程彦博
如今,几乎所有安全厂商都有自己的下一代防火墙产品。究竟什么才是下一代防火墙?作为用户,是否应该升级到下一代防火墙?在升级时,应该注意哪些地方呢?
如果从2009年Gartner正式提出下一代防火墙的定义算起,下一代防火墙问世已经有5年的时间了。5年来,大家对下一代防火墙的概念和应用仍然存在争议和混淆。那么,下一代防火墙是如何从概念走向应用的,它在国内的认知度和应用情况又如何呢?
其实早在Gartner的下一代防火墙定义发布之前,Palo Alto Networks就已经发布了全球第一款下一代防火墙产品,并凭借优异的市场表现成功登陆资本市场,为广大传统防火墙厂商紧随产品更替潮流注入了强心针。2012年以来,网康、深信服、绿盟、启明星辰、山石网科、华为、网神等国内安全厂商均发布了各自的下一代防火墙产品。目前,国内主流安全厂商已全部进入该领域,市场竞争愈发激烈。
毫无疑问,下一代防火墙引发的边界安全技术升级热潮将持续深入。由于下一代防火墙融合了入侵防御、VPN等功能,具备一体化的安全防护和复杂环境组网能力,有助于提升用户安全防御水平并降低管理成本,未来必将逐渐吞噬传统防火墙、独立的入侵防御、VPN甚至URL过滤等硬件产品的市场份额。
Frost&Sullivan;的报告显示,2013年,中国下一代防火墙市场规模超11亿元,同比增长16.77%。随着其应用逐步铺开,预计未来3年市场规模将以稳定的速度增长,到2016年预计达到17亿元。Gartner在今年4月份发布的《企业级防火墙魔力象限报告》中指出,防火墙市场领导厂商均已将“下一代”安全防护能力集成入各自的产品中,试图以此保持并扩大对同类产品的竞争优势。
90%以上用户有需求
“一个市场的爆发,绝不会是厂商的单方面作用,用户的需求是刺激市场增长的主因。”网康科技产品市场经理熊瑛表示,就目前所了解到的防火墙采购项目,将应用识别与控制、全网可视化、入侵防御、病毒防护、高性能等下一代防火墙提供的功能项作为“硬指标”的用户,已占到90%以上,甚至不乏一些行业用户在发布招标文件时,已将拟采购产品的品类明确为“下一代防火墙”、“应用层防火墙”或“新一代防火墙”等。
随着国家建设网络强国战略与相关政策的出台,信息安全已在国内受到空前重视。对比过往,如今重视信息安全,以科学的方法保障信息安全的机构和企业越来越多,政府、运营商、能源、教育等行业用户的安全建设已不再单纯地将满足合规性要求作为唯一标准。Frost&Sullivan;的研究数据表明,从垂直行业应用规模来看,政府机构、运营商、能源和教育领域目前是中国下一代防火墙最主要的用户来源,分别占到37.6%、15.8%、10.4%和9.2%的比重,主要是由于行业特性决定了用户对于数据与网络安全的要求更高,同时大型企业相对集中,会对IT系统和安全设备有更大的投入。Frost&Sullivan;指出,随着信息化的发展和用户对网络安全的重视,未来下一代防火墙产品将会在诸如医疗、金融、互联网等行业持续渗透,这些应用领域的占比也会随之提升,并成为下一代防火墙产品新的市场需求来源。
海南联通试水
放眼国内,很多企业也同样开始走上了应用下一代防火墙的旅程,海南联通就是鲜明的一例。海南联通信息化部支撑中心主任王雄介绍,海南联通IT承载网是海南联通全省的办公网络,承载着海南联通OA,邮件、财务、ERP等十余种业务系统的日常交付。“今天的IT承载网与过往相比发生了巨变,一方面当前安全威胁不断升级,使得我们必须进一步增强防护措施,另一方面网络用户也发生了显著变化,目前我们网络中有20%的用户在使用无线网络接入,还有大量的远程接入VPN用户,管理的难度进一步增大。”王雄说。
王雄介绍,海南联通IT承载网是其最重要的网络之一,网络设计、建设、管理运维等都是按照电信级标准完成的,但随着使用年限的增加,近年来还是暴露出了一些问题。“从去年开始,我们发现网络中开始有丢包、时延抖动较大的现象,不少部门向我们反映网络访问的体验变差。”王雄表示,经过反复分析、排查,运维人员确认部署于网络出口的两台思科防火墙长时间处于超负荷运行的状态。
由于先前设备的性能瓶颈和功能缺失,海南联通随即启动了出口防火墙设备的升级项目,并组织了一系列的入围测试工作。“作为运营商网络的设备,高性能、高可靠性是要考虑的首要问题。本次防火墙升级,我们要选择的是一款具备应用层安全防护能力的设备,对于性能的要求更为严格。”王雄说。为了满足海南联通IT承载网99.9%以上的可靠性要求,网康下一代防火墙采用了主被模式的HA部署架构,由两台设备组成集群,设备配置、会话信息和在线用户信息等均在主、被设备间实时同步,保证了故障切换时业务无中断。
据了解,在测试过程中,网康下一代防火墙的性能表现同样得到了海南联通的肯定,在逐步开启各项安全功能后,设备的包转发速率和处理延时并未有明显变化,经过长时间在线测试,表现出了极高的稳定性。“性能是应用层安全设备的一大挑战,为了实现完整的检查,经过设备的每一个数据包都要进行拆包和解码,这需要消耗大量的运算资源。为了保证我们的下一代防火墙能够在保证性能的前提下完整交付功能,我们做了多方面的创新。”熊瑛指出,硬件、软件架构和处理机制是制约设备性能提升的核心因素。
事实上,网康下一代防火墙采用了英特尔专用高性能硬件平台和DPDK软件技术,所有数据包检测均采用单路径引擎的方式,仅需一次拆解即可实现应用类型、木马、病毒、恶意网址等威胁的检测,从而保证了较小的性能衰减。同时,网康下一代防火墙采用病毒云查杀技术,这在国内防火墙领域尚属首创,由云端的海量资源代替设备本地查杀,同样能够降低设备的运算开销。
“下一代防火墙的应用识别能力帮助我们解决了很多现实的问题。”王雄介绍,在网康设备的帮助下,海南联通一些与业务无关或高危的应用流量均被拒绝或限制,减少了威胁渗透的通道。同时,对于在网内的智能终端设备,还可基于终端类型和应用进行识别和控制,并始终将防护级别维持在较高水平。
“作为一款防火墙产品,网康设备的可视化能力很出众,无论是异常输出还是事件溯源,都能够非常直接的呈现出来,同时基于统计的结果对流量变化、可疑行为等进行分析,为我们不断优化安全配置帮了大忙。”王雄说。
升级建议
对于下一代防火墙的选择,熊瑛认为,防火墙产品部署位置关键,对网络联通性、应用交付质量均会有较大影响,其自身的稳定性和性能尤为重要,尤其是下一代防火墙定位应用层深度检测,较传统防火墙性能开销要高出很多,用户在选择下一代防火墙时应注意安全功能全开启后的性能表现。此外,应用识别和威胁检测的能力直接影响到设备应对应用层威胁的有效性,这些同样是下一代防火墙应具备的基本能力。
此外,虽然技术创新可以帮助用户解决更多安全问题,使安全产品更加“有用”,但对于用户而言,一款好的产品还应该“好用”。尤其是对于安全防护类产品,日常操作的便捷、智能程度将直接影响到用户安全管理的效率,甚至关乎安全管理工作是否能够切实落地。
“过去,90%的用户不对防火墙进行管理和检查,而网络始终在发生着变化,先前设定的安全配置很快就会失效。安全管理强调形成闭环,在部署了防御措施后仍要不断地进行检查、调优,动态调整的安全策略具有最高的有效性。然而,下一代防火墙正在改变着用户的使用习惯。设备一旦上线,下一代防火墙可首先帮助用户评估网络风险,用户根据风险状况并结合自身安全需求进行安全配置,再通过可视化技术对全网状态进一步分析,最终基于分析结果调优策略。通过‘评估—防御—检测—响应的闭环运行,安全防护将由单纯的事件响应推向面向风险的控制。”熊瑛说。