像智能手機(jī)取代了功能手機(jī),傳統(tǒng)防火墻必將被下一代防火墻所取代
在2009年,Gartner第一次提出了下一代防火墻(NGFW,Next Generation Firewall)的概念,將應(yīng)用識(shí)別、IPS防護(hù)與傳統(tǒng)防火墻功能融合到了一起,幾個(gè)環(huán)節(jié)還可以智能聯(lián)動(dòng)。如果說(shuō)智能手機(jī)是互聯(lián)網(wǎng)寬帶化、移動(dòng)化、社交化的趨勢(shì)下用戶(hù)對(duì)內(nèi)容訪(fǎng)問(wèn)終端的要求。下一代防火墻的出現(xiàn)則是這些趨勢(shì)對(duì)網(wǎng)絡(luò)安全帶來(lái)新挑戰(zhàn)的結(jié)果。首先,Web2.0技術(shù)的發(fā)展和社交化的趨勢(shì)使基于Web開(kāi)發(fā)的應(yīng)用數(shù)量大大增加,僅靠傳統(tǒng)的防火墻無(wú)法區(qū)分運(yùn)行在相同80端口上的不同業(yè)務(wù)應(yīng)用,必須準(zhǔn)確識(shí)別應(yīng)用以達(dá)到訪(fǎng)問(wèn)控制和業(yè)務(wù)加速的目的。其次,寬帶化和移動(dòng)化的趨勢(shì)使信息資產(chǎn)的重要性達(dá)到了前所未有的高度,以自我證明為目的的黑客行為逐漸形成龐大的產(chǎn)業(yè)。各自為戰(zhàn)的傳統(tǒng)安全網(wǎng)關(guān)難以抵御變換無(wú)窮的新威脅,下一代防火墻必須集成多種防護(hù)功能并進(jìn)行智能的聯(lián)動(dòng)。再次,越來(lái)越多的應(yīng)用層流量保護(hù)使UTM力不從心,性能不足以支撐。因此需要下一代防火墻在開(kāi)啟多項(xiàng)應(yīng)用層防護(hù)功能后仍能正常使用。綜上可以看出,不是誰(shuí)去選擇、創(chuàng)造了下一代防火墻,而是ICT技術(shù)發(fā)展的大勢(shì)逼迫企業(yè)將這樣一種設(shè)備應(yīng)用在新一代的網(wǎng)絡(luò)防護(hù)上。
下一代防火墻:從“過(guò)去將來(lái)式”變?yōu)?ldquo;現(xiàn)在進(jìn)行式”
下一代防火墻的概念是五年前提出的,到了今天已經(jīng)由“過(guò)去將來(lái)式”轉(zhuǎn)變?yōu)?ldquo;現(xiàn)在進(jìn)行式”。經(jīng)過(guò)多年的實(shí)踐,下一代防火墻產(chǎn)品已進(jìn)入成熟期,在海內(nèi)外各個(gè)行業(yè)已經(jīng)有很多成功的應(yīng)用。知名咨詢(xún)機(jī)構(gòu)Gartner在《2014年企業(yè)防火墻魔力象限》報(bào)告中指出,下一代防火墻已經(jīng)成為網(wǎng)絡(luò)防火墻市場(chǎng)的領(lǐng)軍產(chǎn)品,并預(yù)測(cè)2014年企業(yè)在邊界防火墻的新采購(gòu)中70%都會(huì)選擇下一代防火墻。面對(duì)這樣的市場(chǎng)熱潮,各廠(chǎng)商紛紛推出自己的下一代防火墻產(chǎn)品,但在實(shí)際的使用中表現(xiàn)卻參差不齊。企業(yè)在采購(gòu)中必須擦亮眼睛,重點(diǎn)關(guān)注下一代防火墻幾個(gè)方面的表現(xiàn)。
第一,應(yīng)用識(shí)別的數(shù)量更多精度更準(zhǔn)。應(yīng)用識(shí)別也是下一代防火墻區(qū)別與傳統(tǒng)防火墻的重要特征,因此,識(shí)別數(shù)量和精度是判別下一代防火墻優(yōu)劣最重要的指標(biāo)之一。首先,應(yīng)用識(shí)別會(huì)用于訪(fǎng)問(wèn)控制。安全制度嚴(yán)格的大企業(yè),會(huì)基于應(yīng)用進(jìn)行訪(fǎng)問(wèn)控制,僅放行必需的應(yīng)用。例如,僅允許網(wǎng)盤(pán)應(yīng)用的下載,但禁止向網(wǎng)盤(pán)上傳。這種情況下,識(shí)別數(shù)量和精度上的不足會(huì)直接影響業(yè)務(wù)。其次,應(yīng)用識(shí)別會(huì)用于業(yè)務(wù)帶寬管理和QoS優(yōu)化。例如,優(yōu)先轉(zhuǎn)發(fā)網(wǎng)頁(yè)瀏覽等高優(yōu)先級(jí)應(yīng)用流量,卻限制P2P等流量耗費(fèi)型應(yīng)用的應(yīng)用帶寬,將VoIP這類(lèi)重要的業(yè)務(wù)流量轉(zhuǎn)向高質(zhì)量、有保障的鏈路通道。這些都依賴(lài)于應(yīng)用識(shí)別的能力。再次,應(yīng)用識(shí)別的結(jié)果還會(huì)用于后期的智能聯(lián)動(dòng)防護(hù)。例如:對(duì)Oracle流量進(jìn)行僅和Oracle相關(guān)特定漏洞的IPS防護(hù),從而提升性能、降低誤報(bào)率。由此看來(lái),應(yīng)用識(shí)別能力有限的下一代防火墻產(chǎn)品防護(hù)效果也有限,業(yè)界領(lǐng)先的產(chǎn)品的應(yīng)用識(shí)別數(shù)量基本在3000以上。
第二,功能全面性與應(yīng)用防護(hù)性能兼?zhèn)洹?蛻?hù)在選擇產(chǎn)品時(shí)常常僅看到功能的全面性,卻忽視了開(kāi)啟這些功能后的性能,以至于購(gòu)買(mǎi)的設(shè)備僅能作為傳統(tǒng)防火墻使用。這樣的下一代防火墻只是徒有其名,真實(shí)的能力只是和UTM差不多。下一代防火墻至少應(yīng)融合IPS的防護(hù),各廠(chǎng)家根據(jù)各自的理解還集成了其他更多的功能。IPS是下一代防火墻的重要功能,優(yōu)秀的下一代防火墻產(chǎn)品開(kāi)啟該功能后整機(jī)性能下降不應(yīng)超過(guò)50%。
第三,設(shè)備更加智能化,成為身邊的安全專(zhuān)家。這里說(shuō)的易用性并不只是界面友好這么簡(jiǎn)單。下一代防火墻增加了應(yīng)用識(shí)別和IPS等更多功能后變的更加復(fù)雜,學(xué)習(xí)成本急劇增加。而安全設(shè)備非常依賴(lài)使用者的經(jīng)驗(yàn)和技能,如果沒(méi)有部署恰當(dāng)?shù)陌踩呗?,再好的設(shè)備也無(wú)法發(fā)揮作用。企業(yè)通常缺乏專(zhuān)職的安全管理員,沒(méi)有深厚的安全專(zhuān)業(yè)技能就很難做出正確的決策。這就要求下一代防火墻應(yīng)當(dāng)更加智能,從一個(gè)單純的策略執(zhí)行者轉(zhuǎn)變?yōu)槭褂谜呱磉叺陌踩珜?zhuān)家,輔助使用者做出決策。
華為下一代防火墻在您身邊
當(dāng)前,很多企業(yè)在采購(gòu)新的安全設(shè)備時(shí)都在考慮選擇下一代防火墻。在可以預(yù)見(jiàn)的未來(lái),下一代防火墻將像智能手機(jī)取代功能手機(jī)一樣統(tǒng)治企業(yè)防火墻市場(chǎng)。企業(yè)需要選擇適合自己的下一代防火墻。作為國(guó)內(nèi)安全行業(yè)的領(lǐng)軍人物,華為在2013年9月推出了USG6000系列下一代防火墻,覆蓋1G~40G的廣泛應(yīng)用場(chǎng)景。它能從用戶(hù)、應(yīng)用、時(shí)間、內(nèi)容、威脅、位置6個(gè)維度進(jìn)行綜合訪(fǎng)問(wèn)控制,并識(shí)別業(yè)界最多的6000+應(yīng)用;除傳統(tǒng)的防火墻和VPN功能外,USG6000還集成了IPS、AV、DLP、Anti-DDoS、帶寬管理、URL過(guò)濾、上網(wǎng)行為控制等全面的防護(hù)功能;采用獨(dú)家的Smart Policy技術(shù),能幫助管理員快速部署安全策略并持續(xù)智能地進(jìn)行優(yōu)化和精簡(jiǎn);由于采用了專(zhuān)門(mén)的硬件加速和先進(jìn)的IAE引擎,USG6000開(kāi)啟IPS和AV后最高性能可達(dá)到20Gbps,能滿(mǎn)足絕大多數(shù)企業(yè)的需要。在上市一年的短短時(shí)間內(nèi),USG6000已經(jīng)服務(wù)于全球120+各行業(yè)用戶(hù),累計(jì)發(fā)貨量超過(guò)5000臺(tái)。