志不強(qiáng)者智不達(dá)。自從2009年Gartner定義下一代防火墻至今，國內(nèi)外業(yè)界風(fēng)起云涌，競相角逐。但是下一代防火墻成為眾家“香餑餑”之時，便可能成為跟風(fēng)者邯鄲學(xué)步之日。滾動著泡沫的一汪沸水，你能否看到水底蘊(yùn)藏的那潛在力量?

2007年，Palo Alto Networks發(fā)布世界第一款下一代防火墻產(chǎn)品。此后，國際網(wǎng)絡(luò)行業(yè)領(lǐng)導(dǎo)廠商諸如 Barracuda Networks、Cisco、Check Point、Dell SonicWALL、Fortinet、Juniper Networks等等公司也相繼推出下一代防火墻。國內(nèi)廠商自然不甘落后，2011年深信服發(fā)布中國第一款F代防火墻伊始，拉開了中國廠商開啟下一代防火墻模式的序幕。一年來，國內(nèi)廠商宣布推出“下一代”單品的已有迪普、東軟、銳捷、深信服、天融信、網(wǎng)康、網(wǎng)神等。越來越多的廠商注意到了將設(shè)備與云相結(jié)合，使用云計算的優(yōu)勢來進(jìn)一步提升下一代防火墻在未知威脅防護(hù)上的處理效能，但是在硬件設(shè)備方面卻鮮見有亮點的升級，加之中國大部分廠商都只是今年才推出第一代NGFW產(chǎn)品，所謂有亮點的產(chǎn)品升級更新更無從談起。誠然，下一代防火墻已經(jīng)逐漸被市場所接受、認(rèn)同，但這是否是因為夸大的市場宣傳而“被接受”了呢?

從一年前的鳳毛麟角到如今的滿城盡是“下一代”，網(wǎng)絡(luò)安全新產(chǎn)品的蓬勃發(fā)展是我們愿意看到的，但如果是廠商為了迎合“下一代”風(fēng)潮而削足適履，這是我們不愿意看到的。當(dāng)然，我們更不愿意見到的是無休止的炒作掩蓋了產(chǎn)品的真正價值。

新技術(shù)應(yīng)對新挑戰(zhàn)

通過對多家安全廠商的走訪，記者發(fā)現(xiàn)大家不約而同地指出網(wǎng)絡(luò)活動急劇增加，也日趨復(fù)雜，安全攻擊出現(xiàn)多樣性，云計算、移動互聯(lián)網(wǎng)、BYOD、Web 2.0等成為了新時代的網(wǎng)絡(luò)安全挑戰(zhàn)。

Web2.0時代帶來爆炸式的應(yīng)用增長，對傳統(tǒng)防火墻造成了極大的挑戰(zhàn)。在各式各樣的Web應(yīng)用瀟灑地通過80端口時，基于“五元組”的傳統(tǒng)防火墻無異于被蒙上雙眼的士兵，不再能很好地守護(hù)網(wǎng)絡(luò)的安全。

此外， APT攻擊近年來分外活躍。Stuxnet病毒不僅使伊朗核計劃遭到重創(chuàng)，也拉開了工控系統(tǒng)入侵的序幕。長久以來，工控系統(tǒng)被認(rèn)為并不會受普通電腦病毒的影響。隨著這一想法被顛覆，更多的網(wǎng)絡(luò)攻擊將會瞄準(zhǔn)工控系統(tǒng)和物聯(lián)網(wǎng)。在網(wǎng)關(guān)處，更深度的數(shù)據(jù)包檢測、病毒入侵防護(hù)，以及工控系統(tǒng)協(xié)議的支持等需求也變得越來越迫切。

在談及如何應(yīng)對新時代帶來的新挑戰(zhàn)時，銳捷網(wǎng)絡(luò)安全產(chǎn)品線經(jīng)理王福光說：“云計算等新技術(shù)應(yīng)用的發(fā)展，帶來了三個方面的轉(zhuǎn)化，即數(shù)據(jù)集中化;應(yīng)用復(fù)雜化;邊界多元化。數(shù)據(jù)的上收讓云計算核心的數(shù)據(jù)中心承擔(dān)著巨大的安全壓力與挑戰(zhàn)。如何在保障安全的同時滿足高速、無瓶頸的性能要求，也成為了防火墻的基礎(chǔ)要求?！?/p>

Check Point安全顧問吳航在采訪中也表示，APT(高級可持續(xù)性威脅)攻擊在近兩年也愈演愈烈，Stuxnet病毒對于工控系統(tǒng)和物聯(lián)網(wǎng)的影響已經(jīng)改變了業(yè)界關(guān)于安全的觀點，很多大的企業(yè)已經(jīng)意識到威脅的形式發(fā)生著巨大的改變。因此對更加高效、多功能的網(wǎng)關(guān)防護(hù)設(shè)備的需求程度也在不斷提高。

通過研究Gartner和NSS Labs對于下一代防火墻的定義發(fā)現(xiàn)，作為一個整合深度數(shù)據(jù)流檢測、應(yīng)用安全識別，以及攻擊防護(hù)的安全平臺，必須要具備傳統(tǒng)企業(yè)級防火墻的全部功能。比如基礎(chǔ)的包過濾、多層狀態(tài)檢測、NAT，以及面對一切網(wǎng)絡(luò)流量時保持高穩(wěn)定性和可用性。在此之上，下一代防火墻還必須要具備應(yīng)用識別和控制、用戶及用戶組控制、完整的IPS功能、靈活的功能擴(kuò)展選擇和外在信息源。其實還有一點，也是業(yè)界一直在宣傳的，在開啟多個功能，甚至是全功能時，性能下降不明顯，這也是區(qū)分UTM與NGFW的一個顯著標(biāo)志。

“下一代”不僅僅代表了多功能、高性能，更是對于傳統(tǒng)設(shè)備軟件和硬件技術(shù)的革新。對此觀點，我們也獨家連線了美國網(wǎng)絡(luò)世界安全頻道資深編輯Ellen Messmer。Ellen認(rèn)為，下一代防火墻對于傳統(tǒng)基于端口檢測的防火墻來說是革命性的改變，它打破了以往UTM簡單將各功能模塊串聯(lián)起來的基礎(chǔ)架構(gòu)模式。

對于設(shè)計架構(gòu)方面，下一代防火墻從基礎(chǔ)架構(gòu)上解決了多功能開啟時UTM性能急劇低下的問題。Palo Alto通過獨家設(shè)計的單通道并行處理架構(gòu)，緊密結(jié)合了軟件與硬件，簡化了管理工作，也提供了一個流暢的運行程序與最佳性能。這個架構(gòu)的卓越之處在于，當(dāng)數(shù)據(jù)流通過時，軟件通過一次性的策略查找、應(yīng)用程序的識別和解碼、用戶的識別，以及內(nèi)容掃描(病毒，木馬，入侵防護(hù))，而硬件平臺使用特殊功能的處理器執(zhí)行聯(lián)網(wǎng)、安全、威脅防護(hù)與管理，使整個設(shè)備達(dá)到最大的性能與最小的延遲。因此，基礎(chǔ)架構(gòu)的革新決定了下一代防火墻能夠解決UTM性能瓶頸的問題。

經(jīng)過一段時期的發(fā)展，不論是防火墻市場的老牌勁旅，還是創(chuàng)建沒幾年的新興公司都紛至沓來，推出下一代防火墻，欲求在市場中分一杯羹。通過對多家安全廠商的走訪和產(chǎn)品調(diào)查，我們發(fā)現(xiàn)目前市場上普遍的下一代防火墻設(shè)計架構(gòu)都趨向于單通道并行處理的一次拆分包技術(shù)。但是在實際的應(yīng)用層處理性能、深度病毒檢測性能等方面，國內(nèi)產(chǎn)品與國際領(lǐng)先廠商的產(chǎn)品尚有一定差距，還需要提升自身技術(shù)實力，同時進(jìn)一步接受市場的考驗。

近兩年，廠商和媒體的大力宣傳，防火墻市場表現(xiàn)出蓬勃發(fā)展、百舸爭流的態(tài)勢，而下一代防火墻也被宣傳成了一款“萬金油”產(chǎn)品。然而我們是否需要冷靜一下，還原一個真實的下一代防火墻呢?#p#

新思維引領(lǐng)“下一代”

不論是對于產(chǎn)品還是概念的討論，業(yè)界都有很多不同的聲音。著名安全評測實驗室NSS Labs在近期發(fā)表的評測報告中，對下一代防火墻表示出了擔(dān)憂。報告中指出，當(dāng)與傳統(tǒng)防火墻和IPS的組合比較時，大部分的下一代防火墻解決方案不能提供很好的處理性能和安全性。研究人員認(rèn)為，只有少數(shù)的NGFW產(chǎn)品能夠符合當(dāng)下的安全需求。在通過對八款下一代防火墻，或者是號稱為下一代防火墻的產(chǎn)品測試過后，結(jié)果顯示，只有一半的NGFW產(chǎn)品其安全性能評分達(dá)到90%以上，而且廠商對其產(chǎn)品處理性能的夸大也值得注意。八款產(chǎn)品中的五款產(chǎn)品吞吐量未能達(dá)到廠商所聲稱的數(shù)據(jù)，而全部八款產(chǎn)品的最大連接數(shù)測試均低于宣傳數(shù)值。雖然我們并未能對國內(nèi)更多的NGFW產(chǎn)品進(jìn)行全面的測試，但是對于產(chǎn)品實際表現(xiàn)與性能的擔(dān)憂也應(yīng)該存在。

“我們的思維模式需要轉(zhuǎn)變。下一代防火墻不應(yīng)只是一個產(chǎn)品，更應(yīng)該代表一種前瞻性的眼光。”天融信高級副總裁劉輝說。作為下一代防火墻的“異見”代表，他還認(rèn)為，互聯(lián)網(wǎng)飛速發(fā)展，如果安全廠商沒有遠(yuǎn)見，不能看到“下一代”的安全需求，只是做到亦步亦趨，終將只能在市場競爭中扮演配角。對此，Gartner才用前瞻性和執(zhí)行力作為其魔力象限的兩個維度來衡量一個領(lǐng)域廠商的水平。如果只是把單一的產(chǎn)品稱之為下一代，會對產(chǎn)品的發(fā)展產(chǎn)生不利的影響。下一代防火墻需要更智能，結(jié)合云計算充分發(fā)掘大數(shù)據(jù)的價值，通過對互聯(lián)網(wǎng)中的海量數(shù)據(jù)(包括防火墻日志)進(jìn)行數(shù)據(jù)挖掘和分析，將防火墻與整個體系深度結(jié)合，使防火墻更加智能、靈活，從而對防火墻下發(fā)更加準(zhǔn)確的策略。對于網(wǎng)絡(luò)防護(hù)設(shè)備來說，其主要功能還是網(wǎng)絡(luò)層和傳輸層。因此，隨著SDN成為網(wǎng)絡(luò)發(fā)展趨勢，作為更智能、更靈活的下一代防火墻也需要適應(yīng)下一代網(wǎng)絡(luò)的發(fā)展，對于SDN的支持可謂必不可少。

在對于網(wǎng)絡(luò)安全未來的看法上，思科高級安全顧問徐洪濤認(rèn)為，傳統(tǒng)意義的網(wǎng)絡(luò)邊界已經(jīng)越來越模糊，給網(wǎng)絡(luò)安全也帶來了新的挑戰(zhàn)。因此，防火墻技術(shù)也必須隨之做出改變。云計算技術(shù)的發(fā)展，需要安全平臺更好地去識別最新的網(wǎng)絡(luò)威脅。移動互聯(lián)網(wǎng)和智能終端的發(fā)展，需要安全平臺更好地去識別用戶身份和終端。而新應(yīng)用的出現(xiàn)，則需要安全平臺去更好地識別新的應(yīng)用。只有這樣，才能真正地起到防火墻安全防護(hù)和控制的作用。保證網(wǎng)絡(luò)安全的前提是對網(wǎng)絡(luò)的終端和使用有全面的可見性，并且能提供足夠的控制能力。全網(wǎng)可見性的提高和可控性的增強(qiáng)，目前來看已經(jīng)成為用戶做網(wǎng)絡(luò)安全建設(shè)的核心思想。在未來的一年中，網(wǎng)絡(luò)安全市場也將會以此為主導(dǎo)，專用安全產(chǎn)品的授權(quán)因素需要豐富，而大量部署的網(wǎng)絡(luò)設(shè)備的安全特性與識別功能也會得到更多的使用。網(wǎng)絡(luò)安全技術(shù)本身會更加全面和動態(tài)，而網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)技術(shù)的結(jié)合也將會更為明顯。

對于下一代防火墻的看法，我們或許真的應(yīng)該突破盒子本身。硬件設(shè)備須與云平臺進(jìn)行整合，基于云的分布式計算環(huán)境不僅可以提升識別效率，還能有效地降低硬件部署成本。Gartner也提到，對于延時敏感的企業(yè)建議使用下一代防火墻。已知威脅的處理效率會對網(wǎng)絡(luò)出口產(chǎn)生延遲影響。而對于未知威脅的檢測效率和準(zhǔn)確度不夠，也應(yīng)算作延時的一種。對于已知威脅的掃描、檢測、隔離并不是競爭的重點，通過有效的手段進(jìn)行高速的未知威脅識別才是未來競爭的主戰(zhàn)場。高效而準(zhǔn)確的識別未知威脅，才能真正保護(hù)網(wǎng)絡(luò)的安全。

未知威脅的識別必須依托背后強(qiáng)大的云平臺。Palo Alto的Wild Fire(野火)安全平臺，基于云計算，有效地解決了未知惡意軟件威脅。一小時之內(nèi)，野火會返回對于一個新發(fā)現(xiàn)的惡意軟件的識別報告，并自動下發(fā)給防火墻。這一切都是由云自動完成的。而一年前，這件事還需要一天的時間來完成。網(wǎng)康科技營銷副總裁左英男說：“下一代防火墻將不再是孤立的硬件產(chǎn)品，必須依托于強(qiáng)大的外在安全服務(wù)來構(gòu)建實時的安全防護(hù)體系?！本W(wǎng)康科技的下一代防火墻采用了基于云的URL過濾功能，可以主動掃描預(yù)防和在線內(nèi)容識別，快速發(fā)現(xiàn)并識別可疑網(wǎng)站。#p#

前路漫漫 道阻且長

盡管不斷變化的威脅環(huán)境，以及業(yè)務(wù)流程使企業(yè)在安全系統(tǒng)更新?lián)Q代時必將考慮下一代防火墻，然而Ellen在承認(rèn)NGFW帶來技術(shù)革新的同時，也對市場表示了一定程度上的擔(dān)憂。他向記者解釋道，從整個企業(yè)級防火墻市場來說，有這樣一種假設(shè)，就是在我們當(dāng)前的網(wǎng)絡(luò)環(huán)境中和我們即將步入的移動互聯(lián)、云計算時代中，處處都需要下一代防火墻。事實上它很難實現(xiàn)，尤其是對于大型企業(yè)來說。企業(yè)用戶曾明確表示他們不希望將反病毒功能集成在下一代防火墻中，而NGFW中的IPS功能也鮮有人問津。另外，企業(yè)客戶也不愿意因為適應(yīng)不必要的下一代防火墻而增加他們現(xiàn)有防火墻策略的復(fù)雜度。

傳統(tǒng)防火墻和UTM短期之內(nèi)不會被下一代防火墻完全取代。網(wǎng)神科技產(chǎn)品運營總監(jiān)陳超認(rèn)為，我們無須對于一款產(chǎn)品的名字過于糾結(jié)，最重要的是能夠滿足客戶的需求和該企業(yè)在未來一段時期內(nèi)的發(fā)展，擴(kuò)容需求。下一代防火墻確實解決了傳統(tǒng)防火墻和UTM的種種問題，但是在某些特定領(lǐng)域還是更傾向于保守地選擇傳統(tǒng)產(chǎn)品。比如對于大型IDC來說，核心需求就是超高速的轉(zhuǎn)發(fā)，所以可能需要百G的吞吐。在這種情況下，傳統(tǒng)防火墻無疑比下一代防火墻更具競爭力。

對于UTM來說，情況也是如此。東軟網(wǎng)絡(luò)安全營銷中心產(chǎn)品策劃部部長于江在采訪中表示，UTM能夠獲得如此大的成功，也證明了其滿足當(dāng)前客戶對于安全保障的需求。在一些小型企業(yè)，對于吞吐和性能的要求并不高，已有的UTM設(shè)備已經(jīng)完全滿足日常所需。這也是在下一代防火墻起步初期，產(chǎn)品滲透率不高的原因之一。在未來一到兩年內(nèi)，隨著互聯(lián)網(wǎng)的進(jìn)一步發(fā)展、安全需求更加復(fù)雜多樣，下一代防火墻的滲透率會有很大的提升。未來幾年內(nèi)，會出現(xiàn)NGFW、傳統(tǒng)防火墻、UTM三足鼎立的情況，直至隨著設(shè)備的自然更替，NGFW完全替代傳統(tǒng)防護(hù)設(shè)備。

對于有意愿引進(jìn)下一代防火墻的企業(yè)來說，只須根據(jù)企業(yè)網(wǎng)絡(luò)情況，以及未來發(fā)展規(guī)劃，合理部署下一代防火墻即可保障其在整個網(wǎng)絡(luò)中的正常使用。不僅可以提升企業(yè)網(wǎng)絡(luò)的安全性，也可以讓企業(yè)在未來升級網(wǎng)絡(luò)時更加流暢。深信服市場行銷部技術(shù)總監(jiān)殷浩表示，如果原有的傳統(tǒng)安全產(chǎn)品處于正常使用周期內(nèi)，建議只啟用下一代防火墻的應(yīng)用層安全防護(hù)功能和原有的產(chǎn)品及方案形成互補(bǔ)。當(dāng)原有傳統(tǒng)安全產(chǎn)品超出正常使用周期，可以啟用下一代防火墻的其他安全防護(hù)功能進(jìn)行替換。如果企業(yè)需要新建一個網(wǎng)絡(luò)，則建議直接選擇下一代防火墻構(gòu)建安全防護(hù)體系。對于安全要求更高的金融、運營商單位，建議采用兩種下一代防火墻品牌進(jìn)行異構(gòu)部署。

在本次采訪過程中，記者發(fā)現(xiàn)各家廠商產(chǎn)品的研發(fā)和設(shè)計理念有三點是共通的：即易用性、全面可視化和用戶需求。這三者即是相互獨立，又是相互聯(lián)系的。在這個越來越強(qiáng)調(diào)人機(jī)交互的時代，安全產(chǎn)品也需要做到好的用戶體驗。網(wǎng)絡(luò)管理人員對于產(chǎn)品熟悉的程度越快，就越能更好、更快地將其發(fā)揮到最大功效。全面可視化可以讓用戶更好地對通過防火墻的流量進(jìn)行分析。只有獲取的信息足夠充分，才能做出更為合理的分析、對防火墻部署更有效的策略。產(chǎn)品的設(shè)計和研發(fā)最終目標(biāo)是銷售給客戶，因此產(chǎn)品必須要滿足用戶的需求。安全威脅每時每刻都在發(fā)生、更新，也會隨著安全防御技術(shù)的發(fā)展而變化，互相抑制、互相刺激。作為廠商來說，用戶需求的滿足不單只是當(dāng)前需求的滿足，更要看到更長遠(yuǎn)的未來需求。只有這樣才能讓自己的殘酷的市場競爭中立足，最終成為領(lǐng)導(dǎo)行業(yè)風(fēng)向的企業(yè)。

非淡泊無以明志，非寧靜無以致遠(yuǎn)。在當(dāng)今瞬息萬變的快餐時代，我們不僅需要接受新事物，迎接新挑戰(zhàn)，尋求新突破。也需要我們擁有一顆堅守的心，一份不為世俗所打擾的魄力。網(wǎng)絡(luò)安全需要你我共建，網(wǎng)絡(luò)新時代等待我們共創(chuàng)。只要心中有夢想，哪怕山重水復(fù)，哪怕道阻且長。

【編輯推薦】

下一代防火墻與統(tǒng)一威脅管理的對比

魔力象限：下一代防火墻將成為主流