四年,,從聲名鵲起到走向成熟,從高高在上的企業(yè)級(jí)專(zhuān)屬到日漸形成落戶(hù)千萬(wàn)家之勢(shì),,下一代防火墻(NGFW)伴隨著爭(zhēng)議成長(zhǎng),,伴隨著低價(jià)普及。
四年過(guò)去了,,下一代防火墻已成大勢(shì),,但市場(chǎng)中對(duì)其解讀方式卻越來(lái)越多,也愈發(fā)復(fù)雜,。隨著時(shí)間的流逝,越來(lái)越多的廠商舉起了NGFW的大旗,,也讓這個(gè)市場(chǎng)變得更加混亂,。而這些混亂,一方面源自產(chǎn)品質(zhì)量的參差不齊,,另一方面一個(gè)重要原因是對(duì)于Gartner經(jīng)典定義的“發(fā)揚(yáng)光大”,。對(duì)于NGFW中應(yīng)該包括和不該包括的功能,眾廠商均持有不同意見(jiàn),。
今年又有幾家國(guó)內(nèi)廠商陸續(xù)發(fā)布了NGFW產(chǎn)品,,至此國(guó)內(nèi)網(wǎng)絡(luò)安全廠商全面擁抱NGFW。而在之前發(fā)布NGFW的廠商,也不斷向其產(chǎn)品中添加新的功能(比如定位僵尸主機(jī)或DLP相關(guān)),。且不論其是否符合NGFW的發(fā)展方向,,至少在創(chuàng)新這一點(diǎn)上比拉大旗扯虎皮者強(qiáng)得多。
便宜沒(méi)好貨?未必!
下一代防火墻的價(jià)格目前還處于居高不下的階段,,主要是由于下一代防火墻的研發(fā)成本和硬件成本都較高,,以某國(guó)際知名下一代防火墻提供商的產(chǎn)品為例,使用了Intel,、FGPA和ASIC三種不同的硬件芯片來(lái)分?jǐn)倶I(yè)務(wù)處理壓力,,同時(shí)國(guó)內(nèi)也有幾家知名安全廠商采用了相似的Intel搭配MIPS的混合架構(gòu)模式來(lái)提升NGFW產(chǎn)品的穩(wěn)定性和處理能力,多芯片分布式處理的情況會(huì)在初期對(duì)產(chǎn)品價(jià)格有明顯的提升,。因?yàn)楦骷覐S商的銷(xiāo)量還不足以攤平其前期投入成本,,因此現(xiàn)階段無(wú)法提供親民的價(jià)格也屬情理之中。但是也有一些NGFW產(chǎn)品采用了最新的Intel DPDK架構(gòu),。采用通用處理器的優(yōu)勢(shì)就在于在前期可以有效控制研發(fā)成本,,從而降低前期產(chǎn)品售價(jià)。
誠(chéng)然,,部分下一代防火墻由于硬件成本的問(wèn)題導(dǎo)致價(jià)格虛高,,但是也有個(gè)別廠商在使用通用芯片架構(gòu)配以服務(wù)模式來(lái)提升產(chǎn)品性?xún)r(jià)比,通過(guò)向用戶(hù)收取整套服務(wù)費(fèi)用的策略銷(xiāo)售下一代防火墻,,而不是將產(chǎn)品的初期高昂成本附加到用戶(hù)頭上,,打破了傳統(tǒng)“賣(mài)盒子”的模式,很大程度上降低了用戶(hù)采購(gòu)成本,。
當(dāng)然,,在實(shí)際采購(gòu)過(guò)程中,用戶(hù)購(gòu)買(mǎi)時(shí)更重要地還是看功能模塊,。因此,,在NGFW的功能授權(quán)方面,雖然NGFW的應(yīng)用識(shí)別是與防火墻深度集成,,卻不是所有的NGFW提供商在銷(xiāo)售產(chǎn)品時(shí)都能將應(yīng)用識(shí)別的授權(quán)向用戶(hù)免費(fèi)開(kāi)放,。因此,如果用戶(hù)采購(gòu)了需要單獨(dú)付費(fèi)的NGFW產(chǎn)品,,那么無(wú)異于提升了其采購(gòu)成本,。筆者認(rèn)為,應(yīng)用感知和控制需要與防火墻固化,,不應(yīng)存在具有應(yīng)用感知和不具備應(yīng)用感知兩種交付形態(tài),。對(duì)于NGFW來(lái)說(shuō),根本就不應(yīng)該存在這個(gè)問(wèn)題,,但現(xiàn)實(shí)還是被廠商搞混淆了,。采購(gòu)時(shí)應(yīng)注意應(yīng)用感知和控制功能是否需要另付費(fèi),,或是打包到其他功能模塊中付費(fèi),以免產(chǎn)生不必要的投入,。
Gartner定義的NGFW部署在對(duì)延遲敏感的大型企業(yè)網(wǎng)絡(luò)環(huán)境中,,這是區(qū)別于用在SMB的UTM的一個(gè)因素,但是卻有個(gè)別廠商將NGFW產(chǎn)品主要定位于中小企業(yè)市場(chǎng),。筆者認(rèn)為,,若是能夠做出性?xún)r(jià)比很高的產(chǎn)品,對(duì)于價(jià)格敏感的中小企業(yè)也是個(gè)福音,,還能促使NGFW更加普及,,使其成為防火墻的真正替代者,而不只是部分替代,。其實(shí)不論是大企業(yè)還是中小企業(yè),,都是在乎TCO的。如果NGFW能夠有效地降低部署成本,,同時(shí)又可以提升安全性,,那么何樂(lè)而不為呢?
漢王科技是NGFW的用戶(hù)之一,對(duì)于漢王科技這樣的上市企業(yè),,并且是創(chuàng)造高智力附加值產(chǎn)品的企業(yè)來(lái)說(shuō),,保障信息系統(tǒng)安全是信息部門(mén)日常工作的第一要?jiǎng)?wù)。在信息安全治理方面,,既要滿(mǎn)足監(jiān)管單位的合規(guī)性要求,,又要充分識(shí)別、抵御威脅,,降低信息資產(chǎn)暴漏的風(fēng)險(xiǎn),。因此他們對(duì)于網(wǎng)絡(luò)的整體安全性要求是很?chē)?yán)格的。漢王科技股份有限公司信息技術(shù)部IT運(yùn)維負(fù)責(zé)人李錦毅講道:“對(duì)于核心服務(wù)器區(qū)的安全防護(hù),,要求安全設(shè)備必須在保證高性能的前提下提供網(wǎng)絡(luò)攻擊防護(hù),、入侵防御、病毒防護(hù),、URL過(guò)濾等一體化的安全防御解決方案,。而在互聯(lián)網(wǎng)邊界處,除了要求提供全面的安全防御以外,,還要對(duì)辦公網(wǎng)用戶(hù)的外發(fā)信息做到精細(xì),、嚴(yán)格的控制,僅允許用戶(hù)向互聯(lián)網(wǎng)上的可信目標(biāo)發(fā)送文件,,嚴(yán)防敏感數(shù)據(jù)泄漏”。
漢王科技股份有限公司信息技術(shù)部IT運(yùn)維負(fù)責(zé)人李錦毅
李錦毅補(bǔ)充道:“在實(shí)際測(cè)試過(guò)程中,,給我們留下深刻印象的是網(wǎng)康NGFW在開(kāi)啟入侵防御,、病毒防護(hù),、URL過(guò)濾、數(shù)據(jù)防泄漏等安全功能后,,同樣還能保證很高的數(shù)據(jù)轉(zhuǎn)發(fā)性能,,這與我們先前曾使用過(guò)的UTM產(chǎn)品有著天壤之別”。
“看得見(jiàn)”才能更安全
“你不能保護(hù)你所不知道的”是安全圈的一句名言,。但遺憾的是,,雖然防火墻的功能越來(lái)越強(qiáng)大,但是仍然會(huì)產(chǎn)生越來(lái)越多的“不為人知”的信息,。網(wǎng)康科技市場(chǎng)部產(chǎn)品市場(chǎng)經(jīng)理熊瑛談道:“在安全建設(shè)過(guò)程中,,管理比技術(shù)上的控制更加重要,但是管理需要有技術(shù)手段提供強(qiáng)有力的支撐,。幾乎所有的技術(shù)人員在面對(duì)由傳統(tǒng)安全設(shè)備輸出的單調(diào),、重復(fù)、難懂的日志和報(bào)表時(shí),,都在為如何將它們與安全風(fēng)險(xiǎn)聯(lián)系在一起而面露難色,。”
網(wǎng)康科技市場(chǎng)部產(chǎn)品市場(chǎng)經(jīng)理熊瑛
NGFW完全基于應(yīng)用層構(gòu)建安全,可幫助網(wǎng)絡(luò)管理者深入地看到數(shù)據(jù)傳輸中人,、應(yīng)用和內(nèi)容的情況,。此外,在對(duì)大量行為信息收集的基礎(chǔ)之上,,可在同一頁(yè)面通過(guò)一系列的單次點(diǎn)擊就可以完成數(shù)據(jù)的挖掘和鉆取,,并且提供了基線對(duì)比的方式,能夠以時(shí)間,、流量,、威脅為維度,對(duì)比出當(dāng)前與同一歷史時(shí)間段的差異,,幫助管理者了解網(wǎng)絡(luò)的變化趨勢(shì),,分析可疑行為。這無(wú)疑可以幫助管理員“看得更透”,。
北京藍(lán)星環(huán)境工程有限公司是中國(guó)藍(lán)星(集團(tuán))總公司在北京唯一一家子公司,,2005年開(kāi)始大規(guī)模建設(shè)信息系統(tǒng),到目前70%~80%的無(wú)形資產(chǎn)均以數(shù)據(jù)的形式保存在應(yīng)用服務(wù)器上,。該公司CIO胡振環(huán)講道:“我們也曾使用過(guò)一些安全設(shè)備,,不過(guò)坦率地講,傳統(tǒng)的設(shè)備所呈現(xiàn)出的各種日志總是很難讀懂,,尤其是我們并不能很好地把網(wǎng)絡(luò)語(yǔ)言翻譯為業(yè)務(wù)語(yǔ)言,,將某一個(gè)攻擊事件與業(yè)務(wù)風(fēng)險(xiǎn)相掛鉤。即便有時(shí)設(shè)備報(bào)出發(fā)現(xiàn)了網(wǎng)絡(luò)攻擊行為,,我們還是很難了解到攻擊事件發(fā)生的整個(gè)過(guò)程,。幾個(gè)月前我們上線了一款NGFW設(shè)備,,第一感覺(jué)是這款防火墻提供了非常豐富的可視化界面,有各種形式的監(jiān)控和報(bào)表直觀地呈現(xiàn)給用戶(hù),。登錄設(shè)備管理界面,,我們就可以輕松地看到網(wǎng)絡(luò)中的流量構(gòu)成。印象比較深刻的是還可以看到IP地址所屬的國(guó)家或地區(qū),。這些在先前我們所使用的設(shè)備中是看不到的,。”胡振環(huán)還強(qiáng)調(diào)說(shuō):“下一代防火墻強(qiáng)大的可視化功能,讓我們通過(guò)直觀的查看和簡(jiǎn)單的點(diǎn)擊,,就能及時(shí)發(fā)現(xiàn)隱蔽性很強(qiáng)的攻擊,,實(shí)現(xiàn)了更加主動(dòng)的防御,我想這也體現(xiàn)了下一代防火墻帶給我們的變革,。”
北京藍(lán)星環(huán)境工程有限公司CIO胡振環(huán)
中國(guó)自動(dòng)化集團(tuán)有限公司網(wǎng)絡(luò)信息化主管儲(chǔ)可與筆者分享了他在運(yùn)維中使用NGFW的經(jīng)驗(yàn),。他說(shuō):“在我們的日常辦公中,使用QQ進(jìn)行溝通是非常普遍的,,但根據(jù)公司的信息安全策略,,使用QQ及其他即時(shí)通信軟件進(jìn)行文件傳輸?shù)男袨槭遣槐辉试S的,而網(wǎng)康NGFW對(duì)QQ子功能的支持多達(dá)9種,。有了如此深入的識(shí)別能力,,我們就可以通過(guò)設(shè)置訪問(wèn)控制策略,靈活地實(shí)現(xiàn)對(duì)QQ及其他即時(shí)通信軟件文件傳輸行為的禁止,,而僅開(kāi)放這些軟件文本聊天的功能,。”
向復(fù)雜說(shuō)再見(jiàn)
“由于價(jià)格和管理復(fù)雜度的問(wèn)題,目前很多中小企業(yè)都處于裸奔狀態(tài),,或是只把下一代防火墻當(dāng)做流控或傳統(tǒng)防火墻使用,。雖然很多產(chǎn)品銷(xiāo)售出去了,但是卻并沒(méi)有發(fā)揮出應(yīng)有的作用,,這不是一件安全業(yè)界值得慶幸的事情,。也就是說(shuō),目前下一代防火墻的產(chǎn)品和技術(shù)并沒(méi)有真正地為廣大需要它的客戶(hù)去服務(wù),,這是我們需要努力改進(jìn)的一個(gè)方向,。” 網(wǎng)康科技高級(jí)市場(chǎng)經(jīng)理嚴(yán)雷如是說(shuō)。
網(wǎng)康科技高級(jí)市場(chǎng)經(jīng)理 嚴(yán)雷
傳統(tǒng)安全設(shè)備的組合,,比如防火墻,、IPS、AV等設(shè)備的日志信息只將其羅列出來(lái),,對(duì)于普通IT運(yùn)維人員想要分析清楚,,從中得到有價(jià)值的信息可謂比登天還難。傳統(tǒng)的報(bào)表型日志閱讀難度高,,分析起來(lái)更加無(wú)從入手,。這樣的情況下,,對(duì)于多數(shù)人來(lái)說(shuō),安全還算是什么呢?
從傳統(tǒng)安全角度講,,每一個(gè)設(shè)備從自己的角度出發(fā),產(chǎn)生日志報(bào)表,,可是不同設(shè)備,、不同安全引擎之間并沒(méi)有聯(lián)動(dòng)起來(lái),使彼此對(duì)安全情況的認(rèn)知不能交流,,這就使得我們無(wú)法了解整個(gè)網(wǎng)絡(luò)安全的全貌,。
NGFW改善了以往獨(dú)立IPS產(chǎn)品對(duì)于事件記錄挖掘不深,無(wú)法提供給安全運(yùn)維人員友好的報(bào)表顯示等頑疾而受到了眾多IT人員的歡迎,。在NGFW中,,對(duì)于安全事件的深度挖掘是相當(dāng)重要的?;诖罅咳罩居涗浀年P(guān)聯(lián)分析來(lái)給運(yùn)維人員提出安全性建議,,無(wú)疑會(huì)加快安全問(wèn)題的定位和解決的速度,某種程度上還能防患于未然,。
胡振環(huán)通過(guò)一個(gè)親身經(jīng)歷的攻擊事件向筆者講述了NGFW可視化體驗(yàn),。他說(shuō):“NGFW設(shè)備上線后,我們通過(guò)可視化界面中的色塊顯示,,發(fā)現(xiàn)網(wǎng)絡(luò)中的高風(fēng)險(xiǎn)流量占比很大,,引起了我們的懷疑,通過(guò)鼠標(biāo)的一系列點(diǎn)擊,,發(fā)現(xiàn)內(nèi)網(wǎng)的一臺(tái)數(shù)據(jù)庫(kù)服務(wù)器被境外IP頻繁訪問(wèn),,我們隨即調(diào)整了安全策略,切斷了所有異常連接,。所有的操作都通過(guò)簡(jiǎn)單的點(diǎn)擊完成,,十分方便。”
可視化技術(shù)的初衷是為了提供直觀,、簡(jiǎn)單的信息,,為管理策略的調(diào)整提供技術(shù)支撐。傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備輸出的日志,、報(bào)表,,多以IP、連接,、帶寬為維度,,縱使統(tǒng)計(jì)全面,數(shù)據(jù)充分,,但仍然很難幫助網(wǎng)絡(luò)管理者了解網(wǎng)絡(luò)的變化趨勢(shì),,只是能被少數(shù)既精通技術(shù)又了解業(yè)務(wù)的專(zhuān)家所讀懂,。
NGFW的發(fā)展與異化
下一代防火墻把檢測(cè)的高度提升到應(yīng)用層,按照目前互聯(lián)網(wǎng)發(fā)展情況看,,應(yīng)用層上不論攻擊還是防護(hù),,可做的事情都太多了。因此下一代防火墻給了廠商更多的機(jī)會(huì)和主動(dòng)權(quán),,大家可以在下一代防火墻的經(jīng)典定義之上做更多的事情,,尤其是在各自擅長(zhǎng)的領(lǐng)域中能有突破性創(chuàng)新。
雖然NGFW做得越來(lái)越像UTM,,但也只是貌似而已,,我們?nèi)匀豢梢栽诓煌瑥S家的NGFW產(chǎn)品中看到他們本來(lái)的面貌。像網(wǎng)康這樣生于應(yīng)用層的新興NGFW廠商,,主打功能自然聚焦在應(yīng)用層,。例如能夠基于用戶(hù)的應(yīng)用控制和資源分配等等。NGFW 其實(shí)并不神秘也不復(fù)雜,,只是將防火墻原本的訪問(wèn)控制提升到應(yīng)用層面,,同時(shí)固化了應(yīng)用識(shí)別特性,所以才不叫下一代UTM ,。
網(wǎng)康科技CEO袁沈鋼
對(duì)于產(chǎn)品的發(fā)展走向,,網(wǎng)康科技CEO袁沈鋼表示:“下一代防火墻最大的特點(diǎn)是以人容易理解的方式展現(xiàn)出整體網(wǎng)絡(luò)活動(dòng),也就使人具有了洞察力,。NGFW在很大程度上發(fā)揮了人的判斷力,、理解力和知識(shí)等各方面的能力來(lái)做更多、更準(zhǔn)確的判斷,。如果是傳統(tǒng)防火墻和UTM,,會(huì)把這些信息割裂,產(chǎn)生大量的碎片化信息,,讓人很難理解,。而NGFW則是向人來(lái)展現(xiàn)各種相關(guān)聯(lián)的信息。NGFW會(huì)展現(xiàn)風(fēng)險(xiǎn)程度,,以及產(chǎn)生風(fēng)險(xiǎn)的原因,,從而幫助人進(jìn)行快速判斷,使人具有洞察力,。因此,,NGFW的發(fā)展方向?qū)⑹浅掷m(xù)地對(duì)于新生安全威脅、防護(hù)方法等知識(shí)的積累,。在這個(gè)基礎(chǔ)之上,,加入更多的數(shù)據(jù)分析和挖掘,使之變得更智能,最終使人具有更強(qiáng)的洞察力和識(shí)別能力,。這也是網(wǎng)康下一步需要更加發(fā)力的方向,。