网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


接受IT168采访–下一代防火墙:NGFW未来趋势探讨

2013-02-26 22:40 推荐: 浏览: 69 views 字号:

摘要: 互联网的普及,云计算的浪潮,让我们越来越离不开网络环境。这种依赖,让网络犯罪分子们看到了巨大的机会,有针对性的攻击越来越多,网络安全形势严峻。其中最为严重的是WEB应用安全问题。现在的攻击超过75%甚至80%以上都是针对WEB应用的。黑客一般要攻击一个网站,目...

互联网的普及,云计算的浪潮,让我们越来越离不开网络环境。这种依赖,让网络犯罪分子们看到了巨大的机会,有针对性的攻击越来越多,网络安全形势严峻。其中最为严重的是WEB应用安全问题。现在的攻击超过75%甚至80%以上都是针对WEB应用的。黑客一般要攻击一个网站,目的不再是刚开始的炫耀,而是为了获取信息、获取利益,这种攻击行为通常是来无影、去无踪的。目前,防火墙仍是很多企业最重要的安全设备之一。但随着新型威胁造成的危害日益严重,传统防火墙越来越力不从心,下一代防火墙顺势而来。

自Gartner在2009年提出了“下一代防火墙”概念,众多国内外厂商都推出了各自的下一代防火墙产品,但是各家的下一代防火墙均有各自的特色,标准的不统一让我们对下一代防火墙充满疑惑,究竟什么才是下一代防火墙?为什么下一代防火墙最适合企业安全架构?下一代防火墙未来发展趋势如何?带着这些问题,让我们来看看业界各方的观点吧!

深信服殷浩:“NGFW给客户带来的一个核心价值就是一体化防护,如果还需要补充WAF、DLP设备,那就是失去NGFW的意义。”

殷浩:NGFW核心价值就是一体化防护
▲深信服市场行销部技术总监殷浩

殷浩首先介绍了深信服下一代防火墙目前发展的情况,“作为国内首家发布下一代防火墙的厂商,我们看到在2012年下一代防火墙一体化防护的理念在市场上被更广泛的接纳。首先,2012年选择了深信服NGAF的客户是2011年数量的400%,其中不乏行业领袖客户,包括45家国家部委省厅级单位、25家运营商金融客户、30家大型企业集团等。其次,也有不少传统安全厂商也紧跟深信服的步伐,推出了下一代防火墙。”

“展望2013年,虽然2012年NGFW的概念很火,但是还需要结合“中国特色”进行本土化,才能完全被国内用户接受和认可。”殷浩这样谈到,类似的安全产品都有类似的一个过程,比如很多国际咨询机构定义的“Security Web Gateway”产品,到国内就演进成为了上网行为管理。因此,在深信服的NGAF经历了数千家客户实际网络环境的实战后,我们认为,NGFW还需要关注如下两个方面的用户需求:

1、Web应用安全的保护:随着用户应用在大量向互联网Web迁移,Web应用成为了高安全风险所在。而NGFW的定义更多事强调网络层FW和IPS、AC等底层系统的保护。

2、数据内容的安全保护:2012年底通过的“网络信息保护”决定,说明了当前内容数据安全的重要性。而NGFW更多强调的是防护来自外部的攻击,缺乏针对由内向外发送的敏感数据检测、过滤。

“NGFW给客户带来的一个核心价值就是一体化防护,如果还需要补充WAF、DLP设备,那就是失去NGFW的意义。”殷浩介绍到,深信服的NGAF在NGFW的基础上还增加了强化的Web安全保护、双向内容检测,可以更好的帮助用户解决在互联网出口、Web服务器、数据中心、广域网等业务场景下的安全防护问题,从而实现了真正的一体化、应用高性能防护解决方案。

网康科技NGFW产品经理陈天航:“下一代防火墙要能够解决好当前的新威胁,就需要在两个技术上要有持续性的发展,一个是应用的细粒度识别和洞察能力,另一个是利用云技术平台来防御新型的木马、蠕虫和僵尸网络等威胁。”

陈天航:
▲网康科技NGFW产品经理陈天航

下一代防火墙已经成为今年最具热点的安全产品之一,那么谈起下一代防火墙的发展趋势,就不得不先说说现代威胁的变化,近年来的新型安全威胁传播渠道变得越来越隐蔽,威胁程序的构建也更加智能化,黑客更具有组织性和目标性,比如利用普遍性的社交网络来传播蠕虫、木马和僵尸网络,黑客们因商业利益而进行目标性的威胁攻击和信息窃取等,传统防火墙或安全设备已经无法有效发现和阻止这些威胁。换句话说,下一代防火墙的出现就是能够且持续解决好下一代威胁的网络核心设备。

陈天航谈到下一代防火墙要能够解决好当前的新威胁,就需要在两个技术上要有持续性的发展,“一是应用的细粒度识别和洞察能力,目的是为了企业在正常业务需求下减少新威胁通过应用传播的途径,具体表现在能够有效并持续的对WEB2.0的应用程序进行细粒度识别和对有逃逸性的应用程序进行洞察,比如代理应用识别和SSL隧道解密。另一个是利用云技术平台来防御新型的木马、蠕虫和僵尸网络等威胁,这是因为当今威胁的变种越来越频繁和智能化(比如变种木马和僵尸网络的自更新),只有利用云技术的高计算能力和大数据存储优点,才能够保证实时且全面有效的对大量威胁文件进行搜索匹配识别,同时还大幅度降低网络设备的计算消耗;另外,还可以利用云技术平台来发现新威胁文件,并能够让加入安全云内的设备都可以实时享有对新威胁文件的防御能力。”

资深安全顾问张百川(网络ID:网路游侠):“说到下一代防火墙,其实在2011年我在微博中说到过:NGFW没有任何新的功能出现,所有的功能都是此前有过的功能。而NGFW的重点,则应放在提升用户网络效率和价值上。”

张百川:NGFW应注重网络效率和价值
▲资深安全顾问张百川

作为业界知名的安全人士,张百川首先分析到,目前网络安全厂商宣传NGFW多数都是从性能、功能两个方面来进行。而仅是在这两方面张百川也提出了质疑,“性能方面,高端的传统防火墙、UTM都可以跑到400G以上,而不知NGFW有几台可以跑到这个数值?其次NGFW如果开了防病毒、应用层过滤、VPN、IPS模块(实际上,UTM里面都有),性能损耗多少?到目前没有一个NGFW厂家公开这个数据。在功能方面,NGFW一直都宣称面向应用层,但是其实很多厂家的防火墙、UTM早就包含了应用层过滤。”

“从厂家团队来看,推广NGFW的多数是新兴厂家,且多数在传统防火墙、IDS/IPS、VPN、UTM市场中做的并不算好,而在细分领域,如:上网行为管理、网络流量控制等应用层产品市场做的不错,在这样的情况下,炒作一个新概念,并将其包装的更洋气、更拉风,让用户感觉‘下一代’更NB,成了很多新型厂家的目标。”

“以上说了不少NGFW的负面,其实NGFW对用户而言还是非常有用,否则厂家也无法进行有效包装,比如:通过应用层识别,NGFW可以有效识别网络中的各种流量,有效控制非业务流量,保证视频会议、ERP等办公带宽,有效提升网络的利用效率。”张百川最后这样谈到,UTM的重点此前都着重强调更全面、更安全,而NGFW的重点放在提升用户网络效率和价值上。

第三方独立测试、分析、咨询机构格物资讯的创始人韩勖(网络ID:学生小韩):“面对错综复杂的互联网应用发展趋势,NGFW必须更智能、更精准,才能让用户更省心、更安全。”

韩勖
▲第三方独立测试、分析、咨询机构格物资讯的创始人韩勖

我坦白现在已经看不懂NGFW了,并且最近一直为此感到困惑。正好有机会向PaloAlto Networks的毛总请教了两个问题:1、在产品层面UTM和NGFW到底有啥不同?2、贵司如何用简单易懂的方式告诉用户NGFW的作用?

毛总是这样回答的:

NGFW和UTM所面对的问题是一样的,但体系结构使它们在有效性、可用性和可管理性上的表现大不一样。UTM要赶上,必须做很大改进来满足Gartner对NGFW的要求。NGFW在功能细粒度和深度上的要求是明显高于UTM产品的。举个例子,用户使用Google Service,入口是Gmail,那UTM通常只识别成WebMail-Gmail,后续的安全防护手段也随之确定。但在实际应用中,同一个连接承载的业务是不唯一的,也许Gmail转变成Gtalk,然后又变成共享应用,需要对应到不同的安全防护手段。所以现实要求应用识别不能基于一个点,必须时时刻刻都在进行,否则会在管理和安全防护方面留下漏洞。而这,只有NGFW才能做到。

我个人比较认同这个解读。面对错综复杂的互联网应用发展趋势,NGFW必须更智能、更精准,才能让用户更省心、更安全。不过显然不是所有号称NGFW的产品都能做到这一点,有的甚至没有满足最基本的定义,让用户对NGFW印象不佳。毛总提到的这个应用场景很经典,也许用户在评估NGFW的时候可以借鉴。

PaloAlto Networks对用户的宣导方式很简单,就是从业务而非产品本身入手。举个例子,现在邮件安全的解决方案比较成熟,可以基于信誉,可以基于算法判别,也可以做病毒扫描等等,是多层立体的安全防护体系。PaloAlto Networks的NGFW产品做了拓展,能为用户提供全业务的立体防护,可以让用户在Web浏览、即时通信、文件传输等主流应用中享受到与邮件一样的全面安全防护。因为涉及到的业务场景多种多样,不同的NGFW产品在细节上会体现出差异。

这个角度很有新意,从业务入手可以让用户少关注技术实现,多关注实用效果,把选型从攀比规格的怪圈中解放出来。以前总觉得NGFW比UTM多了应用识别和控制,对应到产品形态上就是加入应用防火墙或流控功能,却没想到DPI对安全业务的整体支撑。

梭子鱼中国区技术支持总监贾玉彬:“高性能、简单易用和易维护必将是下一代防火墙的未来发展趋势;如果说还有一个发展趋势那必然是网络虚拟化,这项技术一定会出现在下一代防火墙中,因为将来的下一代防火墙可能还会有另外一个名字—软件定义网关(SDG)。”


▲梭子鱼中国区技术支持总监贾玉彬

从第一台防火墙诞生到现在已有20多年的历史,传统网络防火墙在信息安全尤其是网络边界安全领域占有非常重要地位。然而,信息技术发展尤如宇宙大爆炸一样迅速,新技术新应用层出不穷,如今信息技术已普遍应用人们日常工作与生活方方面面。

信息安全也越来越受到重视,然而传统的网络防火墙能否满足这种快速发展的需要呢?传统的网络防火墙工作在ISO模型的第3、4层,已经不能适应信息技术及互联网的发展需要,因为越来越多的应用工作在第7层,因此安全问题也第7层上也要引起高度重视。

综上所述,下一代防火墙的诞生将接替传统网络防火墙继续捍卫网络安全。因此在新建网络中下一代防火墙将大量出现,也会更新淘汰掉原有的传统网络防火墙。贾玉彬表示,可想而之这个市场是非常庞大的。

谈及NGFW的未来发展趋势,贾玉彬表达了自己的观点:“随着下一代防火墙所要处理的安全事务越来越多,系统越来越复杂,高性能、简单易用和易维护必将是一个发展趋势;另外如何管理这些下一代防火墙呢?答案是集中管理和统一安全策略;如果说还有一个发展趋势那必然是网络虚拟化,这项技术一定会出现在下一代防火墙中,因为将来的下一代防火墙可能还会有另外一个名字—软件定义网关(SDG)。”

天融信网关产品线推广经理马腾辉:“NGFW必须具有强大的性能和不断增加的吞吐量,同时具有基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化及安全技术融合等特性。”


▲天融信网关产品线推广经理马腾辉

在以“云计算”、“WEB2.0”及“移动互联”等一系列新应用技术被广泛使用的今天,层出不穷的应用种类以及不断变化的应用形式,使新的安全风险也在持续产生并时刻威胁着我们的网络。于是,用户对传统边界安全防护手段防火墙技术提出了更高的要求。为了应对日益增长的恶意威胁并防止入侵,下一代防火墙必须具有强大的性能和不断增加的吞吐量,同时提供extra-intelligence。

马腾辉认为:如果站在用户业务与应用角度去研发产品,那么下一代防火墙NGFW应该具有“基于用户防护”、“面向应用安全”、“高效转发平台”、“多层级冗余架构”、“全方位可视化”及“安全技术融合”等特性。

原文:http://safe.it168.com/a2013/0131/1452/000001452485_all.shtml

联系站长租广告位!

中国首席信息安全官


关闭


关闭