的情況下可以提供更強壯的抗攻擊能力;對于應(yīng)用層攻擊，NGFW真正集成IPS后在一次拆包就可以實現(xiàn)對入侵行為的識別、動作和記錄，這種無縫對接保證了對網(wǎng)絡(luò)入侵行為出現(xiàn)時的時效性、準確性和高處理性能。"山石網(wǎng)科技術(shù)市場經(jīng)理任磊顯然對于NGFW的防御能力深信不疑。

而H3C網(wǎng)絡(luò)安全產(chǎn)品部安全技術(shù)總監(jiān)李彥賓的回答則大相徑庭，他對NGFW的表現(xiàn)顯然不那么樂觀，"面對重大的網(wǎng)絡(luò)入侵，NGFW融合的設(shè)備相對IPS(入侵防御系統(tǒng))獨立安全設(shè)備在穩(wěn)定性和可靠性方面還有一定的差距。比如IPS透明部署在網(wǎng)絡(luò)中，在遇到極端情況下，有二層回退、PFC掉電保護等多種可靠性設(shè)計，保證業(yè)務(wù)的暢通。而NGFW作為網(wǎng)關(guān)部署在網(wǎng)絡(luò)中，一旦出現(xiàn)問題，會造成網(wǎng)絡(luò)的中斷。"

國標中對入侵的定義是指"任何危害或可能危害資源完整性、保密性、可用性的行為",網(wǎng)絡(luò)入侵往往包含了多種攻擊手段，從攻擊過程來看，是一個動態(tài)的、長期的、變化的過程，涉及人員、網(wǎng)絡(luò)、設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)多個方面。啟明星辰邊界安全產(chǎn)品部副經(jīng)理馬駿表示，從縱深防御體系來看，NGFW是定位在邊界防御，考量NGFW的重要指標在于其安全防御能力以及事件庫的更新速度，這方面取決于廠商在漏洞研究、漏洞驗證、入侵檢測、快速響應(yīng)、硬件整合等多方面的能力，是廠商綜合能力的體現(xiàn)。專業(yè)設(shè)備在這方面目前做得很成熟，并已經(jīng)獲得市場和用戶的認可。在NGFW上還需要時間和市場應(yīng)用的檢驗。

#p#

應(yīng)運而生 NGFW是否存在獨立市場

NGFW產(chǎn)品是最終網(wǎng)絡(luò)安全需求的深入和目前時刻面臨的多變的基于應(yīng)用和內(nèi)容網(wǎng)絡(luò)安全威脅而誕生的，根據(jù)Gartner的預(yù)測，到2014年底，35%的企業(yè)會在采購安全設(shè)備的時候轉(zhuǎn)向下一代防火墻，60%新購買的防火墻將是NGFW.在這種趨勢下，傳統(tǒng)安全設(shè)備廠商不可能熟視無睹，他們的產(chǎn)品都會向高性能的應(yīng)用識別和應(yīng)用防護的方向轉(zhuǎn)變，最終實現(xiàn)普遍的應(yīng)用層安全。

在談到NGFW在國內(nèi)的市場應(yīng)用前景時，山石網(wǎng)科技術(shù)市場經(jīng)理任磊告訴記者，下一代防火墻代表著防火墻產(chǎn)品發(fā)展的一種趨勢，在數(shù)據(jù)處理模式和效率方面有質(zhì)的提升，這種提升是為了滿足網(wǎng)絡(luò)發(fā)展的需求，這樣的話也就理應(yīng)成為未來用戶解決網(wǎng)絡(luò)安全問題的主流選擇，而隨著云計算環(huán)境下安全的需求和虛擬化技術(shù)的不斷普及，在安全方面針對應(yīng)用的高性能深層防護將出現(xiàn)井噴性需求，市場潛力是巨大的。

"下一代防火墻將開辟一個全新的，獨立的網(wǎng)絡(luò)安全硬件市場，國內(nèi)的下一代防火墻市場處于起步階段，卻發(fā)展迅速，而主流的安全硬件廠商都已推出了基于下一代防火墻概念的產(chǎn)品也恰恰驗證了這一市場的廣闊前景;國內(nèi)用戶在選擇安全產(chǎn)品時，肯定會發(fā)現(xiàn)下一代防火墻產(chǎn)品正是能解決日益增多的企業(yè)網(wǎng)絡(luò)安全問題，日益下降的網(wǎng)絡(luò)性能問題，困擾網(wǎng)管們的網(wǎng)絡(luò)管理問題的最佳產(chǎn)品。" 梭子魚產(chǎn)品經(jīng)理潘淵表示。

綠盟科技產(chǎn)品市場經(jīng)理段繼平認為，短期內(nèi)NGFW在國內(nèi)不會形成獨立的市場，將依然會與傳統(tǒng)的防火墻，UTM,甚至IPS,上網(wǎng)行為等網(wǎng)關(guān)類產(chǎn)品形成直接競爭。中期內(nèi)，由于國內(nèi)各類用戶對新產(chǎn)品的認可度不同，NGFW產(chǎn)品將首先會在大型企業(yè)，金融，電信等中高端領(lǐng)域逐漸被用戶接受。長期內(nèi)，由于NGFW代表了未來綜合安全網(wǎng)關(guān)的發(fā)展方向，國內(nèi)其他FW,UTM等類廠商會逐漸改進現(xiàn)有產(chǎn)品線以符合NGFW方向。最終NGFW會成為綜合網(wǎng)關(guān)市場最核心的產(chǎn)品形態(tài)。

"根據(jù)企業(yè)需求部署網(wǎng)絡(luò)安全網(wǎng)關(guān)產(chǎn)品是比較具有性價比的模式。對于中大型企業(yè)來說，NGFW的功能、性能、管理等方面都更勝一籌，所以是一種更好的選擇。對于一些小企業(yè)來說，網(wǎng)絡(luò)結(jié)構(gòu)簡單，安全問題不突出，則可以選擇單一的安全產(chǎn)品或者是UTM.目前的NGFW還是以行業(yè)用戶應(yīng)用為主。" 天融信方案與推廣副總裁劉輝認為。

NGFW作為Internet安全網(wǎng)關(guān)，在部署以及維護管理上有很好的優(yōu)勢，可以滿足中小企業(yè)的需求，在云計算和數(shù)據(jù)中心環(huán)境下各個廠商也提出推出了適應(yīng)這種環(huán)境要求的安全網(wǎng)關(guān)。H3C網(wǎng)絡(luò)安全產(chǎn)品部安全技術(shù)總監(jiān)李彥賓認為，但由于沒有統(tǒng)一標準，在技術(shù)上還需要進一步提高發(fā)展和規(guī)范，整個市場還需要培育。

#p#

網(wǎng)絡(luò)改造 如何選型NGFW

企業(yè)選擇下一代防火墻應(yīng)該從自身需求角度出發(fā)，在提供應(yīng)用識別、訪問控制、入侵防御等基本功能的基礎(chǔ)上，綜合處理性能、每秒新建、最大并發(fā)連接數(shù)和接口數(shù)量都是衡量一款設(shè)備是否滿足要求的重要指標。山石網(wǎng)科技術(shù)市場經(jīng)理任磊同時強調(diào)，升級的及時性、管理界面的友好度、技術(shù)支持能力都是考慮的因素，而在一臺設(shè)備承載網(wǎng)絡(luò)中越來越多職能的今天，良好的軟硬件擴展性、設(shè)備的高可靠能力也開始被大多數(shù)用戶所關(guān)注。

SonicWALL中國區(qū)技術(shù)經(jīng)理蔡永生給出了企業(yè)選型NGFW更為細致的要素。

·性能。IPS與其他功能的緊密集成是實現(xiàn)NGFW極低網(wǎng)絡(luò)延遲的關(guān)鍵。

·強大的掃描功能。許多NGFW提供商都在大肆宣傳DPI功能，但對這些產(chǎn)品的測試發(fā)現(xiàn)，DPI功能會大幅降低網(wǎng)絡(luò)的安全防御能力。評估時，應(yīng)選擇具備以下功能的NGFW:可掃描各種大小的文件;可解密、掃描和重新加密SSL數(shù)據(jù)包;可掃描穿越所有端口的原始TCP流量以及大量協(xié)議。

·易管理性。

·應(yīng)用智能、控制和可視化。

·經(jīng)帶擴展的NetFlow和IPFix報告的能力。NetFlow和IPFix是向外部收集程序報告網(wǎng)絡(luò)流量的兩大行業(yè)標準。NetFlow部署于交換機和路由器，可導(dǎo)出各種數(shù)據(jù)，如IP地址源和目的地、源端口和目標端口、3層協(xié)議類型和服務(wù)等級。

深信服市場行銷部技術(shù)總監(jiān)殷浩強調(diào)了NGFW應(yīng)具備完整的應(yīng)用內(nèi)容防護功能，避免安全防護的短板。能夠提供完整的漏洞防護能力，不但可以針對服務(wù)器OS、應(yīng)用系統(tǒng)的漏洞提供防護，還可以針對終端瀏覽器、惡意代碼、Office軟件的漏洞提供防護能力。具備Web服務(wù)器強化防護，支持防應(yīng)用掃描、防SQL注入、OS注入、XSS攻擊、URL權(quán)限控制、數(shù)據(jù)保護等功能，以避免來自內(nèi)容級別的入侵竊取服務(wù)器關(guān)鍵數(shù)據(jù)。

瞻博網(wǎng)絡(luò)大中國區(qū)產(chǎn)品市場經(jīng)理譚俊特別指出，下一代防火墻與整體安全架構(gòu)的協(xié)同防護能力。NGFW需要和其他企業(yè)安全基礎(chǔ)設(shè)施整合，具備感知全方位安全、應(yīng)用和身份信息的能力，才能充分發(fā)揮其效能。

企業(yè)部署NGFW,將有效地簡化傳統(tǒng)安全架構(gòu)并提升其感知應(yīng)用和用戶的能力。但NGFW并不是一個孤立的元素，更需要整合到整體的安全體系中才能充分發(fā)揮其效果，實現(xiàn)有效地全面安全防護。譚俊同時強調(diào)，作為企業(yè)而言，在遷移中需要基于當(dāng)前需求，以及下一步虛擬化，云計算的應(yīng)用趨勢來考慮整合安全架構(gòu)的設(shè)計。首先要選擇滿足相應(yīng)容量，性能和可靠性要求的平臺，其次要在該平臺上部署高度集成的NGFW安全服務(wù)，最后還要注意該方案能夠具備方便的，不影響業(yè)務(wù)的添加新的安全服務(wù)和擴充新的容量的能力。

NGFW從功能上滿足了用戶多個層次的安全需求(如FW、IPS及應(yīng)用訪問控制)，可以簡化企業(yè)邊界安全部署。從架構(gòu)上來說，NGFW仍屬于邊界安全產(chǎn)品，對于傳統(tǒng)安全架構(gòu)影響不大。對于新建網(wǎng)絡(luò)來說，部署NGFW比較簡單;但是在網(wǎng)絡(luò)改造過程中的替代部署，則需要企業(yè)與廠商仔細評估NGFW對原設(shè)備功能的替代度。

正如啟明星辰邊界安全產(chǎn)品部副經(jīng)理馬駿舉的一個例子，原有FW系統(tǒng)支持VPN,這就需要評價NGFW的VPN協(xié)議的支持、隧道數(shù)的支持、用戶數(shù)的支持、算法的支持、認證模式等多項指標。企業(yè)在向NGFW遷移時，首先要考慮自身的邊界安全需求，包括性能及功能兩個方面，現(xiàn)有的NGFW是否能夠替代原有多個安全設(shè)備，能否滿足新的安全需求?如果不能完全替換，則需考慮跟NGFW如何配合使用，以及在配合使用下的綜合運營成本，不能簡單考慮只是設(shè)備的替換。