您的位置: 网界网 > 周报全文 > 正文

[周报全文]防火墙的下一代思考

2011年12月28日 17:40:45 | 作者:网界网 林洪技 柴莎莎 | 来源:网界网 | 查看本文手机版

摘要:下一代防火墙的概念自提出以来,在2011年的上半年忽然达到了顶峰,国内外的安全厂家相继推出了自己的下一代防火墙产品。但热潮退去,下一代防火墙市场逐渐趋于冷清。与此同时,市场上也出现了一些质疑的声音。

标签
下一代防火墙

每一家下一代防火墙厂商都推出了各具特色的应用识别技术。例如梭子鱼的产品经理潘渊介绍,其NGFW可以为用户提供基于应用识别的流量管理,对于企业网链路和VPN隧道中的业务都能做到流量优先级定义。深信服产品经理王帆则表示其NGAF产品可以充分理解国内本土化的应用,基于应用做到流量管控,保障关键流量。SonicWALL中国研发中心总经理陈中也表示针对应用识别,SonicWALL的下一代防火墙产品可以为用户提供应用智能、应用控制和应用可视化等功能。而Check Point中国区技术经理刘刚则认为,其NGFW产品涵盖了从网络层至应用层的所有防护功能,其对应用的控制更是能够达到精细粒度。天融信总工程师吴亚彪也认为NGFW更注重在Web2.0时代的客户体验,比如采用客户化的GUI,多核CPU并发处理等。随着企业的发展,需要更主动、更直观、更定制化、性能更高的安全产品,这是NGFW的特点。对于企业来说,NGFW更贴合现有网络环境,对企业业务保护更加全面,这已经逐渐得到了大型企业的认同。

与传统的防火墙相比,下一代防火墙最主要的特征就是对于应用层安全的保障。作为防火墙厂商,山石网科产品经理贾彬认为,下一代防火墙基于应用识别只是控制手段的增强,安全性方面可能并没有实质性的提升。黑客技术日新月异,下一代防火墙与传统防火墙还都没有做到主动防御。因此下一代防火墙依然是黑客的重点猎物,安全功能也需要加强。除了对应用的识别和传统防火墙的功能之外,下一代防火墙还需要支持与防火墙自动联动的集成化IPS、应用识别、控制与可视化、智能化联动这几个主要功能。

UTM的终结者?

下一代防火墙自出现以来,和UTM的对比之声就不绝于耳。在用户方面,往往还存在很多迷惑的地方。在此次采访中,针对UTM与下一代防火墙的区别,所有的受访对象都一致认为,下一代防火墙在未来将会取代现在的UTM设备。因为从产品结构、功能、性能等方面来看,下一代防火墙都比UTM要领先一步。

相较于传统防火墙,UTM提供了更多的安全功能,但潘渊表示,UTM的致命缺陷就是采用串行扫描方式,处理效率低下,尤其在激活了多种扫描过滤功能之后,整体的性能会使企业的网络受到极大的影响。王帆则表示,UTM只是将防火墙、IPS、AV进行简单的功能堆砌,功能全部开放时的效率非常低下。另外,UTM在防护方面也不完善,例如Web应用方面的防护就有缺失。

而陈中认为,UTM到NGFW是安全产品的进一步演化,相较于备受中小企业欢迎的UTM设备,下一代防火墙面对的用户范围更加广泛,NGFW的发展是需求推动。从技术方面,刘刚介绍了UTM和NGFW的一些区别。下一代防火墙产品之所以能够达到比UTM更高的性能和实现更多的功能,是因为其产品架构之间的根本区别。NGFW产品自设计之初就采用了一体化的引擎,而UTM只是把多种安全引擎叠加在了一起。这种做法会使数据流在每个安全引擎分别执行解码、状态复原等操作,导致大量的资源消耗。而NGFW则不同,它会一次性地对数据流完成识别、扫描,因而可以达到更高的性能。吴亚彪表示,UTM开始的设计就是针对中小企业网络的,性能受到了很大的局限。UTM的理念是不需要用户开启全部功能。NGFW拥有灵活的架构与扩充性,这主要得益于NGFW支持虚拟化,使得NGFW能够更灵活的架构。除了定制化能力外,还有一点很重要的就是硬件资源可以通过虚拟化技术进行分配。举例来说,NGFW很可能有能力将多台防火墙串连虚拟为单一的防火墙设备,或是将单台防火墙虚拟为多台小型防火墙,达到分开处理流量的效果。

虽然NGFW产品与UTM相比具有先天的优越性,但对于追求高性价比的中小企业用户来说,UTM在最近的几年中无疑还有巨大的市场潜力。作为非下一代防火墙厂商,H3C安全产品部总工李彦宾提出了比较中立的观点。他认为短期来看,下一代防火墙产品比UTM有一定的优势。但从技术的演进来看,受中小企业客户的强烈需求推动和UTM厂商自身软硬件能力的提升,或许UTM会具备一些新的功能。吴亚彪也认为,NGFW虽然有可能会取代之前的网络防火墙、IPS、UTM等产品,但这取决于用户根据自身需求和投入来选择,无论UTM还是NGFW,可能在未来一段时间内会并存下去。

1 23

参考资料

1.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]