2009~2019 防火墙的过去5年和未来5年
发表日期:2014-11-06 19:12:00
随着网络安全问题日益突出并且已上升至国家战略高度,当前所有的企业和机构均在加强网络安全防护。在众多安全产品中,防火墙可谓是一棵经久不衰的常青树,自90年代末引入国内以来,长期活跃在安全市场上。
据IDC研究数据显示,2013年防火墙和统一威胁管理(UTM,在IDC的定义中泛指融合多种安全功能的综合性安全网关产品)依然是中国安全市场中的生力军,其市场份额分别占到了整体IT安全硬件市场的34.9%和25.7%,两项占比之和超过60%。换言之,泛防火墙类产品仍然是当前国内用户进行安全建设时的推荐设备。
防火墙的发展简史
根据定义,防火墙是部署于不同网络安全域之间的一系列技术防御措施,禁止非授权的访问以及阻断恶意连接,是其核心的两项功能。安全专家认为,相比其它安全产品,防火墙的优势在于功能明确,即对网络流量执行放行或阻断,因此用户往往对于防火墙有着明确的功能预期,而防火墙产品也有比较可靠的功能实现。明确的预期和可靠地实现使得防火墙成为用户心中值得信赖、好用的安全产品。
事实上,安全环境始终在快速变化,防火墙为了确保其功能预期的可靠实现,也从未停止过自身的演进。防火墙技术起步较早,最早的防火墙技术仅仅是与路由器结合的包过滤功能,而后又发展至应用代理、状态检测等。90年代末,防火墙被首次引入国内,从技术代级上划分,当时的防火墙技术已经发展至第四代,即状态检测防火墙。
中国市场上的防火墙演进之路
随着主流网络威胁由网络层、传输层向应用层迁移,业界又先后定义出了统一威胁管理、下一代防火墙等具备更多高级功能的防火墙类产品,并逐步在用户端走向普及。
2009 “下一代防火墙”横空出世
在防火墙发展的历史长河中,2009年是一个重要的时间节点,在那年“下一代防火墙”的定义被首次提出,这也是防火墙产品距离今天的一次代级演进。
如同防火墙产品的历次升级一样,下一代防火墙的提出在当时同样具有其特定的历史背景。一方面,随着各类应用的迅猛发展和广泛运用,当时的网络管理者似乎在一夜之间发现,传统的防火墙技术已无法对主流的应用流量进行精确的管理和控制,各种使用TCP80端口的非Http应用可以轻松绕过传统防火墙的访问控制策略。而更为严重的是,网络中的主流威胁似乎全部学会了乔装打扮,肆虐网络的病毒、蠕虫、木马等攻击,无不将自己隐藏在看似正常的数据包中传播,而传统防火墙无异于被蒙上双眼的哨兵,对于此类威胁毫无感知,更谈不上防御。
访问控制完全失灵、新型攻击轻松绕过,传统防火墙长期赖以维持用户信任的两项核心功能几乎同时失效,下一代防火墙就此应运而生。2009年,权威机构在一份报告中首次提出了下一代防火墙概念,并描述出了其基本的能力模型。
按照最初的定义,下一代防火墙需要具备传统防火墙的所有功能,融合可与防火墙联动的入侵防御(IPS)模块,能够进行应用识别、控制并实现可视化,同时还可与防火墙以外的系统(如用户认证系统、URL过滤系统等)进行智能化联动。
然而,下一代防火墙在定义之初的几年里却饱受争议,产品专家认为,概念提出比较超前、产品跟进相对落后是其根因。不过无论如何,新产品形态的定义毕竟在很大程度上代表了用户需求的转变,在随后几年,下一代防火墙得到了国内外安全厂商的热捧,纷纷推出了自己的下一代防火墙产品,一时间市场上俨然一副山雨欲来风满楼的景象。
2009~2014下一代防火墙从概念回归本质
什么才是真正的下一代防火墙?这是在其定义之初所有用户都会问到的问题,甚至到今天,还有很多用户并不了解“下一代防火墙”到底算一个技术名词,还是概念的炒作。
其实,2009年定义的下一代防火墙,只是一个功能框架和低标准,对于技术实现的描述是比较模糊的。但这却给了众多安全厂商“自由发挥”的空间,有的以性能强标榜自己是下一代,有的以能够防御Web攻击标榜自己是下一代,更有甚者,直接将原有产品的型号冠以“NG”字样便标榜为下一代。从某种意义上说,中国下一代防火墙市场的发展,是在概念的争斗中开始的。
有专家指出,下一代防火墙从价值取向上讲与先前几代并没有本质变化,同样应当归属在防火墙的品类中。因此,假若抛开所谓的概念,能否进行精确的访问控制、能否有效抵御主流威胁的评判标准,对于下一代防火墙的优劣对比同样适用。
近日,著名咨询机构IDC联合国内推出下一代防火墙的网康科技,共同发布了《中国下一代防火墙发展趋势研究》白皮书。根据白皮书观点,下一代防火墙应该具备传统企业级防火墙的全部功能,如基础的包过滤、多层状态检测、NAT、VPN等功能,以及面对一切网络流量时保持高稳定性和可用性。在此之上,下一代防火墙还必须要具备深度的应用识别和控制、用户控制、终端及内容控制、一体化引擎多安全模块智能数据联动、灵活的功能扩展选择和外部安全智能,如云计算及大数据分析技术。
IDC、网康联合发布《中国下一代防火墙发展趋势研究》白皮书
从白皮书中不难发现,本次IDC对于下一代防火墙的解读,进一步提出了更加具体的技术要求。例如,IDC认为,下一代防火墙的访问控制应当关注应用、用户、终端、内容,而非先前仅仅强调的应用、用户控制;下一代防火墙为了实现安全功能间的联动以及安全信息的关联,应当使用一体化引擎架构;下一代防火墙应当可以和云计算、大数据等系统进行智能联动以提升其安全防护能力等。
种种迹象均在表明,随着用户的逐步接受和认可,无论从市场需求还是产品能力上,下一代防火墙已经进入了快速增长并不断创新发展的阶段,下一代防火墙市场的激烈竞争已经由概念之争回归到了产品能力的比拼上。
未来——市场潜力巨大 技术创新不止
白皮书指出,下一代防火墙对传统防火墙和UTM的替换正在快速进行。根据IDC研究数据显示,2013年,下一代防火墙占总体防火墙和UTM市场的32%。随着市场对下一代安全网关的需求增加,预计到2018年,这一比例将达到80%,2013到2018年的5年复合增长率超过40%。
IDC同时预测,由于IT安全威胁趋势的变化,市场对下一代防火墙将会有更高的要求。从未来的发展趋势来看,下一代防火墙势必将会在应用识别技术、整合威胁情报应对未知威胁等方面做出进一步的技术创新。
IDC认为,用户对于访问控制的精度需求将会更加严苛,未来访问控制的模式势必将从现有的黑名单模式过渡至白名单,这就要求下一代防火墙的应用识别能力需要进一步提升,不但要尽可能多的识别应用,还要能够对平台化应用的子功能进行更深入的识别。此外,对于加密流量的解密、隧道封装流量的内容识别同样是下一代防火墙在未来应当关注的。
同时,网络威胁和新的挑战在陆续增加,APT攻击在持续扩大和强化,未来未知攻击会越来越多,并且非常隐蔽。安全防御的模式将从被动式防御向着更主动的方式过渡,甚至在未来实现威胁预知。作为下一代防火墙,提供更加丰富的信息收集和分析,整合威胁情报(Threat Intelligence)到现有的信息安全计划中,可以加强威胁评估,并帮助企业利用这些信息在攻击启动之前就尽早部署防御措施。
白皮书中还特别强调,企业安全防护水平的高低,并不全部由其部署了多少安全产品或是否部署了高技术产品所决定,安全防护的有效性取决于配置和监控这些技术的人员,管理员必须学会如何有效地利用新型技术,让它们真正提供额外的保护。因此,无论是出于降低部署难度,还是提升安全管理效率,在信息安全专业人才紧缺的大环境下,安全产品必将更加强调用户体验。
此外,移动互联网下的安全防护、安全防御技术的不断丰富以及产品性能的持续提升,也将是下一代防火墙在未来发展中所将关注的方向。
在下一代防火墙市场如火如荼的竞争格局中,IDC分析师建议用户明辨真假需求,牢牢把握住新一代网络安全的攻防特征。在选择下一代防火墙产品时,重点关注其应用层吞吐性能、应用识别能力、安全防护能力以及可视化智能管理能力,同时从厂商基因、技术实力、战略投入及服务等多方面综合审视,做出合理、优化、正确的选择方案。