前些日子,跟一(yī)個客戶彙報安全方案。會議快結束時候,随口問了一(yī)句:您爲什麽要選擇購買下(xià)一(yī)代防火(huǒ)牆?在提這個問題時候,我(wǒ)設想了幾種客戶可能會給的答案,類似性價比高,安全性高,性能強……但是客戶最終的回答卻出乎我(wǒ)意料:既然要買防火(huǒ)牆,爲什麽不選擇“下(xià)一(yī)代”防火(huǒ)牆呢?客戶這個反問式的回答出乎我(wǒ)意料,做一(yī)個簡單類比就是如果你現在選擇夠買蘋果手機,新版iPhone 7來了,你還會去(qù)選擇買一(yī)個6S嗎(ma)?這個邏輯看似簡簡單明了,但問題是如何購買一(yī)款真正下(xià)一(yī)代防火(huǒ)牆?
尤其是這幾年,國内很多廠商(shāng)紛紛推出了自己的下(xià)一(yī)代防火(huǒ)牆,其中(zhōng)不乏“巧借名目”和“搶占高地”者。研究這些産品資(zī)料也不難看出,此類産品與傳統防火(huǒ)牆相比隻是換湯不換藥,在其技術特性中(zhōng)根本讀不到任何NGFW的基因,隻是将幾年前推出的傳統防火(huǒ)牆冠以“NG”開(kāi)頭的名稱而已。這個時候就需要我(wǒ)們客戶有一(yī)雙慧眼,能夠識别出真正的下(xià)一(yī)代防火(huǒ)牆,能夠認清傳統防火(huǒ)牆,UTM,下(xià)一(yī)代防火(huǒ)牆之間差别。
下(xià)一(yī)代防火(huǒ)牆 ≠ (傳統防火(huǒ)牆+ 應用可視)
“下(xià)一(yī)代”這似乎是個飽含炒作意味的詞彙,但是它代表了多功能、高性能,也是對于傳統設備軟件和硬件技術的革新。顧名思義有“下(xià)一(yī)代”必然有上一(yī)代,也就是傳統防火(huǒ)牆。
根據Gartner的定義,最初下(xià)一(yī)代防火(huǒ)牆隻是強調應用識别、深度集成IPS等基礎能力,而之後一(yī)段時期則開(kāi)始關注管理分(fēn)析能力、性能、抗攻擊逃逸能力的提升,最近及未來一(yī)段時間内,随着以威脅情報、大(dà)數據等爲代表的前沿安全技術的成熟,則開(kāi)始強調與這些外(wài)部智能系統、其他安全産品的聯動協同。因此,相較于傳統防火(huǒ)牆,NGFW會以全局視角解決用戶網絡面臨的實際問題,不是簡單的功能堆砌和性能疊加,而是真正的集成,貼切網絡環境與用戶需求。
從Gartner對NGFW定義這張圖看,“下(xià)一(yī)代防火(huǒ)牆”安全能力内涵和外(wài)延,早已遠遠超過二十多年前定義“防火(huǒ)牆”品類時所界定的範疇,下(xià)一(yī)代防火(huǒ)牆應該是邊界防禦領域一(yī)個新的産品品類,隻是截至目前,尚未想到更好的概念名詞去(qù)描述它。因此下(xià)一(yī)代防火(huǒ)牆絕對不是某些廠商(shāng)宣傳一(yī)樣,約等于傳統防火(huǒ)牆加上應用可視化這麽簡單。
更何況,近年來一(yī)些廠商(shāng)将越來越炫酷的UI界面或各類TOP 10排名灌之以深度可視化的名頭,這是典型的将visualization理解成了visibility。可視化不是簡單的将數據圖形化呈現,不是日志(zhì)信息的簡單分(fēn)類和歸集,而是深度挖掘這些原始數據素材之後的内在關聯,以全局視角幫助網絡管理者看清各種威脅,看清攻擊事件的全貌,幫助了解攻擊者的真正意圖和目标。
下(xià)一(yī)代防火(huǒ)牆 ≠UTM
另外(wài),說到下(xià)一(yī)代防火(huǒ)牆和UTM的差别,必須要澄清一(yī)個概念,“下(xià)一(yī)代防火(huǒ)牆” 并不是前些年市場上流行的“統一(yī)威脅管理(UTM)”。
UTM誕生(shēng)的時間更早,推向市場的背景是爲了降低中(zhōng)小(xiǎo)企業用戶以及低預算用戶的總體(tǐ)擁有成本,所以UTM在防火(huǒ)牆平台的基礎上集成了盡可能多的安全功能,可能包括上網行爲管理、入侵防禦、Web攻擊防護、病毒防護、垃圾郵件過濾、URL過濾等功能。在未來,UTM仍然會不斷的集成更多新的安全功能,而這樣的産品設計很難避免多功能堆砌的架構,這決定了UTM性能可預測性差、功能融合度低等技術特點。
相比而言,下(xià)一(yī)代防火(huǒ)牆的定義中(zhōng)明确指出,它并不是僅面向中(zhōng)小(xiǎo)企業的“多功能防火(huǒ)牆”,NGFW必須要适應大(dà)企業環境的要求。盡管NGFW也集成了IPS、AV等安全功能,但并不是以提升産品性價比爲主要目的。這種集成不是功能模塊和引擎的堆砌,而是一(yī)種深度的集成,将各種安全功能融入一(yī)個獨立的架構中(zhōng),而不是簡單的将多個安全設備堆疊到一(yī)起,塞進叫防火(huǒ)牆的外(wài)殼裏。這一(yī)切的主要目的,則是爲了提升安全檢測效率和安全防護水平。
所以,NGFW不是像UTM那樣簡單的擴展功能模塊,此外(wài)各安全模塊也不像UTM那樣各自爲戰,而是各安全模塊間可開(kāi)展有機聯動,各模塊産生(shēng)的信息可實現全維度關聯,使NGFW具備強大(dà)的模塊間安全協同能力和威脅情報聚合能力。舉個簡單類比,UTM功能集合更像是簡單的1+1=2甚至是1+1<2,而NGFW則是1+1>2。
大(dà)家可能都聽(tīng)說過一(yī)個和尚挑水喝,兩個和尚擡水喝的故事,這個故事除了告訴我(wǒ)們分(fēn)配制度重要性以外(wài),還有一(yī)個寓意就是1+1可能小(xiǎo)于2,從左圖中(zhōng)我(wǒ)們也可以看出一(yī)個和尚的挑水量是兩個和尚挑水量的兩倍。而UTM正如右圖顯示那樣,它雖然堆砌式地集成了很多功能,但是集成各個功能都不完善,都有其不可逃避的缺陷。設想幾個并不太完整的功能簡單疊加在一(yī)起,不正猶如一(yī)個瞎子背着瘸子過河一(yī)般嗎(ma)?這顯然是不可能快速過河,甚至兩個人都會掉進河裏。這張圖就是對UTM性能可預測性差、功能融合度低的最好體(tǐ)現。
下(xià)一(yī)代防火(huǒ)牆選型知(zhī)多少?
如 今的市場上有不少廠商(shāng)都宣稱自己是下(xià)一(yī)代防火(huǒ)牆,如何選擇一(yī)款真正下(xià)一(yī)代防火(huǒ)牆還是一(yī)個複雜工(gōng)作。筆者建議從下(xià)面幾個下(xià)一(yī)代防火(huǒ)牆标簽進行考慮:下(xià)一(yī)代防 火(huǒ)牆的幾個比較顯著的标簽是:基于應用層構建安全、主動防禦、多威脅檢測機制智能融合,與這些标簽相對應的參數或考量标準主要體(tǐ)現在以下(xià)幾點:應用識别的 廣度和深度以及與本土用戶使用習慣的契合度;可視化及智能分(fēn)析的能力和操作體(tǐ)驗;功能全開(kāi)啓後的性能以及性能衰減趨勢。具體(tǐ)來說,企業在選型時候需要重點關注下(xià)一(yī)代防火(huǒ)牆幾個方面的表現:
首先是應用識别的能力:既要廣度更要深度
識别的廣度和深度是應用識别最重要的指标,也是下(xià)一(yī)代防火(huǒ)牆區别于傳統防火(huǒ)牆的重要特征。在應用識别廣度方面,業界領先的NGFW産品應用識别數量基本在3000以上。類似網康等專注于應用領域技術的廠商(shāng),目前應用識别數量應該都在4000以上。除了識别數量足夠廣之外(wài),識别深度也更爲重要。例如,企業可能會僅允許QQ聊天,但禁止QQ遊戲;對跑在HTTP上的應用,能夠精準識别出該應用的具體(tǐ)用途;同時,能夠從逃逸,帶寬等多個維度去(qù)判斷應用屬性是否安全,比如限制P2P等流量耗費型且安全性不高的應用帶寬。同時,應用識别的結果還将提高後期智能聯動的防護效率,例如:SQL Server流量僅和SQL Server相關特定漏洞進行IPS防護,從而提升性能,降低誤報率。
其次是功能與性能兼備:功能完備性不能以顯著的性能衰減爲代價
下(xià)一(yī)代防火(huǒ)牆至少應融合IPS的防護,同時各廠家根據各自的理解還集成了其他更多的功能,但是有的廠商(shāng)集成過多功能,甚至是集成Web應用防火(huǒ)牆這樣産品功能,嚴重導緻NGFW性能下(xià)降,甚至出現死機現象。因此客戶在選擇産品時千萬不能僅看到功能的全面性,卻忽視了開(kāi)啓這些功能後的性能衰減。不然後期隻能被迫禁用一(yī)些應用層防護的功能模塊,導緻下(xià)一(yī)代防火(huǒ)牆變成了傳統防火(huǒ)牆或者UTM。業内權威機構認爲,優秀的下(xià)一(yī)代防火(huǒ)牆産品開(kāi)啓IPS功能後整機性能下(xià)降不應超過50%。
最後是可視化(visibility)和智能分(fēn)析能力
随着網絡快速發展,各式各樣複雜威脅層出不窮,用戶需要更加及時的掌握網絡現狀、風險、威脅、事件以及防禦效果等用于支撐安全決策。這就需要下(xià)一(yī)代防火(huǒ)牆具備良好的可視化和智能分(fēn)析能力,幫助用戶看得清威脅,防得住攻擊。因此,真正的“可視化智能管理”應 該是在多維統計的基礎上加以深入的分(fēn)析,從應用和用戶視角多層面的将網絡應用的狀态展現出來。同時,通過引入外(wài)部威脅情報,實現安全态勢感知(zhī)和風險預測功 能,解決單機設備與生(shēng)俱來的短闆,以幫助用戶更加快速的了解網絡風險并及時部署防禦措施。總而言之,看得清,看得全,看得透,才能讓安全看得見!