既然要买防火墙,为什么不选择“下一代”防火墙呢?
发表日期:2016-03-18 17:33:09
前些日子,跟一个客户谈一笔防火墙生意,一切进展顺利。会议快结束时候,随口问了一句:您为什么要选择购买下一代防火墙?在提这个问题时候,我设想了几种客户可能会给的答案,类似性价比高,安全性高,性能强……但是客户最终的回答却出乎我意料:既然要买防火墙,为什么不选择“下一代”防火墙呢?客户这个反问式的回答出乎我意料,做一个简单类比就是如果你现在选择够买苹果手机,新版iPhone SE来了,你还会去选择买一个4S吗?这个逻辑看似简简单明了,但问题是如何购买一款真正下一代防火墙?
尤其是这几年,国内很多厂商纷纷推出了自己的下一代防火墙,其中不乏“巧借名目”和“抢占高地”者。研究这些产品资料也不难看出,此类产品与传统防火墙相比只是换汤不换药,在其技术特性中根本读不到任何NGFW的基因,只是将几年前推出的传统防火墙冠以“NG”开头的名称而已。这个时候就需要我们客户有一双慧眼,能够识别出真正的下一代防火墙,能够认清传统防火墙,UTM,下一代防火墙之间差别。
下一代防火墙 ≠ (传统防火墙+ 应用可视)
“下一代”这似乎是个饱含炒作意味的词汇,但是它代表了多功能、高性能,也是对于传统设备软件和硬件技术的革新。顾名思义有“下一代”必然有上一代,也就是传统防火墙。
根据Gartner的定义,最初下一代防火墙只是强调应用识别、深度集成IPS等基础能力,而之后一段时期则开始关注管理分析能力、性能、抗攻击逃逸能力的提升,未来一段时间内,随着以威胁情报、大数据等为代表的前沿安全技术的成熟,则开始强调与这些外部智能系统、其他安全产品的联动协同。因此,相较于传统防火墙,NGFW会以全局视角解决用户网络面临的实际问题,不是简单的功能堆砌和性能叠加,而是真正的集成,贴切网络环境与用户需求。
从Gartner对NGFW定义这张图看,“下一代防火墙”安全能力内涵和外延,早已远远超过二十多年前定义“防火墙”品类时所界定的范畴,下一代防火墙应该是边界防御领域一个新的产品品类,只是截至目前,尚未想到更好的概念名词去描述它。因此下一代防火墙极大程度不是某些厂商宣传一样,约等于传统防火墙加上应用可视化这么简单。
更何况,近年来一些厂商将越来越炫酷的UI界面或各类TOP 10排名灌之以深度可视化的名头,这是典型的将visualization理解成了visibility。可视化不是简单的将数据图形化呈现,不是日志信息的简单分类和归集,而是深度挖掘这些原始数据素材之后的内在关联,以全局视角帮助网络管理者看清各种威胁,看清攻击事件的全貌,帮助了解攻击者的真正意图和目标。
下一代防火墙 ≠UTM
另外,说到下一代防火墙和UTM的差别,必须要澄清一个概念,“下一代防火墙” 并不是前些年市场上流行的“统一威胁管理(UTM)”。
UTM诞生的时间更早,推向市场的背景是为了降低中小企业用户以及低预算用户的总体拥有成本,所以UTM在防火墙平台的基础上集成了尽可能多的安全功能,可能包括上网行为管理、入侵防御、Web攻击防护、病毒防护、垃圾邮件过滤、URL过滤等功能。在未来,UTM仍然会不断的集成更多新的安全功能,而这样的产品设计很难避免多功能堆砌的架构,这决定了UTM性能可预测性差、功能融合度低等技术特点。
相比而言,下一代防火墙的定义中明确指出,它并不是仅面向中小企业的“多功能防火墙”,NGFW必须要适应大企业环境的要求。尽管NGFW也集成了IPS、AV等安全功能,但并不是以提升产品性价比为主要目的。这种集成不是功能模块和引擎的堆砌,而是一种深度的集成,将各种安全功能融入一个独立的架构中,而不是简单的将多个安全设备堆叠到一起,塞进叫防火墙的外壳里。这一切的主要目的,则是为了提升安全检测效率和安全防护水平。
所以,NGFW不是像UTM那样简单的扩展功能模块,此外各安全模块也不像UTM那样各自为战,而是各安全模块间可开展有机联动,各模块产生的信息可实现全维度关联,使NGFW具备强大的模块间安全协同能力和威胁情报聚合能力。举个简单类比,UTM功能集合更像是简单的1+1=2甚至是1+1<2,而NGFW则是1+1>2。
大家可能都听说过一个和尚挑水喝,两个和尚抬水喝的故事,这个故事除了告诉我们分配制度重要性以外,还有一个寓意就是1+1可能小于2,从左图中我们也可以看出一个和尚的挑水量是两个和尚挑水量的两倍。而UTM正如右图显示那样,它虽然堆砌式地集成了很多功能,但是集成各个功能都不完善,都有其不可逃避的缺陷。设想几个并不太完整的功能简单叠加在一起,不正犹如一个瞎子背着瘸子过河一般吗?这显然是不可能快速过河,甚至两个人都会掉进河里。这张图就是对UTM性能可预测性差、功能融合度低的较好体现。
下一代防火墙选型知多少?
如今的市场上有不少厂商都宣称自己是下一代防火墙,如何选择一款真正下一代防火墙还是一个复杂工作。笔者建议从下面几个下一代防火墙标签进行考虑:
下一代防火墙的几个比较显著的标签是:基于应用层构建安全、主动防御、多威胁检测机制智能融合,与这些标签相对应的参数或考量标准主要体现在以下几点:应用识别的广度和深度以及与本土用户使用习惯的契合度;可视化及智能分析的能力和操作体验;功能全开启后的性能以及性能衰减趋势。具体来说,企业在选型时候需要重点关注下一代防火墙几个方面的表现:
首先是应用识别的能力:既要广度更要深度
识别的广度和深度是应用识别较重要的指标,也是下一代防火墙区别于传统防火墙的重要特征。在应用识别广度方面,业界先进的NGFW产品应用识别数量基本在3000以上。类似网康等专注于应用领域技术的厂商,目前应用识别数量应该都在4000以上。除了识别数量足够广之外,识别深度也更为重要。例如,企业可能会仅允许QQ聊天,但禁止QQ游戏;对跑在HTTP上的应用,能够精准识别出该应用的具体用途;同时,能够从逃逸,带宽等多个维度去判断应用属性是否安全,比如限制P2P等流量耗费型且安全性不高的应用带宽。同时,应用识别的结果还将提高后期智能联动的防护效率,例如:SQL Server流量仅和SQL Server相关特定漏洞进行IPS防护,从而提升性能,降低误报率。
其次是功能与性能兼备:功能完备性不能以显著的性能衰减为代价
下一代防火墙至少应融合IPS的防护,同时各厂家根据各自的理解还集成了其他更多的功能,但是有的厂商集成过多功能,甚至是集成Web应用防火墙这样产品功能,严重导致NGFW性能下降,甚至出现死机现象。因此客户在选择产品时千万不能仅看到功能的全面性,却忽视了开启这些功能后的性能衰减。不然后期只能被迫禁用一些应用层防护的功能模块,导致下一代防火墙变成了传统防火墙或者UTM。业内权威机构认为,卓绝的下一代防火墙产品开启IPS功能后整机性能下降不应超过50%。
最后是可视化(visibility)和智能分析能力
随着网络快速发展,各式各样复杂威胁层出不穷,用户需要更加及时的掌握网络现状、风险、威胁、事件以及防御效果等用于支撑安全决策。这就需要下一代防火墙具备良好的可视化和智能分析能力,帮助用户看得清威胁,防得住攻击。因此,真正的“可视化智能管理”应该是在多维统计的基础上加以深入的分析,从应用和用户视角多层面的将网络应用的状态展现出来。同时,通过引入外部威胁情报,实现安全态势感知和风险预测功能,解决单机设备与生俱来的短板,以帮助用户更加快速的了解网络风险并及时部署防御措施。总而言之,看得清,看得全,看得透,才能让安全看得见!