您的位置: 网界网 > 周报全文 > 正文

[周报全文]防火墙的下一代思考

2011年12月28日 17:40:45 | 作者:网界网 林洪技 柴莎莎 | 来源:网界网 | 查看本文手机版

摘要:下一代防火墙的概念自提出以来,在2011年的上半年忽然达到了顶峰,国内外的安全厂家相继推出了自己的下一代防火墙产品。但热潮退去,下一代防火墙市场逐渐趋于冷清。与此同时,市场上也出现了一些质疑的声音。

标签
下一代防火墙

下一代防火墙与UTM究竟有何区别?它是用户的真正需求,还是安全厂商的概念炒作?通过对多家安全厂商的采访,本文将会对下一代防火墙产品的现在和未来进行阐述。

顺应时代潮流

在被问到下一代防火墙发展推动力的时候,受访者不约而同地都表示这是用户需求所趋。归纳起来,下一代防火墙产品的出现有以下几个原因:

第一,以太网标准现在已经由万兆开始向40/100G迈进,网络带宽的增长十分迅猛。另外,数据量也在呈爆炸性增长,我国各类数据中心和机房总量已经达到50余万个。无论是带宽增长还是数据增长,都对网关安全产品的性能和功能提出了新的要求。对于一些大型企业来说,网络环境趋于复杂,需要寻找新的安全解决方案来满足除了抵挡外部攻击以外的安全需求。

第二,网络环境的变化。传统的网络攻击手段一般都是基于第三层的网络层,而随着Web 2.0时代的到来,大量的应用程序都建立在了http和https等协议之上,传统的防火墙对这些应用程序却望尘莫及。基于网络层的操作,就意味着传统防火墙只能根据与数据包源地址和目标地址有关的信息来检测流量,但是对于上述的http和https流量却是无能为力。虽然现在有针对应用层的IPS设备,但是IPS却无法识别具体的应用,达不到目前用户所需的精细粒度的应用层控制,因而也无法对特定应用进行防护。

第三,自防火墙的概念诞生以来,已经经过了十几年的发展,但是可以发现,在这么长的时间里,防火墙的功能并没有根本性的改进,功能、性能方面与网络的飞速前进并不匹配。网络环境的新需求迫使防火墙进行根本性的变革。

第四,概念炒作的嫌疑。就像UTM的出现一样,下一代防火墙一出现就成了安全厂商,尤其是传统防火墙厂商占据制高点的关键。

第五,安全厂商竞相发布下一代防火墙产品,不管是否是概念炒作,也不管产品是否成熟。从市场需求来看,下一代防火墙产品的出现在很大程度上是代表了时代的潮流。传统防火墙产品的不足已是共识,新产品的出现已是必然。

应用识别成为焦点

相较于传统防火墙的网络层防护,下一代防火墙的关注重点在于对应用层的识别。目前已经推出的下一代防火墙产品,梭子鱼、SonicWALL、深信服、Check Point、锐捷、天融信等都将对应用层的识别作为推广的重点。

虽然下一代防火墙产品还没有一个统一的标准,但是大多数安全厂商都基本认同2009年Gartner提出的下一代防火墙定义。Gartner认为,下一代防火墙至少应具备以下特征:线速的处理性能;高度融合的IPS功能;应用可视与身份鉴别的能力;传统防火墙功能等四个方面。而目前的下一代防火墙厂商不约而同地将目光定位在了应用识别方面。

123

参考资料

1.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]