欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

 首頁 > 新聞 > 專家觀點 >

格物資訊韓勖:正本清源下一代防火墻

2014-04-17 09:17:58   作者:   來源:CTI論壇   評論:0  點擊:


  格物資訊創(chuàng)始人 韓勖

  下一代防火墻(NGFW,Next-Generation Firewall)從問世至今,在國內(nèi)已經(jīng)走過用戶培育階段,開始步入市場收獲期。圍繞下一代防火墻,業(yè)界并沒有產(chǎn)生太大爭議,類似UTM當(dāng)年那種混亂的概念解讀幾乎沒出現(xiàn)。但亂象并未絕跡:市場上仍有人把NGFW當(dāng)做新的產(chǎn)品品類,用戶中也有人糾結(jié)于NGFW與UTM之爭……如何正確認識下一代防火墻?它的本質(zhì)是什么?用戶如何選擇?讓我們來一次正本清源。

  防火墻定義的分野這個問題問的貌似很奇怪,但確實很多人存在誤解。自從信息安全成為產(chǎn)業(yè)以來,國內(nèi)外對防火墻的理解就有著本質(zhì)的不同。大部分國內(nèi)用戶乃至廠商都把“防火墻”看做一種產(chǎn)品,它基于狀態(tài)檢測機制,可以做NAT、五元組的訪問控制以及2~4層安全防護,甚至國標都是這樣定義的。但在海外,業(yè)界對Firewall這個詞的理解是可以做訪問控制、同時提供安全功能的設(shè)備。它不是一個具體的產(chǎn)品品類,而是對一系列用在相同應(yīng)用場景中的產(chǎn)品的歸納描述,與市場行為無關(guān)。如果對應(yīng)到中文專業(yè)詞匯,F(xiàn)irewall應(yīng)該被精準翻譯成“安全網(wǎng)關(guān)”,其中安全可以是一種安全技術(shù),也可以是多種安全技術(shù)的集合;網(wǎng)關(guān)則指的是能隔離不同安全域,按策略實施不同的訪問控制技術(shù)。

  由此可見,大部分國人對“防火墻”的理解,只是把Firewall在一個特定歷史時期的常見形態(tài)做了個快照,固化為一個產(chǎn)品品類。而IDC定義的UTM和Gartner定義的NGFW,就不特指某個產(chǎn)品品類了,而是Firewall在不同歷史時期應(yīng)對市場熱點的延展性定義,屬于Firewall的一個子集。實際上,安全產(chǎn)品發(fā)展到現(xiàn)在,已經(jīng)很難再有固定功能的產(chǎn)品品類出現(xiàn),在統(tǒng)一的軟硬件平臺上以模塊方式提供安全功能才是產(chǎn)品形態(tài)的主流發(fā)展方向。

  最早定義的UTM在訪問控制技術(shù)方面沒有更新,在安全業(yè)務(wù)方面要求至少具有IDS或IPS以及網(wǎng)關(guān)防病毒的功能;NGFW則在訪問控制技術(shù)方面做出重大提升,要求必須能以應(yīng)用為訪問控制策略的制訂元素,同時至少集成IPS。縱觀目前市場上的主流Firewall產(chǎn)品,其實它們幾乎都同時符合兩種定義,并且在提供安全功能的數(shù)量上遠遠超出兩個定義的要求。所以,所謂的UTM與NGFW之爭,只是不同廠商和咨詢機構(gòu)出于市場方面的考慮,人為挑起的宣傳戰(zhàn)罷了。

  最后,渾水摸魚的現(xiàn)象目前在小范圍內(nèi)也是存在的,比如產(chǎn)品明明不能識別應(yīng)用或不帶IPS,卻硬包裝成NGFW來推廣。相信隨著市場的進一步成熟,此類產(chǎn)品會逐漸消亡。

  安全本位?訪問控制本位!其實安全圈做設(shè)備的人對Firewall的本質(zhì)有著非常精辟的概括,那就是“訪問控制+特征匹配”。一切Firewall體系內(nèi)的設(shè)備都能以此歸類,比如國人印象中的“防火墻”就是基于五元組的訪問控制和針對2~4層攻擊的特征匹配,UTM的基本要求是基于五元組的訪問控制和針對2~4層攻擊、病毒代碼、漏洞攻擊的特征匹配,NGFW的基本要求則是基于五元組+應(yīng)用協(xié)議的訪問控制和針對應(yīng)用協(xié)議和惡意代碼(涵蓋2~4層攻擊、病毒、木馬、攻擊代碼等)的特征匹配。至少在APT從根本上改變安全防護體系架構(gòu)前,F(xiàn)irewall一定是在“訪問控制+特征匹配”的技術(shù)框架下發(fā)展變化。

  那么在NGFW的時代,訪問控制和以特征匹配為基礎(chǔ)的安全功能到底誰更重要?

  前段時間,筆者對一些企業(yè)/行業(yè)用戶進行了調(diào)研,重點了解他們對NGFW的具體需求。感覺企業(yè)用戶現(xiàn)在的需求并不是安全,而是基于應(yīng)用的訪問控制,要解決的是非業(yè)務(wù)應(yīng)用和帶寬占用型應(yīng)用造成的出口擁塞問題。NGFW更多起到流量控制或上網(wǎng)行為管理的作用,現(xiàn)階段安全方面反倒體現(xiàn)不出太大價值。

  而對于行業(yè)用戶來說,他們大多擁有分層級的安全體系,安全產(chǎn)品部署上傾向于專品專用,所以不管“防火墻”、UTM還是NGFW,在安全體系內(nèi)通常只負責(zé)訪問控制。行業(yè)用戶非常歡迎應(yīng)用識別技術(shù)的加入,在他們看來,基于應(yīng)用協(xié)議做訪問控制可以更精確地限定訪問權(quán)限,有利于白名單的設(shè)定。單憑這一點,NGFW在國內(nèi)就有了海量市場空間。這原本就是防火墻的主戰(zhàn)場,如果不是行業(yè)用戶在訪問控制方面的普世化需求,“防火墻”也不太可能成為市場份額最大的安全產(chǎn)品。

  如何選擇NGFW?無獨有偶,筆者的調(diào)研結(jié)果很大程度上與Gartner近期報告中提到的結(jié)論相吻合,只不過Gartner認為企業(yè)用戶對安全的需求仍然旺盛。鑒于海外用戶在IT意識方面的領(lǐng)先,可以預(yù)見NGFW的安全功能也會被越來越多的國內(nèi)用戶所重視。但這并不意味著集成的安全功能越多越好,Gartner在《2013 Gartner Magic Quadrant for Enterprise Network Firewalls》中就特別指出,術(shù)語定義上的不同和廠商混亂的營銷正導(dǎo)致用戶對產(chǎn)品認知發(fā)生混淆!

  例如,類似WAF、DLP之類的功能,目前只對小眾用戶存在價值,現(xiàn)階段并不適宜看做NGFW的必備功能。

  對于用戶來說,選型時除了以自身需求為導(dǎo)向、避免被某些廠商的過度包裝所迷惑外,還要對產(chǎn)品規(guī)格有清晰的認識。例如,一些廠商給出的NGFW性能指標依然在傳統(tǒng)的“防火墻”形態(tài)下測得,這對大部分期待使用應(yīng)用識別技術(shù)的用戶就毫無參考價值。所幸,以Palo Alto Networks、華為為代表的一批主推NGFW的廠商已開始公布更詳細的產(chǎn)品性能,比如開啟應(yīng)用識別時的吞吐量、開啟安全功能時的吞吐量等等,可以讓用戶在選型時做到心中有數(shù)。

  除此之外,用戶在選擇NGFW時,最好能提前進行實地操作(或從一些廠商官方網(wǎng)站登錄NGFW演示系統(tǒng)),親自感受一下產(chǎn)品的易用性。調(diào)研中有一些用戶提到,用NGFW和用傳統(tǒng)“防火墻”的一大不同,那就是“防火墻”做好策略后只要不出問題,基本就不會主動登錄到管理界面;NGFW則不然,很多IT乃至CIO都經(jīng)常性地登錄到設(shè)備上查看各類統(tǒng)計信息,認為這樣有助于發(fā)現(xiàn)安全隱患或提升網(wǎng)絡(luò)效率。既然總要和設(shè)備打交道,管理配置界面的易用性就顯得非常重要了,一個友好、強大的交互系統(tǒng)能讓操作者事半功倍、心情愉快,反之則只能忍受無盡的痛苦了。

相關(guān)閱讀:

分享到: 收藏

專題