竞速下一代防火墙

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




原文发于《计算机世界》。由于版面及内容形式等因素限制,文章在报纸上分3期共10个版进行连载。本文是在连载结束后,重新调整了内容框架,修正、更新了一部分文字而成,看起来更像是一个完整的内容专题。尤其是对13家厂商的采访部分,除了错别字和极个别不妥当的措辞或叙述外,未再做其他修改。

文章撰写过程中,得到了许多来自咨询机构、厂商、学术界的朋友的大力支持,在此表示感谢。同时也要感谢我的同事,是她们的努力使得专题内容得以按时发布。最后,我必须感谢一下我的太太,她为专题做了许多资料翻译工作,并在撰写过程中为我创造了良好的工作环境。

水平所限,文中多有待商榷之处,请不吝赐教。希望这一专题内容能抛砖引玉,引发更多有价值的讨论。

=====================================================================

自出现之日起,下一代防火墙(Next-Generation Firewall,以下简称NGFW)就一直在争议中前行。究其原因,还是概念提出得比较超前,产品跟进却相对缓慢。不久前,梭子鱼与深信服科技在国内先后发布了各自的NGFW产品,加上产品已经正式在售的SonicWALL、Check Point和Palo Alto,市场上俨然一副山雨欲来风满楼的景象。那么,NGFW究竟是如何定义的?它与传统防火墙、UTM又有哪些不同?其产品与市场前景究竟如何?用户部署NGFW又需从哪些角度考虑?请随我们一起走进NGFW的神奇世界,共同领略这类新产品的价值所在。

何谓NGFW

什么是下一代防火墙?这一代、上一代防火墙指的又是什么?在讨论NGFW之前,我们必须先正确认识“防火墙”这个概念。在经历了多次技术变革后,防火墙的概念正在变得模糊,在不同语境中有着不同的含义。在描述具体产品时,防火墙大部分指代的是采用状态检测机制、集成IPSec VPN、支持桥/路由/NAT工作模式的作用在2-4层的访问控制设备;而宏观意义上的防火墙,实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备(Gateway)。国内的厂商、用户习惯将前者称为“传统防火墙”,国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念,其包含了传统防火墙、IPS、UTM及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加,广义的防火墙必然将集成更多的安全特性,著名市场分析咨询机构Gartner所定义的NGFW就是很好的例证。

得益于许多厂商市场部门行之有效的推广工作,我们在市场上可以看到不少针对NGFW概念的宣导(即便其中可能存在着完全不同的理解)。而业内普遍认同的关于NGFW的定义,则来自Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文档。该公司注意到,在应用模式、业务流程和安全威胁不断变化的今天,传统防火墙已经无法满足用户的需求。即便在此基础上再加入IPS,也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下,Gartner定义了NGFW这个术语来形容防火墙的必然发展阶段,以应对攻击行为和业务流程使用IT方式的变化。

在Gartner看来,NGFW应该是一个线速(wire-speed)网络安全处理平台,定位于企业网络防火墙(Enterprise Network Firewall,Firewall指宏观意义上的防火墙)市场。这里的企业指的是大型企业,国内很大一部分都归为行业用户范畴。NGFW在功能上至少应当具备以下几个属性:

  • 传统防火墙:NGFW必须拥有传统防火墙所提供的所有功能,如基于连接状态的访问控制、NAT、VPN等等。虽然我们总是在说传统防火墙已经不能满足需求,但它仍然是一种无可替代的基础性访问控制手段。
  • 支持与防火墙自动联动的集成化IPS:在同一硬件内集成IPS功能是必须的,但这不是Gartner想表达的重点。该公司认为NGFW内置的防火墙与IPS之间应该具有联动的功能,例如IPS检测到某个IP地址不断地发送恶意流量,可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是由NGFW自动完成的,而不再需要管理员介入。比起前些年流行的传统防火墙/IDS间的联动机制,这次升级并不是一个特别高深的技术进步,但我们必须承认它能让管理和安全业务处理变得更简单、高效。
  • 应用识别、控制与可视化NGFW必须具有与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性,但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。
  • 智能化联动:获取来自“防火墙外面”的信息,作出更合理的访问控制,例如从域控制器上获取用户身份信息,将权限与访问控制策略联系起来,或是来自URL Filter判定的恶意地址的流量直接由防火墙去阻挡,而不再浪费IPS的资源去判定。我们理解这个“外面”也可以是NGFW本体内的其他安全业务,它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系,实现自动联动的效果(如思科的“云火墙”解决方案)。

除此之外,文档中也提到了NGFW在部署、升级方面的一些规定,但并未做更多的强制性约束。正如文档作者、Gartner研究副总裁Greg Young在接受我们采访时强调的那样,集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动就是NGFW要具备的四大基本要素。

发现用户需求及产品形态变化的并不只Gartner一家,国际著名第三方安全产品评测机构NSSLabs也在今年正式开始了NGFW产品的公开测试工作。从官方发布的信息来看,该机构基本认同Gartner对NGFW的定义,只是在智能化联动方面并未做过多的强制性要求,但突出了对用户/用户组的控制能力。从测试的角度出发,相信NSSLabs的工程师对产品配置的复杂度和易用性都有很深刻的了解,他们的观点可以代表许多用户。此外,该机构还认为企业并没有准备在数据中心中用任何方案替代掉独立的IPS设备,所以NGFW集成的IPS模块应该提供对客户端保护(主要在特征库方面体现)在内的完整方案,并且将针对于此的配置归纳到预定义策略模版中去。

NGFW与UTM:竞合或补充 但非竞争

需要注意的是,不同机构对NGFW做出的定义都是最小化的功能集合。站在厂商的角度,势必要根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异,同时更像一个大而全的集中化解决方案,给用户造成了很混乱的印象。我们在采访中听到用户最多也是最经典的反问就是:NGFW不就是一个加强型的UTM么?

实际上,这里提到的NGFW和UTM都是对厂商包装后的产品的认知,已经脱离了最原始的定义。市场分析咨询机构IDC曾经这样定义UTM:这是一类集成了常用安全功能的设备,必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能,并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开,但是这些功能必须集成在一个硬件中。IDC对UTM的定义无疑是非常聪明的,它简单明了,让人易于接受并容易做出判断。“所有功能不一定要打开”这句话,除了说明安全业务要由用户需求决定外,也考虑了早年间硬件平台的实际处理能力。而安全业务的集成化,也确实符合当时的市场需求。有了这样一个宽泛的准入条件,UTM的概念一经推出便受到厂商与用户到一致认同,市场份额迅速扩大,成长为目前安全市场上的主流产品。

与IDC的宽松态度不同,Gartner在其市场分析报告中对UTM产品形态则有着更为细致的描述。该机构在调研后认为,除了传统防火墙与IPS,UTM至少还应该具有VPN、URL过滤和内容过滤的能力,并且将网关防病毒的要求扩大至反恶意软件(包括病毒、木马、间谍软件等)范畴。另一方面,Gartner对UTM的用户群体有着自己的看法,认为该产品主要面对的是中小企业或分支机构(1000人以下,Gartner的划分方式)。这类用户通常对性能没有太高要求,看中的是产品的易用性和集成安全业务乃至网络特性(如无线规格、无线管理、广域网加速)的丰富度。实际上,Gartner之前一直使用SMB多功能防火墙(SMB Multifunction Firewalls,这里的Firewall也指宏观意义上的防火墙)来描述这类产品,只是因为UTM这个概念被市场普遍接受,才在2010年的分析报告中修改了称谓。该机构认为UTM与NGFW集成安全功能的差异主要体现在时延敏感性上——作为边缘网关,NGFW必须满足时延敏感型应用的需求,与之有悖的功能不适合出现在NGFW上。而从Gartner针对其他产品市场的分析报告中可以推断,安全Web网关(Secure Web Gateway)似乎是该机构认为的NGFW联合部署的理想对象,此外独立的WAF、反垃圾邮件产品也应被考虑。

通过上面的分析,我们可以得出明确的结论:至少在Gartner看来,UTM和NGFW只是针对不同级别用户的需求,对宏观意义上的防火墙的功能进行了更有针对性的归纳总结,是互为补充的关系。无论从产品与技术发展角度还是市场角度看,它们与IDC定义的UTM一样,都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述,其出发点就是用户需求变化产生的牵引力。对此,Fortinet创始人、首席技术长官、工程副总裁谢华在接受我们采访时有着非常精辟的总结:“UTM的概念在不断的进化,包含了越来越多的安全功能。但像500强那样的大企业对UTM的接纳相对保守,不过他们也开始从独立的安全设备开始转向集成化的道路,其关注重点就是Gartner定义的以传统防火墙与IPS为基础元素的NGFW——UTM进化中的一个细化分支。无论如何,我们将看见安全功能整合的革命将继续进行下去。”Fortinet提供的产品技术也已覆盖了网络,内容和应用三个层面,应用识别与控制就是其中的扩展模块之一,NGFW的定义在可扩展化的UTM系统中得到充分的体现。

应用识别与控制:全能杀手锏

对于NGFW这种新生的产品形态,市场上也不乏质疑声。在多功能安全网关领域,有XTM做前车之鉴,不少人认为NGFW也将是昙花一现的概念。不过UTM概念刚被提出时,市场上也有过类似的质疑声,但用户用实际行动表明了对这种功能丰富、性价比高的产品的认可,其市场份额长期保持乐观增长。IDC预计,国内UTM市场2011年增长率为38.2%,市场规模将达到1.741亿美金;2010到2015年的复合增长率为33.6%,市场规模在2015年将达到5.353亿美金。为什么UTM比XTM成功得多?我们认为关键在于前者在适当的时候集成了用户需求最迫切的功能,后者却试图引导用户,以一些相对小众的特性为卖点。而对于NGFW来说,其最大的亮点在于应用识别与控制功能,这恰恰也是目前用户最迫切需要的功能,有着很大的潜在用户群体。Gartner表示,目前只有不到1%的互联网连接采用NGFW来保护。而到2014年年底,这个比例会增加到现有用户总量的35%,并且新购买的防火墙中将有60%是NGFW。该机构还建议,无论用户现在使用的是防火墙、防火墙+IPS还是安全服务,都应在下一个更新周期来临时切换到NGFW。

作为NGFW定义中明确要求具备的特性,应用识别、控制与可视化可以解决给企业用户带来极大压力的网络滥用问题,同时对业务流量进行优化,受到了所有受访用户的关注。而5家推出NGFW产品的厂商均表示,该功能已经成为各自产品中的标准配置,也就是说,即便用户在购买时不包含其他任何安全功能的使用许可,也会得到一个“应用防火墙”形态的产品,我们认为这也将成为未来NGFW产品商业模式方面的常态。但多数受访厂商也希望用户认识到,NGFW产品只能提供上网行为管理产品和专业流控产品中最基本的一部分功能,且应用场景和功能侧重都有很大差异,并不存在完全的取代关系。流控产品通常会被部署在行业用户或运营商网络的边缘,用于对应用层流量进行合理的整形与优化;上网行为管理产品则基本部署在企业网络中,在阻止网络滥用行为的同时提供更丰富的行为控制与审计能力。二者都是单一功能设备,与强调一体化接入安全的NGFW没有可比较的环境。NGFW的优势在于应用识别/控制与安全业务的无缝衔接,可以完成诸如“允许MSN传输文件并对文件进行病毒过滤,但不许使用语音视频聊天”这样的综合访问控制策略。

除了上网行为管理产品和流控产品,部分市售的UTM产品也带有应用识别与控制功能,令人感觉与NGFW十分相似。不过该功能大多以独立的功能模块形态存在,通常在策略配置、日志/报表乃至授权许可方面都不统一,应用体验与NGFW存在一定差距。此外,至少我们所测试过的集成应用识别与控制功能的UTM产品中,还没有任何一款在特征库中包含Web 2.0应用,显然不能满足互联网应用发展带来的新安全需求。最后也是最关键的一点,部分没有采用统一处理引擎的UTM产品在性能上的衰减也许是任何人都始料未及的。我们曾经测试过这样一款产品,只开启防火墙时可以达到几百兆的吞吐量(HTTP大页面,后同);在此基础上开启IPS,吞吐量下降到一百多兆;如果再开启应用识别与控制,吞吐量则只有几十兆。而NGFW被Gartner定义为线速(wire-speed)网络安全处理平台,虽然在启用多种功能时性能也会有所降低,但从目前市场上销售的NGFW产品的规格指标来看,部分产品在开启应用识别与控制功能后,性能能够达到单独开启防火墙时的60%-80%;在此基础上再开启反恶意软件、IPS等功能,性能最高者可以达到单独开启防火墙时的50%。当然我们不能以偏概全,无论是UTM还是NGFW,在开启多功能部署前都应进行细致的测试工作。

在稍后的产品分析中可以看到,虽然Gartner在定义文档中将NGFW的用户群体圈定在大型企业和行业用户,但5家厂商都推出了全功能的中低端产品。实际上,中小企业对应用识别与控制功能的需求,要远远高于其他任何安全特性。自防火墙普及以来,大部分中小企业用户就把它当做一个接入设备而非访问控制设备来用。如今,他们面临最严重的问题不是安全问题,而是如何限制网络滥用行为,保证接入质量。微博上最近流传的笑话就很说明问题:某小公司内上网体验十分恶劣,经常连网页都无法完整打开,领导对此也无可奈何。唯有每月财务人员在公司QQ群内喊一句“都停下,我要发工资”,网络访问才会短暂地恢复正常。这个例子很生动地表明,目前许多中小企业用户面对网络滥用行为缺乏有效的技术管理手段,导致网络陷入完全失控的局面。

目前常见的解决方式是使用带应用控制功能的路由器或上网行为管理产品,前者价格低廉但功能简单,不少产品在应用识别与控制能力上仍待加强;后者虽然功能强大但价格昂贵,中小企业或许要为一些很少用到的功能买单。从市场角度看,两类产品在用户覆盖上造成一个断层,中间有大量用户的需求没有被满足。而中低端NGFW产品的出现,在功能、性能上满足了此类用户的需求(多数产品的基本配置都是带应用识别与控制功能的“应用防火墙”),又提供了安全业务的扩展能力,价格也基本维持在同规格UTM产品的水平,值得所有中小企业用户关注。

如何评估NGFW产品

NGFW属于新生产品,目前业界对其还没有一个公认的测试标准,甚至独立的测试报告都寥寥无几。NSSLabs曾经在几个月前发布了针对Check Point Power-1 11065的单品测试报告,这也是该机构第一次发布NGFW类别的测试报告。我们从中可以看出,NSSLabs针对NGFW产品的测试方法可以看作是在传统防火墙和IPS测试的基础上,补充了针对用户/应用的识别与控制能力的测试。不过,我们注意到应用识别与控制测试中使用的样本多为欧美地区流行的应用,国内用户应当重点考察NGFW产品对迅雷、新浪微博、开心网等本土热门应用的识别与控制能力。采访中有些用户就抱怨说,目前使用的国外某UTM产品在IPS模块中虽然也集成了对应用的识别控制功能,但扩充及更新速度太慢,以至于上线不久就失去了对迅雷等频繁更新应用的控制能力。

此外,应用对于网络的使用模型趋于多元化,NGFW产品在应用控制方面的细粒度也应被重点关注。对于传统的网络应用,以迅雷为例,可以考察产品是否能够在允许常规HTTP、FTP下载的前提下,屏蔽一切P2P或Cache加速下载行为或进行限速处理;而对于开心网这样的互联网/移动互联网应用来说,可以考察设备是否能够对基于Web 2.0平台的小应用(如开心农场、开心城市)进行单独的屏蔽。即便不能做到这一点,NGFW产品也应该能够通过URL-Filter特征库中的分类或手动设定策略的方式进行屏蔽。

除了应用特征库包含的协议种类与特征更新速度,管理界面的易用性也是不容忽视的评估要素。虽然用户识别/控制和统一的策略框架不是Gartner的NGFW定义中的强制功能,但我们发现目前市场上的产品都有提供,并且厂商纷纷在该领域做着更加深入的尝试。用户应当考察NGFW产品是否可以通过获取域控制器信息或Web认证等手段,做到IP与用户身份的绑定,再通过统一的策略框架进行更加直观、简单的权限定义,以达到“允许市场部门的所有员工从任何位置访问新浪微博“、“只允许IT部门员工从特定位置使用SSH、Telnet、远程桌面应用”等以用户、应用为核心元素的访问控制策略配置模式。易用性的另一个重要体现是设备是否提供中文的WebUI、报表系统、端点套件和集中管理系统。英文界面无疑会增加NGFW产品的配置管理难度,对IT管理效率造成不可忽视的影响。

性能测试方面,许多用户都知道针对传统防火墙有RFC2544、RFC3511、GB/T 20281-2006这样公认的测试规范。这类产品的业务模型比较单一,有经验的测试人员/管理员根据依照规范测得的结果,甚至可以凭经验去预估防火墙在某个特定场景中的性能衰减幅度。而当网关设备使用的访问控制技术走进DPI时代开始,实验室环境中进行的标准化测试就失去了普世的指导意义。即便是IPS,部署在数据中心出口时与部署在企业出口时的性能也会有很大差异。而NGFW产品在进行性能评估时会更复杂,用户必须根据自身的业务需求,抽象出与之吻合的流量模型,进行细致的、有针对性的测试工作,才能得到有价值的评估依据。并且在测试过程中,应时刻以“寻找最差性能”的目标,方可在未来的实际使用中规避性能瓶颈。

经历了实验室环境中的考验,用户也不应忽视产品在实际环境中的测试工作。比起UTM,功能更加丰富的NGFW产品需要更长的测试周期以证明设备的稳定性和在用户业务、管理方面的兼容性。同样要长期验证的还有身份(ID)的同步和策略执行的效果,安全部门在这一环节也许需要行政部门的配合(Gartner和NSSLabs都曾或多或少地提到过这个环节存在的难度,或者说是“管理矛盾”)。途牛旅游网的资深网络工程师吴康在采访中就谈到这样的体会:该公司在明确自身安全需求后,选择了NGFW产品取代UTM搭配上网行为管理的方案保护包括订单系统在内的在线OA平台。经过长达半年的上线测试,途牛旅游网的IT团队才以用户身份关联为基础逐步实现了策略的统一配置,验证了产品性能与稳定性,在满足需求的同时大幅提升了管理效率。由此可见,充分的测试是NGFW产品部署前必不可少的环节,鉴于大部分用户都会同时启用NGFW多种安全功能,我们建议无论是否进行实验室测试,都要在实际环境中进行至少3个月以上的、结合自身业务需求的测试,尽可能地与原有信息系统磨合,排除潜在隐患。

无论如何,用户未来在选购NGFW产品时肯定会感到更多的困惑(比如,许多用户在采访中都问到“哪个厂商的NGFW是目前市场上最好的产品”)。一方面,UTM和NGFW短期内不存在取代关系,经过包装推广的产品在形态上会越来越相似。另一方面,NGFW必然还会加入更多的安全特性,从著名信息安全培训机构SANS的专家结合现有产品和用户需求,给出的未来NGFW产品将需集成的功能列表来看,目前市场上所有主流安全技术都被涵盖在内。乱花渐欲迷人眼,用户(尤其是中小企业用户)难免会像几年前刚接触UTM那样,产生一种不理智的选购心态。所以,用户在选型前必须先明确自己的需求是什么,再利用NGFW体系结构上的集成化优势对未来部署做出合理性的规划,避免造成过犹不及的负面效果。

NGFW产品现状

目前可以确定共有5个厂商在国内正式发售了NGFW产品,其中4个国外厂商均在Gartner最新一期的《企业网络防火墙魔力象限报告》(Magic Quadrant for Enterprise Network Firewalls,2010)中占有一席之地;深信服科技是唯一发布了NGFW产品的本土厂商,我们相信会有越来越多的本土厂商杀入这一领域。

理论上的定义总是滞后于用户需求和技术发展,从市场上可以购买到的实际产品来看,它们集成的安全功能已经远远超过了咨询机构给出的基本定义。虽然不同厂商在功能提供上还存在差异,但大家的目标都是一样的,那就是在产品上集成尽量多的功能,规格上覆盖低端到高端,与Gartner细分功能、用户群体的追求有很大出入。厂商这样做无可厚非,只有功能模块化加系统平台化的方式才能做到成本最小化与利润最大化。

在资料收集的过程中,我们还发现了一个很有意思的现象:之前无UTM产品的厂商为我们提供的文档中,都统一使用了NGFW的概念与宣传口径,且官方网站上的资料也是如此;而之前有UTM产品的厂商虽然宣称拥有NGFW产品线,却暂时没能提供与之相关的资料,在产品归属的态度上显得十分模糊。我们感觉前者的意图很明显,就是要避开竞争激烈的防火墙/UTM市场,抢占新的蓝海;后者大多拥有一定的资本和技术积累,为稳固市场地位需要拉动产业升级,却担心在市场上面临“自己打自己”的窘境。无论如何,随着NGFW概念逐步被用户理解、接受,目前市场上的混乱局面必将变得明朗,其市场前景值得看好。

  • Palo Alto

Palo Alto是近几年发展非常迅猛的一家安全企业,在圈内负有盛名。该公司旗下有且仅拥有NGFW一类产品,被看做NGFW时代的先行者。经过充分的准备,Palo Alto于2011年初在国内设立了办事处。据了解,诸如应用特征库、WebUI和报表管理系统的本土化工作已在进行中。

Palo Alto将用户识别、应用识别和内容识别并列为产品的3大核心功能,使用户权限和策略设定变得像自然语言般简单易懂,同时让报表的可读性更强。内容识别基于防火墙、IPS、反恶意软件、URL过滤乃至DLP等多种安全功能,可以为用户提供全面的安全保障。在业务处理方面,其产品采用了单数据流并行处理体系结构,保证了高性能、低延迟。有业内人士认为,Palo Alto产品中关于一体化的处理引擎和一体化的策略框架是最关键的设计理念,在保证了高性能的同时提高了易用性。

产品规格方面,Palo Alto面向不同规模用户推出了从最低端的PA-500到最高端的PA-5060在内的多款产品。其最低端产品PA-500拥有250Mbps的防火墙处理能力、100Mbps的攻击防护能力和50Mbps的IPSec VPN性能,最高端的PA-5060则将这3个指标推向20Gbps/10Gbps/4Gbps。Palo Alto公司创始人、首席架构师毛宇明在接受我们采访时特别指出,该公司在官方网站公布了所有产品的性能指标,其中攻击防护能力一项均为开启应用识别及所有安全模块后的数据。并且即便用户没有选购任何安全功能的许可,也可以使用不受任何限制的应用识别与控制功能。

Palo Alto在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“有远见者”(visionaries)象限,并且在前瞻性(completeness of vision)坐标中处于最领先的位置。就目前的情况看,我们认为该公司在未来报告中的排名会继续进步。

  • SonicWALL

做为资深的信息安全解决方案提供商,SonicWALL在国内外市场都有着不小的知名度。该公司在上海设有规模庞大的研发中心,负责核心产品的研发和部分本土化工作。SonicWALL中国研发中心总经理陈中在接受采访时就提别,目前该公司产品每次系统版本更新后1~2个月内即可提供中文版,并且有专人负责国内应用特征的添加与维护,达到平时每周1次、紧急情况下1天响应的更新频率。

SonicWALL对NGFW概念的跟进非常迅速,旗下已有SuperMassive E10000、E-Class NSA、NSA以及TZ210四大系列多款产品。实际上,得益于比较完备的软件平台和模块化的安全业务部署模式,该公司的NGFW产品和UTM产品使用了基本一致的软硬件平台,只在功能模块的配置上有所区别。在交付时,可以根据用户需求进行相应的授权,灵活满足NGFW或UTM的功能侧重。SonicWALL一直在为其NGFW产品增加更多的功能特性,该公司在一周前刚刚宣布将广域网加速功能集成到NGFW,为用户提供更好的网络使用效率。

SonicWALL旗下NGFW产品规格非常丰富,最低端的TZ210拥有200Mbps的防火墙处理能力、50Mbps的UTM处理能力和75Mbps的IPSec VPN性能,此外还可以提供3G/802.11n无线接入特性。在最高端,SuperMassive E10000系列使用了多节点业务智能分摊的设计理念,最多可支持8个业务节点共96个处理器内核同时工作,提供最大30Gbps的应用识别与控制能力、30Gbps的IPS处理能力、12Gbps的反恶意软件处理能力和20Gbps的IPSec VPN性能,无愧于当今顶级NGFW产品的称号。

SonicWALL在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”(niche players)象限。不过在Gartner同期的《UTM魔力象限报告》(Magic Quadrant for Unified Threat Management)中,该公司则处于“领导者”象限,综合排名仅次于Fortinet。

  • Check Point

Check Point是历史最悠久的信息安全解决方案提供商,也是最早一批进入国内市场的安全厂商。该公司的防火墙产品在业内拥有极高的知名度,并且始终处于技术发展的最前沿。Check Point首创了软件刀片的概念,通过在统一的系统平台上部署不同功能的软件刀片来实现多种安全业务。在得到了NOKIA的硬件产品线后,该公司拥有了堪称业界最全面的硬件平台方案,具备了多种形态的交付能力。

有了这样的支撑,Check Point发布NGFW产品可谓水到渠成。据中国区技术经理刘刚介绍,该公司在2010年推出了可以对应用进行识别、控制的应用控制刀片,并整合了允许员工参与到决策进程的UserCheck技术。Check Point还利用独有的应用程序库AppWiki为用户提供更深入的可视性,该程序库内置了5万多种Web 2.0专用界面工具信息和包含社交应用、即时通讯和流媒体在内的4500多种互联网应用特征。,

虽然不是最早发布NGFW产品的厂商,Check Point却在NSSLabs进行的业界第一次NGFW产品测试中拔得头筹,成为业界首个获得NGFW产品“推荐”级别的厂商。我们在官方测试报告中看到,该公司送测的次高端产品Check Point Power-1 11065在防火墙、身份识别以及应用程序控制执行的各项评测中取得100%的有效率,IPS功能的成功拦截率也达到97.3%;性能方面,该产品在混合多种协议的“真实流量”(Real World)测试中达到最高3800Mbps的处理能力,在传统的UDP性能测试中则有着12050Mbps的最大吞吐量。

Check Point在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“领导者”(leaders)象限,并且在前瞻性(completeness of vision)、执行力(ability to execute)坐标中均处于第二名的位置。在Gartner同期的《UTM魔力象限报告》中,该公司也处于“领导者”象限,综合排名第三位。

  • 梭子鱼

梭子鱼是近年来表现比较活跃的信息安全解决方案提供商,目前已有超过10款不同类型的产品在国内市场进行销售。该公司十分善于整合吸收外来的产品技术,在国际范围内有多次成功的并购案例。梭子鱼现有的NGFW产品线来自于2009年收购的安全厂商phion,其产品在欧洲地区已经有许多大规模部署的案例。

也许是因为之前旗下没有防火墙/UTM产品线,梭子鱼坚定地成为NGFW时代的先行者之一。该公司在产品上以应用与身份控制、内容安全和网络层安全为核心,在满足NGFW定义要求的基础上提供了比较全面的安全特性。目前,梭子鱼仍在致力于管理特性、其他安全特性的开发和更为彻底的本土化整合工作,该公司中国区技术总监谷新在接受采访时特别提到,NGFW产品的集中管理平台目前已经可以管理维护多达数千台设备,并有实际部署案例。该平台还结合图形化管理维护技术,利用业界独特的“梭子鱼NG地球”特性,使分布网络的管理变得简单高效。

产品规格方面,梭子鱼也针对不同层面用户的需求提供了覆盖高中低端的全系列产品,其中多款具有WiFi及3G接入的能力。根据该公司公布的数据,其最低端的F10拥有150Mbps的防火墙处理能力和85Mbps的VPN性能,最高端的F900则将这2个指标推向21Gbps和3.78Gbps。而该公司提供的另一份文档也表明,梭子鱼的NGFW产品可在开启所有安全功能后达到8~10Gbps的最高性能。我们还注意到,梭子鱼在产品线中提供了目前唯一的虚拟环境部署方案,对有类似需求的用户来说无疑是很好的选择。

phion在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”(niche players)象限。有了梭子鱼丰富的产品线及全球化的销售/维护体系做为支撑,该产品的未来值得看好。

  • 深信服科技

做为近年来崛起势头最为迅猛的本土信息安全解决方案提供商,深信服科技长期坚持专攻应用与内容安全领域的发展策略,在市场上有着广泛的认同度。就在NGFW大潮在国内方兴未艾之际,该公司于近期发布了NGAF系列下一代防火墙,成为国内首家推出NGFW产品的厂商。

深信服NGAF系列下一代防火墙提供了以传统基础网络安全、应用识别与控制、应用威胁防护为核心的多种安全功能,覆盖了NGFW定义中要求必备的所有特性。有国内市场上最成功的上网行为管理产品为基础,深信服科技的NGFW产品在应用识别与控制能力方面显然有着先天优势,其识别引擎已经能够辨析600多种应用,以满足不同部署场景的要求。该公司还将WAF产品的主要功能集成到NGFW产品中,结合应用识别与控制功能,为数据中心用户提供了新的安全防护接入思路。

对于我们问到的“之前没有防火墙/UTM产品,在状态检测技术和入侵防御技术方面是否有足够积累”的问题,深信服科技市场行销部技术总监殷浩也没有回避。据介绍,该公司在保持应用与内容安全领域技术领先的同时,也一直都在跟踪其他各类安全技术的发展。例如成为微软MAPP计划合作伙伴,可以第一时间获得漏洞资料,提高IPS的防护效果和响应速度。NGFW产品的应用威胁防护功能将反恶意软件、漏洞利用、Web入侵等威胁视为一个整体进行统一防护,正是技术积累的一次集中体现。

产品规格方面,深信服科技的NGFW产品线中包含了多达11款产品,覆盖了几乎所有用户群体。其最低端AF-1100系列产品标称提供200Mbps的防火墙处理能力(按照深信服对产品的定义,应用识别与控制功能都默认开启。后同。),最高端的AF-8000系列则将该指标推向10Gbps。由于深信服科技NGAF系列产品刚推出不久,我们还未能拿到更多的性能参数。但从厂商测试中得到的最新数据来看,其中端AF-1700系列产品的防火墙吞吐量达到600Mbps;在此基础上开启IPS和WAF功能,依然可以达到520Mbps的处理能力。

百舸争流NGFW

Gartner研究副总裁Greg Young在接受我们采访时提到,NGFW对于国内活跃的网络安全市场上的诸多厂商来说,都是一个未来的机遇。而这类产品能否顺利发展,很大程度上也取决于来自行业内的态度。所以除了之前提到的5个已经正式发售NGFW产品的厂商,我们还对另外14个厂商提出采访邀请,希望了解大家对这个新产品形态的看法。他们都有防火墙或/及UTM产品进行销售,并长期在国内安全市场有着活跃表现。经过长时间的沟通,我们最终收到了13份正式答复。业界巨擘思科成为唯一没有接受采访的厂商,我们对此深表遗憾。

我们对每个厂商的采访都围绕着NGFW的产品形态和市场前景两大主题来进行。从13份答卷中可以看出,绝大多数厂商都对Gartner所定义的NGFW产品形态表示充分认同,虽然也有厂商表示个别细节值得商榷,但终归没有明确的反对意见出现。可以认为,Gartner所定义的NGFW标准是对用户需求的高度抽象,是防火墙发展到一个历史阶段的自然产物。除了定义中明确所必须具有的基础特性,各厂商基本是根据自身所擅长的技术领域,以及目标客户需求的视角来定义NGFW应具有的其他功能。例如有独立组网能力的H3C与瞻博网络重点提到了超高性能、扩展性、虚拟化、抗DDoS等特性,而传统意义上的安全厂商则更关注的网关防病毒、内容管理、网络准入控制乃至报表与人机交互功能的集成实现。

对于NGFW产品在国内的市场前景,受访厂商也普遍表示看好。虽然不少厂商认为NGFW与UTM现阶段存在竞争,但必将逐渐替代防火墙、IPS、UTM,成为阶段性的终结者。启明星辰还提到了上网行为管理产品,认为NGFW的发展会对这类产品的市场产生冲击。绿盟科技的观点则更加细致,该公司认为NGFW短期内不会有独立市场,中期来看将从行业用户处开始普及,最终会成为综合网关市场的核心产品。而来自华为赛门铁克的观点则与之前我们的分析不谋而合,认为有中国特色的NGFW必将成为市场的宠儿。

可以看出,业界对NGFW的产品形态和市场前景都趋于认同。也正基于此,13个受访厂商中的5家已明确表示有NGFW产品研发计划,今明两年内我们很可能将看到至少4款来自不同厂商的产品出现在市场上。迪普科技、山石网科则表示现有产品已符合NGFW标准规范,只是未进行过有针对性的包装推广。瞻博网络则声称2008年发布的SRX系列防火墙是NGFW的代表作,但我们在该公司官方网站及互联网上暂时没有找到相关信息。

绿盟科技产品管理中心总监 王伟

绿盟科技认为Gartner定义的NGFW标准主要强调以下4点:

  • 性能:Gartner把性能作为NGFW区分于UTM最重要的指标之一;
  • 集成IPS:Gartner认为NGFW需要集成IPS功能,但不是像UTM那样做简单叠加,而是要将IPS的功能实现无缝融合入NGFW产品中去;
  • 应用可视:主要强调NGFW对Web 2.0应用的识别和管理能力;
  • 用户集成:强调用户身份与NGFW策略的一体化整合。

以上4点是针对UTM存在的短板进行的改进,应该是未来NGFW产品功能的最小集合。随着NGFW产品及市场的不断成熟及用户认可度的增强,NGFW产品还将融合更多、更丰富的功能(如虚拟化、Web信誉等)。另外为了应对云计算这个大的技术趋势,NGFW在产品硬件形态上将变得更加弹性以及多样化。无论如何,结合目前最新的安全发展趋势来看,Gartner对NGFW的定义代表了综合安全网关产品未来的发展方向。

短期内,NGFW在国内不会形成独立的市场,将依然会与传统的防火墙、UTM、IPS、上网行为管理等产品形成直接竞争。中期内,由于国内各类用户对新产品的认可度不同,NGFW产品将首先会在大型企业、金融、电信等中高端领域逐渐被用户接受。长期来看,由于NGFW代表了未来综合安全网关的发展方向,国内厂商应当会逐渐改进现有产品线,以符合NGFW的发展方向。最终,NGFW会成为综合安全网关市场最核心的产品形态。

山石网科技术市场经理 任磊

从字面上看,NGFW不像“入侵防御系统”、“上网行为管理”那样直观表现产品形态,转而突出传统防火墙基础之上的概念升级。在山石网科看来,NGFW代表着用户对防火墙产品提出的更高要求,他们期待防火墙能够脱胎换骨,满足当前和未来存在的安全需求。同样是防火墙概念升级的UTM也曾是一个时代的宠儿,但当用户发现其仅是单纯的安全功能叠加,且在多功能开启后性能会急剧下降的时候,此类产品就逐渐归入了中小企业解决方案的范畴。而实际上,无论是UTM还是NGFW,都应该是通用环境下的产品,而不受行业或网络规模的限制。

NGFW产品应打破传统的单一功能叠加模式,实现基于应用的综合控制,其中单引擎与并行处理是关键。在应用识别的基础上,NGFW应能够对协议中的行为做深层次的可视、管理和安全控制。此外,在网络技术快速发展的今天,应用的变化不仅使得数据流量增加,更高的并发连接和更多的会话处理也对设备造成了很大的压力,用户需要改变传统思想中仅靠吞吐量去衡量产品的思路。当多种安全业务集中在一台设备上的时候,软硬件的高可靠性就变得至关重要。软件方面,AA、集群等特性可以实现多台设备之间的互备;硬件方面,多控制器、多处理模块、多电源等模块间的冗余设计也是提高设备稳定性的必要方法。

NGFW代表着防火墙产品的一种发展趋势,其核心诉求是数据处理模式和效率方面的根本提升。这种提升已经与国内网络发展造成的安全需求相匹配,理应成为未来用户解决网络安全问题的主流选择。随着云计算环境下安全需求的变化和虚拟化技术的不断普及,用户在针对应用的高性能、深层次防护领域将出现井喷性需求,市场潜力是巨大的。

从功能特性角度看,山石网科的产品早在2008年就具备了Gartner定义的NGFW特征,包括传统防火墙的全部功能、应用流量的识别与优化、用户身份和内容的识别与管理、入侵防御和病毒防护能力等。我们并不在意安全产品的名称,而是希望凭借山石网科多年来对市场的认识、对行业的理解,做出更贴近用户需求的新一代安全产品。

迪普科技产品部副部长 孙晓明

Gartner定义的NGFW确实为集成化的安全网关类产品指出了一个发展方向,这是值得肯定的。在此基础上,我公司更加重视客户关注以及所需要的功能,产品设计的出发点也是为客户提供一个功能完善、高效可靠、部署简单的产品解决方案。实际上,如果按照NGFW的定义,我们的FW1000应用防火墙产品和UTM2000的UTM产品都符合规范定义的形态。FW1000应用防火墙除具有基本防火墙功能以外,还具有对四层攻击、拒绝服务攻击的抵御能力,并且可以对P2P、网络游戏、炒股软件等各种应用协议进行识别并进行限流或者阻断。同时,设备自带千万条级别的URL库,可以实现URL过滤等功能,为业务流量优化和安全防护提供良好的辅助。而UTM2000系列产品则在FW1000应用防火墙产品的基础上,增加了IPS、防病毒、应用控制、关键字过滤、行为审计等功能。

无论是NGFW1000还是UTM2000,都采用了“一次解析、多次匹配”的业务处理模式,即单引擎+整合特征库(协议库、漏洞库、病毒库),使得产品在设计上具有了非常好的伸缩性。同时,单引擎相对多引擎在处理模型上有了优化进步,是高性能的保证。

无论UTM也好、NGFW也好,本质上都是对传统防火墙功能的提升和扩展,在价格被用户接受的情况下,对传统防火墙实现替代是必然的。NGFW和UTM之争,以及NGFW需要具备的功能讨论,在我们看来对用户的实际意义不大。用户需要的功能就是产品必备的功能,迪普科技不以License来控制功能模块的启用与否,交付给用户的本身就是具有多种安全功能的产品,用户可以根据需求选择自己需要的业务。

启明星辰产品管理中心产品部副经理 任平

启明星辰认为,NGFW的发展诉求应该是把传统防火墙将访问控制对象从网络层、传输层调整为应用层协议。因此,其产品实现基础不再是多模块协同工作,而是依托于网络应用的识别能力来实施安全访问控制。虽然技术方面存在相通性,但由于访问控制对象不同,NGFW与UTM在系统设计方面会存在本质差异

简单来说,NGFW在功能上偏重于网络应用安全,而UTM更侧重于网络内容安全。NGFW更强调应用识别能力、用户行为管理和应用安全,提供面向应用控制的网关安全防护;UTM针对内网强调全方位的安全能力,提供比较适中的、具有更高性价比的网关安全防护。UTM与NGFW相比,还可提供VPN、反垃圾邮件、反恶意软件、防攻击、内网管理等针对于内网的安全防护能力。

在功能模块组成上,Gartner并未明确规定NGFW功能的细节组成,定义的功能覆盖比较合理。但NGFW作为安全类产品,在应用识别的基础上,需要增强应用安全的检测控制能力,同时在保证效率的前提下,增强基于流的防病毒能力会更有利于NGFW实现针对应用安全的目标。从目前来看,还没有一个厂商可以实现UTM、NGFW特性高效融合的案例,更多还是在应用、安全各自见长。NGFW在安全特性上和UTM在应用控制上,是否符合用户预期的商用效率,与软硬件技术的发展也有着很大关系。

在应用为王的网络世界中,NGFW的出现是紧跟应用安全需求发展的产物,市场前景相对乐观。在国内市场,它将对传统防火墙、UTM、上网行为管理和IPS细分市场造成冲击。国内各传统安全设备厂商会对此不断调整自身产品形态,一定程度上影响国内安全网关市场的调整与分布。NGFW在国内可能首先冲击上网行为管理市场,最终替代上网行为管理产品,与防火墙、UTM和IPS产品形成新的市场布局,长期处于竞争态势。NGFW在性能方面的追求对硬件平台的专业化提出了更高的要求,国内安全厂商对专用硬件平台的驾驭能力会在一定程度上影响NGFW产品在国内的发展。在没有颠覆性软硬件技术革新的前提下,UTM、NGFW之间还难以形成替代关系。而二者差异的存在,使其在部署上反而会存在一定的互补性,在网络边界发挥各自优势,满足用户的多维度需求。

今年年初,启明星辰已经展开NGFW产品技术和市场空间方面的研究,考虑在合适的时机推出有特色的NGFW产品。

H3C安全产品部部长 马前祖

Gartner所提倡的下一代防火墙产品,很类似于UTM,都是尽可能将传统的单一防火墙功能扩充到多种安全业务的集合形态。基于应用的流量识别与控制,给客户带来投资减少和管理方便是显而易见的。但它们受制于软、硬件设计和处理能力以及深度安全防御的专业程度限制,NGFW产品形态缺乏标准,指标也比较随意。与部分厂商将它解读为所有的安全功能尽量集中于一体不同,H3C公司在网络安全方面的理解,更注重是从网络安全整体的角度看安全产品,提倡系统化安全,而Gartner提倡的解决方案是从纯安全的角度去看安全产品。我们不仅要把防火墙和IPS做成高性能或者互动,同时我们还要把交换机、路由器与管理中心、桌面控制平台联合到一起。

具备多种安全防护功能是下一代防火墙需具备的特点之一,从当前市场需求了解来看,NGFW需求集中于中小企业,类似于UTM,为一些中小企业在部署及管理维护带来一定的成本优势。但放眼未来,随着市场的发展逐步规范,NGFW产品自身在性能上得到提升,势必会在更大的领域获得广泛应用。但我们也注意到目前IT行业两大发展趋势,一是带宽越来越宽,以太网标准开始由万兆向40G、100G迈进;二是云计算风生水起,已成为众多企业CIO关注焦点。NGFW要跻身这个市场,在具有融合的安全防护功能的同时,还必须满足高吞吐和高并发的性能弹性匹配、云计算环境中虚拟化技术带来的安全虚拟化这两个基本需求。

未来防火墙产品发展方向上,H3C比较关注数据中心和云计算趋势。数据中心集成了网络、计算、存储功能,安全需要到与网络设计及管理维护高度融合,且性能和功能可以弹性扩展。在不久的将来,H3C将推出一系列具有业界顶级性能的安全防护产品,例如将于明年初正式推出的H3C SecBlade III第三代防火墙业务板卡,该产品将可以在S12500和S10500系列高端交换机上使用,不仅自身具有高性能,更可通过IRF扩展,实现远超于现有任何安全设备的强大性能,IPS、应用控制功能等也依据此架构提供的弹性硬件方式扩展,届时将再次刷新业界安全设备性能峰值。

网御星云副总裁、首席技术长官 毕学尧

对于Gartner提出的NGFW概念,网御星云部分赞同。但我们也认为有以下几点需要补充:

  • NGFW自身集成的抗攻击特性需要加强,除抗DoS/DDoS攻击外,还应有抗CC、ARP以及DNS攻击的能力;
  • NGFW是面向未来业务发展趋势的产物,厂商应为用户提供各类安全云与NGFW产品搭配的整体解决方案,而不仅仅是个单独的设备;
  • 多核多线程并行处理技术应是NGFW在软硬件系统平台方面的标配,以保障高性能与高稳定性。

这其中,NGFW最应具备的还是稳定可靠的基于云安全的防御特性。云安全防御技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息与特征,传送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端,实现立体全面的防护。

国内安全市场竞争激烈,NGFW的市场前景会进一步扩大化,不同品牌产品间在细节方面的表现将成为最关键的因素。网御星云早在2010年初就已立项启动下一代智能感控防火墙的研发,当前已处于测试阶段。功能方面,我公司产品包括了所有NGFW应具备的特性,同时融合了网御星云的云防御理念。该产品预计在2011年下半年上市。

华为赛门铁克安全市场与产品行销部部长 武鹏

Gartner对于安全威胁的发展趋势和用户业务安全需求发展趋势的判断是准确的,传统防火墙从防御范围和理念上,已经越来越难以满足用户需求。华赛认为,下一代的网络安全产品都应具备对用户的业务环境进行感知的能力,即能够识别和用户身份、网络特征、具体应用及内容数据相关的各种属性,并帮助客户实现面向具体业务制定一体化的安全策略,同时提供细粒度的控制能力,从而帮助用户真正实现全面的威胁管理和安全管控。

NGFW应具有较强的应用协议识别能力、应用层威胁识别能力、强大的IPS引擎和强大的反恶意软件引擎,同时具备智能的用户身份识别和管理能力。除此之外,既然该类产品已经定位于内容级,用户会更关注合规方面的功能,因此NGFW应该具备敏感信息过滤、定制合规策略并输出相关报告等相关能力。最后,考虑到NGFW所处的防御位置和攻击形态的发展趋势,完善的DDoS防护能力也是NGFW应具备的重要特性。

随着欧美的几个厂商开始在中国市场宣传NGFW,用户和媒体开始关注这种新产品。但目前由于NGFW的标准还不明确,国内第三方测评机构也暂不具备评估的能力,厂商的宣传还暂时无法带来规模的采购效应。但是,从近几年火爆的上网行为管理市场可以看出,中国市场有独特的对于合规和内容管理的需求,其真实存在是NGFW得以在未来有很好发展的基础。我们相信,只有切实把握国内用户的需求,对本土化的应用和威胁有深入研究的公司必然会推出具有中国特色的NGFW产品。审计、应用管理、威胁管理、用户管理、高性能、统一融合,这些都是国内客户的核心诉求点。目前已经进入国内市场并推广NGFW产品的企业,需要经历对市场的一个熟悉和磨练的阶段。

在国内市场和安全技术领域多年积累的基础上,我们相比其他厂商具有更多的优势,例如在应用识别、威胁识别、用户管理这些领域。华赛早就开始研究下一代网络安全产品技术,积累了大量的经验。今年,我们全面整合资源,开始了对下一代网络安全产品的研发,目前的挑战是如何设计一个高效率的新的体系架构。无论如何,华赛全系列的产品都将向下一代演进,这对用户是个很好的消息。

安氏领信研发总监 杜永峰

尽管目前业界关于下一代防火墙的定义仍然不统一,但这并不会影响用户对其的需求。用户关心的不是“什么是下一代防火墙”,而是“什么产品能帮助他们解决日益复杂的网络安全隐患”。随着面向服务应用架构的激增,更多网络上的应用流量往往通过少数的公开端口进行传输,要甄别这些应用以及如何控制应用流量中隐藏的威胁,基于IP、端口进行访问控制的传统防火墙已经显得力不从心。Gartner对NGFW的定义基本解决了用户迫切关注的问题,在传统的防火墙基础上增加对应用层协议细粒度的识别控制能力以及流量可视化能力、并能在深度解析应用协议的基础上对网络威胁进行防护。所以在产品与技术层面,我公司基本认同Gartner定义的NGFW标准。

安氏领信认为,Gartner的NGFW定义中对威胁的关注点是由外向内(或称之为攻击),对内部的数据安全考虑较少。面对日益严重的数据泄漏问题,有必要在网络边界处增加对内部“数据安全”的解决方案。此外,以“用户”为访问控制元素的策略上,需要考虑终端与边界防护的立体解决方案,在终端的接入上进行必要的控制。

我公司预计会在下半年推出NGFW产品,我们会在UTM技术积累的基础上,以一种全新的视角进行重构,重点在企业应用层协议控制、网络攻击防护的功能点上进行挖掘。尽管目前NGFW在市场上的整体占有率不足1%,但我公司对其未来的发展充满信心,尤其是在中小型企业。很多人都会拿UTM来与NGFW进行比较,权且不论国际市场如何,就国内来看UTM大而全、性能低下、没有整体防御逻辑的诟病较难被国内用户接受,NGFW的全新的产品理念在迎合企业管理需求上能很好弥补UTM的不足,市场前景值得看好。

东软网络安全产品营销中心产品策划部部长 王军民

Gertner对NGFW的定义是很周全并值得认可的,应用识别是防火墙未来发展的重要技术方向,基于应用的攻击的不断变化也要求防御技术必须有所提升。对于这样的变化,传统防火墙只能望而兴叹,因为它在应用层的检测能力几乎为零,无法起到良好的防御效果;而IPS仅关注应用层检测,防火墙功能极弱甚至没有,这也是有些用户把IPS当做IDS使用的一个原因;UTM则是一个集大成的产品,能够很好的融合各种安全技术,但一个缺乏统一指挥、统一资源调配的庞大团队,其效率低下是无法避免的。NGFW的使命,就是在性能、安全性、易用性、可管理性等方面有一个质的飞跃,满足用户新的防御和管理需求。

NGFW集成了多种安全业务特性,在功能上很强大。但是网关类产品在网络中布署时,会面临各种兼容性方面的问题,所以良好的兼容性、可扩展性是这类产品的必备特性。在开发NGFW产品的时候,这些方面必须优先考虑,不能因为功能的扩展影响了系统整体的运行效率。

技术是没有国界的,NGFW在国外发展得很好,相信在国内也会有光明的市场前景。从目前情况看,未来两年将是NGFW产品高速发展的一段时间,相信它会成为是防火墙、IPS的阶段性终结者。

对于新技术和新的产品形态,我公司历来都非常关注。但产品化进程要看市场的成熟度,产品上市太早的话,销量受影响,资金压力会很大;而上市时间太晚,又会失去很多市场机会。如何拿捏好产品研发和推广的时机,需要进行周密的考虑。

汉柏科技战略产品中心总经理 时培新

防火墙的核心目的是根据准确的判定条件来提供周密的访问控制策略,而根据Gartner的定义,NGFW并不是UTM和现有防火墙的简单升级,它提供了更全面的应用、用户识别机制,更灵活的控制机制,以及更全面的安全防御。

汉柏科技认为NGFW主要在以下几方面进行了大的改进:

  • What:越来越多的应用和威胁,采用了嵌入Web和常规协议的方式。基于端口检测的UTM只能将其全部认为是合法的应用,而无法逐一识别出来。NGFW采用基于DPI/DFI技术的检测,能够深入到应用层报文,通过签名、行为特征识别技术,将这些应用或者威胁进一步区分出来,以便制定不同的控制策略。对于一些关键字、URL和敏感信息,NGFW也可以识别;
  • Who:NGFW改变了传统防火墙/UTM依赖于物理设备地址(MAC/IP)和用户身份对应的方式,进而采用结合身份认证和深度挖掘的机制,去更主动、精准地关联用户的实际身份(邮件地址、用户帐号、手机号码等);
  • Where:在一些应用场合,特别是远程接入等场景下,NGFW还可以准确判定用户的位置;
  • How:在丰富的判别条件基础上,NGFW提供了传统防火墙之外更多的控制机制,例如针对应用或用户的限速、限额、限连接数、QoS等级等控制策略。针对各种网络和应用层攻击,以及各种敏感信息,NGFW在同一引擎实现高性能的IPS基础上,应提供包括主动关联、DLP以及SSL Proxy等在内的多种安全业务。同时,从应用和用户视角提供Drill-Down的呈现方式,能够将精细到每个用户的每种应用的每个连接呈现出来。

从内部实现机制上来说,NGFW应当是以高性能为前提的。而复杂的识别技术(状态检测、深度报文判别、模式识别、行为分析等)替代了传统的基于端口检测的方法,需要更多的开销。要在高性能的前提下提供更全面的功能,对各种实现机制,如应用协议库的组织、多条流关联识别、检测和分析引擎的一致性乃至同系统底层和硬件平台的配合设计上,都提出了全新的考验。从用户角度来说,NGFW更多体现的是从实际使用者(比如人力资源)角度的设计,而不再用实际使用者完全看不懂的术语(例如“五元组”)去设定相关的安全策略。同时,功能将更多地基于一体化引擎,而不再简单堆砌,使用起来更流畅、易用。

汉柏科技已经在对NGFW进行缜密的产品规划,预计会在明年上半年推出PowerAegis系列NGFW产品。

天融信总工程师 吴亚飙

随着业务、应用、需求的不断变化,防火墙的定义和功能也在一直在演进之中。但无论是功能从单一到复杂,还是访问控制的粒度从粗到细,其总体趋势仍然是追求更加丰富的功能和更高的性能。从IDC定义UTM,到Gartner定义NGFW,都在一定程度上反映了产业发展的状况。但我们也应看出定义存在的一些不足,导致业界各厂商有各自不同的理解。这些定义还没有上升到权威机构(如IEEE或ITU等组织)主导的层面,也就天生缺乏广泛性和权威性。由于对当前防火墙发展存在片面理解,Gartner定义的NGFW比较适合企业用户实现对应用的控制,而不适合大型IDC、数据中心进行部署。

天融信防火墙的许多设计方向都与NGFW不谋而合。由于传统防火墙基于五元组的访问控制机制无法应对各种复杂的网络应用,天融信很早就将入侵防御等5大类型的防御机制加入到防火墙产品中。经过几年的磨合,这些防御机制已经实现单一引擎处理和联动,例如入侵防御功能侦测到的威胁可以自动加载到防火墙规则内,在网络层就能提前阻断。它们之间已经不仅仅再是互动关系,而是一个整体。

在应用感知方面,天融信防火墙可以做到对各种应用的精准识别,例如可以在识别出用户使用的即时通讯软件是MSN、QQ、Yahoo! Messenger还是网易泡泡等客户端的基础上,准确捕捉到用户正在进行的是文字通讯、语音视频、文件传输还是音乐播放等行为,从而有目的、有针对性地加以拦截和限制。

天融信防火墙还可以在多种环境下灵活定义以适应需要。在控制对象上,我们更强调将虚拟世界与现实主体结合在一起的行为控制。虽然Gartner在定义中强调了更细粒度的应用意识,但在应用支撑上关注不够,天融信防火墙不仅仅强调应用意识,还开发了丰富的应用支撑功能,如SSL业务的支持,业务通道的流量优化等。未来大家还会看到更丰富的应用保障功能,将颠覆目前的防火墙概念。

网御神州副总裁 王刚

当前国内防火墙厂家和产品很多,各家产品在追求差异化的过程中创造了种种概念,相似的功能也往往采用不同的表现形式。这一方面激发了厂家的创造性,一方面也对用户理解产品、选择产品造成了一定的困扰。Gartner作为专业的咨询机构,牵头定义NGFW概念是值得欢迎的,对规范行业内产品形态、引导市场方向来说能起到很好的促进作用。但也应该认识到,NGFW是传统防火墙产品技术的发展延伸,而不是对其的否定,两者不能切割、对立起来。另外,NGFW标准也不会是一成不变的,随着市场需求和技术的不断发展,它也需要做相应的调整,因为只有真正符合用户需求的产品才是合适的产品。

在现有标准之外,NGFW应考虑加入基于权限及身份认证的安全接入控制和用户上网行为监控特性。此外,不同的用户群体有不同的需求侧重,如运营商就在BGP、MPLS、IPv6等方面有着更高要求。还有一个容易被大家忽视的是智能化可视报表及人机交互系统的易用性,这也是NGFW在传统防火墙基础上需要改进的。

防火墙做为边界安全第一道防线,仍是安全市场需求热点,且仍会占据最大的市场份额;NGFW作为防火墙产品中的一员,也会在这个市场中占有一席之地。短期来看,用户接受NGFW还需要一个过程;长期来看,NGFW肯定能更好地解决部分现有防火墙难以解决的问题,市场增长速度会超过防火墙整体市场的增长速度。当国内厂商积极引导、顺应客户需求的、纷纷推出NGFW产品时,会掀起市场的热潮,甚至带动防火墙整体市场取得更大的突破。对于网御神州来说,NGFW已纳入公司产品规划,计划在明年第三季度推出一系列不同规格的NGFW产品,以满足不同用户的需求。同时,NGFW的部分理念也已融合在现有的产品中。

瞻博网络系统工程师 候志昂

Gartner定义的NGFW标准主要强调了在应用层抗攻击的重要性。从技术层面上看,我公司认为NGFW需要在应用层实现丰富的审查与控制功能,例如应用层的流量分析与过滤、应用层QoS、对应用层DDoS攻击的防护都是NGFW的重要特性。在产品层面,NGFW产品需要在高可扩展性方面做出更多革新,通过在软件和硬件层面的模块化设计,实现功能、接口数量、处理能力的即插即用式升级,才能够使产品具有更长的生命周期。具有长远的技术前瞻性、架构设计优秀的产品才能够作为NGFW的代表。

产品设计方面,NGFW应该实现控制、转发、抗攻击三平面的硬件模块化分离。由于下一代防火墙需要在高性能网络中承担应用层审查和攻击抵御的任务,其转发平面势必面临比传统防火墙更为繁重的压力。如何在繁重的压力下保证防火墙的可管理性是未来必然面临的问题。因此,把控制层面独立出来,在高速安全处理的同时保证管理层面的畅通无阻,是提升防火墙稳定可靠的决定性因素。此外,针对DoS攻击等恶意流量,通过独立的抗攻击硬件层面进行处理也能够从根本上保障正常数据流不会被攻击流量所干扰,确保业务的健康运行。

一款产品的架构设计决定了其生命周期的长度。下一代防火墙中,在高端产品线引入交换矩阵是非常重要的。只有通过交换矩阵才能突破跨板卡流量性能的瓶颈,真正实现无阻塞转发。同时为了适应业务的增长需求,是否能真正做到可灵活扩展也是非常重要的因素,下一代防火墙需要能够实现性能、接口的零配置平滑升级,而决不能是简单的多台独立防火墙堆砌式升级。只有这样,才能实现可远期规划的网络架构,也可以节省投资、机房空间与能耗。

另外,防火墙的高可管理性也是下一代防火墙必须实现的目标。除了丰富的统计、日志以及友好的界面外,NGFW产品还应提供一个具有开放性的平台和丰富的接口,支持自编程脚本在设备上的运行,才能满足不同行业用户越来越多的个性化需求。

国内用户正在从扩张网络规模的建设阶段向建立追求高质量的、以数据模型为核心的网络为目标进行演进。在这个过程中,NGFW产品将成为网络安全层面不可或缺的角色。瞻博网络在2008年就已推出了NGFW的代表作SRX系列防火墙,该产品在传统防火墙的基础上灵活集成了攻击代码检测与防护、应用层识别与防护、应用层DoS攻击防御等功能。目前,SRX系列防火墙已经在国内的运营商、金融、能源、教育等行业用户的网络中大规模部署。

(9个打分, 平均:4.22 / 5)

雁过留声

“竞速下一代防火墙”有98个回复

  1. 老韩 于 2011-08-12 11:52 上午

    WordPress的显示成问题啊,IE8下默认显示正常,IE9下跨板图右侧多5列字/兼容模式下正常,Chrome下跨版图右侧多1列字。

  2. maxtor 于 2011-08-12 4:13 下午

    感谢好文,不过Firefox下显示也不好

  3. mac 于 2011-08-12 5:35 下午

    safari on mac same problem

  4. Ipad 于 2011-08-12 6:06 下午

    Safari on ipad the same

  5. willchen 于 2011-08-12 7:03 下午

    这篇文章没有测试,仅仅鼓吹了一下新概念。失望之至。就算没有统一测试标准,测试一下各厂家宣称的功能是否能有效实现,测试一下功能模块开启时的实际性能应该不是难事啊。除了给五家公司打广告,没见什么实质内容。失望。

  6. kevinw 于 2011-08-12 8:15 下午

    这软文质量实在不敢恭维。Juniper系统工程师描述的显然是答非所问

  7. kkblue 于 2011-08-12 8:40 下午

    在广告中,至少可以看到一些端倪,一些发展的趋势,并非看到了技术,就是实质的内容

  8. ykzj 于 2011-08-12 9:24 下午

    Palo Alto都有啊

    不知道有没有Cupertino

  9. 尼尔斯飞 于 2011-08-13 12:12 上午

    怎么没有panabit

  10. yimiqi 于 2011-08-13 12:33 上午

    梭子鱼的设备外观上看顶端那一排怎么看都像硬盘位。有点zentyal的味道

  11. 老韩 于 2011-08-13 12:54 上午

    测试最好等产品更加成熟以后再进行,这次是对概念、产品实现、市场和厂商态度的一次梳理。本文中没有广告,所有资料来源都是官方文档或者采访。

  12. Chicane 于 2011-08-13 12:59 上午

    顶3楼,的确,没有实际的测试很让人失望。不过我想,也可能因为客观情况不允许吧,毕竟安全这圈,很多厂商都号称有,但是没人见过。

  13. matriz 于 2011-08-13 1:23 上午

    不是说还没完么?估计到后来会有一些产品的数据和对比吧!不过这个市场到底怎样不好说,不知道是不是某厂商一厢情愿攒几个概念圈钱的,看看市场反响再说吧

  14. lau 于 2011-08-13 3:32 上午

    现在的弯曲鲜见技术文章,风格完全变了,到处充斥着这些科普广告类文章,o(︶︿︶)o

  15. billy 于 2011-08-13 4:05 上午

    1.

    写的不错,无关广告与否;首先是系统性的整理了各家的现状与观点,仁者见仁,智者见智,至少不再是“一言堂”;其次,对于未来的产品而言,大家都在摸索中和实践中不断调整、尝试、失败、再尝试、稳定、包装、推向市场、升级,这一过程本身是具有共性的,“唯产品论”与“唯指标论”都是不可取;为什么TP-Link能够用极低的成本成就相对很高的销售额,为什么几大军团的产品要卖到接近天价,都各有各的目标客户群,发展方向,企业是不会去研发一个不符合其发展方向的产品的,否则所带来的风险将成为最大的隐患。

    2.
    为什么不将其视为一篇普及NGFW态度|观点的文章,何必去一定要追究针对某一具体产品或指标的测试与否、数据报告与否…imho, 态度决定深度,观点决定广度;

    3.
    也许老韩该转向忙重大私事了…:)

  16. 随便说说 于 2011-08-13 4:15 上午

    现在不怕你有新概念,就怕只有新概念。就好比UTM刚出来那会儿,大家都忙不迭的号称:我也有!结果不是忙着O一个,就是攒个界面应标了事儿。倒是乐坏了飞塔,光是O就赚了个盆满钵满。
    现在NGFW又出来了,希望不要又走老路。当然,不走不太可能…

  17. 阿土仔 于 2011-08-13 4:49 上午

    这类文章有个特点,说的都有道理,条理也很清晰,但看完了仔细一想跟没看过的感觉差不多

  18. 阿峰 于 2011-08-13 5:57 上午

    产品发布会和产品说明书~~~

  19. wowpaladin 于 2011-08-13 6:54 上午

    之前还以为NGFW有什么新东西,看了这篇文章终于明白了。原来就是UTM做了个减法,保留防火墙、VPN、IPS、应用控制几项功能,没有新意。

  20. 老韩 于 2011-08-13 8:45 上午

    企划、框架和观点都是我自己的,否则就注明了被访者,哪里软了?软文的定义是什么?

  21. lz 于 2011-08-13 8:53 上午

    汉柏科技有人知道啥背景不?

  22. aguai 于 2011-08-13 9:05 上午

    详细的拜读了老韩的文章,整体感觉非常不错。
    忽悠吧,尽情的忽悠吧,大宋有的是钱。嘿嘿。

  23. 尼尔斯飞 于 2011-08-13 6:58 下午

    用一句话说,NGFW核心在于应用的识别,对于流量的一切操作都基于应用。问题是:如何评价设备的应用识别的能力?

  24. 陈怀临 于 2011-08-13 8:35 下午

    感觉NG的NG其实就是Open Flow了。想不出来还有啥好忽悠客户的了。。。

  25. 老韩 于 2011-08-14 12:57 上午

    OpenFlow在企业用起来难度太大,数据中心中指日可待。企业端最可能发生的还是商业模式的创新。

  26. willchen 于 2011-08-14 1:33 上午

    韩总如果能静下心来,详细测试并比较一下各厂商在应用分析粒度上的能力,将会迎来一片叫好之声。但估计实施难度太大。。。这种事儿在中国太难了

  27. 老韩 于 2011-08-14 2:15 上午

    有机会的吧。我记着这事。或者为了排除广告或者软文之嫌,本着大公无私我不入地狱谁入地狱的积极心态,26楼可以送个你司的设备给我,咱做一次阳光下的测试。

  28. kernelchina 于 2011-08-14 3:06 上午

    应用识别所用到的技术ids ips也一样用,为什么称之为ngfw,fw是用做访问控制,之前精确的五元组控制在加入应用之后把ids ips的坏毛病也带过来了解就是不能保证100%的成功率 借花献佛也是创新 问题是用户要认可 纯忽悠是不行的 但是自己不一样的地方应该勇敢说出来 原有的领导者如果不能引领用户必将被抛弃 用户喜新厌旧

  29. 张百川(网路游侠) 于 2011-08-14 3:35 上午

    拥有市场占有率的厂家不会吹嘘概念,相反的,一些厂家急于提高占有率和知名度,却没有好的方法,只能包装一个概念出来。

    一直认为NGFW和UTM没有太大的差异。创新性的功能,一个都没……

    不过韩同志整理这个专题也很费劲了。支持下

  30. CCC 于 2011-08-14 8:17 上午

    瞻博网络则声称2008年发布的SRX系列防火墙是NGFW的代表作,但我们在该公司官方网站及互联网上暂时没有找到相关信息
    --没有还是没去找???

  31. Zeroflag 于 2011-08-14 8:26 上午

    一个字一个字的读完了,没啥可发表的意见。整体来说ngfw只是一个概念而已,这个概念成与败都无所谓。但是其所强调的集成化与高性能确是业界实实在在的发展方向。

    另,从任何一个角度看,这都不能算一篇软文,否则出钱的人太悲催了。楼上几位看清楚再说。

  32. 秋风 于 2011-08-14 8:46 上午

    信息量很大,内容还是很硬的

  33. 落叶 于 2011-08-14 9:16 上午

    读完以后就一个感觉,没新东西!

  34. 谢婧雅 于 2011-08-14 5:59 下午

    为什么你们总是这样批评作者呢?我觉得作者还是很费心的,而且,平心而论,立场是比较公正的。至少,我读了以后明确了很多原来不清楚的概念,在阅读原始的RFC等标准文献时,有了一个敲门砖。这篇文章和那些浸满铜臭的软文根本没有可比性啊。

  35. xiudong 于 2011-08-14 6:29 下午

    当时配合老韩做这个专题的时候,到没感觉这个专题到底有多大,文章一出来我还是比较惊讶的,整个专题还是很大的,从工作量上来讲,老韩应该是比较辛苦,写的也比较客观,楼上说软文的估计有先入为主的思想,这个专题不是实测,主要是分析、汇总下业内安全厂商对NGFW概念的观点,再加上计算机世界自己的看法,摆正这个心态来看,还是不错的,至少不是一言堂:)NGFW这个产品能不能起来倒是另说,个人感觉这种从传统产品上找改进的思路到是可以的,这个跟以往厂商所做的出新的问题就新产品解决、出一个新问题就给客户卖个新产品的思路还是不太一样,不过产品区别大不大,确实不是很大,关键应该还在实现效果、思路上,说到底还得到客户那见真章。

  36. chinaslot 于 2011-08-14 8:31 下午

    详细看完了,文章还是不错的,NGFW是未来的趋势。但是小小腹诽一下,感觉大多东西其实也就那么回事,从技术角度上看,说是骗人是过分的,但是从忽悠领导角度看也不错。

    唉,虽然生的晚,单还是怀念互联网当年彬彬有礼的时代啊。

    话说回来,如果一直彬彬有礼的话,还不炒点概念的话,估计我这种搞技术的早就在城管的追杀中摆上红薯摊了。

  37. george 于 2011-08-15 2:02 上午

    NGFW感觉言之无物,玩的就是一些文字游戏。成功的产品营销是一句话,深刻表达产品本质,用户得到清晰的认识。用这样大的篇幅才能分析与UTM的区别,NGFW应该走不了太远。
    UTM的成功是很好地适应了中小企业的需求,算是一个非常成功的产品营销。

    未来随着云计算、数据中心的发展,防火墙将演变成两类产品:虚拟化、高性能、强大的抗攻击能力的云端防火墙,另一个就是为终端网络服务的多功能防火墙,类似UTM。

  38. george 于 2011-08-15 2:10 上午

    国内行业市场的安全解决方案还是以防火墙为龙头,深信服此举可以浑水摸鱼,在防火墙领域谋取一席之地,为市场的转型进行支撑。

  39. NGFW 于 2011-08-15 2:51 上午

    感谢韩记者敏锐的市场意识为我们整理这一篇好文章。

    NGFW=UTM?这完全不是一个概念。纯理论方面简单说,对协议的精确识别、准确理解和控制、对语义的解析等应该是NGFW的关注重点。目前代表产品个人认为:Palto/Panabit/Juniper SRX1400 产品,其他产品上,没有看到类似NGFW的雏形(可能接触面有限)。

  40. xxx 于 2011-08-15 7:56 下午

    netscreen算是砸juniper手里了

  41. kernelchina 于 2011-08-15 10:33 下午

    FW是干什么的,是做访问控制的,这才是NGFW的重点。至于UTM,重点功能是什么?杀毒?内容过滤?
    Panabit是NGFW的代表产品?哪里听说的?

  42. 老韩 于 2011-08-16 12:21 上午

    结合弯曲、IM、email、电话、口对口的留言/交流,我现在怀疑是不是文章太长了,导致难以一个字一个字地细看?很多细节在文中都写得很清楚了。

  43. 尼玛 于 2011-08-16 2:15 上午

    汉柏科技以前叫比蒙新帆,再早又叫比蒙系统。你懂得

  44. 一点 于 2011-08-16 2:42 上午

    安全应该是个整体方案,包括网络/存储/服务器/终端等方面,光NGFW是不够的。

  45. Tracy 于 2011-08-17 5:56 上午

    :-) 挺全的,而且作者写得很好懂。谢啦

  46. 理客 于 2011-08-17 1:53 下午

    老韩还是很下了一番功夫的,赞一个。
    如果没有在一个领域10年左右的浸淫,很难写出有相当深度的文章,比如之前一个关于DC的大作,所以做技术编辑其实太难,因为技术太广了。但是如果老韩希望走技术路线,那么即使再难,也还是要往深里冲,否则,如果几年后还是这样的文章,在继续这样的工作就不值了
    OPEN FLOW应该在企业网有市场。

  47. 玛雅茶 于 2011-08-18 9:14 上午

    弯曲,是天下人的弯曲,请尊重别人的劳动成果

  48. 路人甲 于 2011-08-18 9:30 上午

    弯曲在帮某个帖子屏蔽言论,太让人失望了陈同学啊!!

  49. 陈怀临 于 2011-08-18 9:56 上午

    不可能呀!是不是什么关键词了?

  50. 呵呵 于 2011-08-22 11:06 下午

    比蒙的意思就是,和达芬奇家具一样,比看谁更能蒙人

  51. 路人乙 于 2011-08-23 12:52 上午

    做为近年来崛起势头最为迅猛的本土信息安全解决方案提供商,深信服一下子成了安全公司,有意思。

  52. kernelchina 于 2011-08-23 2:33 上午

    有人能代表用户来说说体验吗?毕竟做东西是为了满足用户的需求,而不是孤芳自赏。

  53. 路过的 于 2011-08-23 2:59 上午

    文章其实不错,可惜这个话题太具有争议性了。

  54. george 于 2011-08-23 3:03 上午

    可不可以以这样的思路来讲:传统防火墙是基于网络层做访问控制、抗攻击,NGFW是还必须应用层做访问控制与抗攻击。

  55. ITman4CCIE 于 2011-08-23 3:35 上午

    应用防火墙仅仅是一个概念的炒作,没有什么实质的东西。任何一个做UTM的厂商(看起来上面几个全是),贴个牌子做个广告就成NGFW了。老韩和深信服走的比较近啊,广告嫌疑。安全就是被忽悠的不值钱的。另外看了一下NGFW的创始厂商,Palo Alto的一些资料。现在其销售额2亿美金,即将IPO。但是怎么看都觉得其宣传的机遇应用做防护的概念没有在其应用识别中体现,倒是很向当下中国被鼓吹的上网行为管理+防火墙。大量的互联网应用在其列表中,如果说防火墙是安全区的防护,那么安全区有多少可能性存在P2P,Facebook应用呢?

  56. kernelchina 于 2011-08-23 5:44 上午

    总之还是如何为用户带来价值。ngfw在用户那里的反应如何?图牛网用的是哪家的。

  57. To 56 于 2011-08-23 6:45 下午

    途牛应该用的是Pan家的。似乎目前NGFW里,只有Pan家的还算可以(产品本身和销量)。不过NGFW整体销量都不大,而且作为一个新生产品,问题应该不少,但是的确是个趋势。

  58. willchen 于 2011-08-23 7:56 下午

    防火墙的名字早就不能代表其功能及作用了。最早的防火墙概念只是防外,而自从发现内网主动泄密的危害后,内外兼顾的理念就已经逐步体现在了每一次防火墙更新中。所以说,安全网关的名称可能更适合描述现在的防火墙。而不管是突出应用层识别控制也好,还是上网行为管理,无外乎两个关键点:一是技术关键点,即深度应用识别。什么DPI啦都应该归于此。核心的目标是尽可能的细粒度还原会话流。只要还原的够细够准确,控制就不是问题。第二个关键点是控制逻辑设计。即应采用什么控制逻辑来实现访问控制最优化。这方面的工作包括人机交互界面的设计,策略生成方式的设计等。其核心目标是通过良好的控制逻辑设计,使目标客户能最方便,最准确的实现访问控制策略。
    无论是上网行为管理+防火墙也好,还是所谓的NGFW也好,无外乎在这两方面有所突出或创新而已。但不要忘了,底层还是通过对每个数据包的控制来实现其目的的。
    俗话说,不管黑猫白猫,能抓住耗子就是好猫。只要用户知道自己家里是什么耗子,就知道什么猫最合适。

  59. 同意Will CHEN 于 2011-08-23 8:15 下午

    UMT+还是很给力的,嘿嘿

  60. 老韩 于 2011-08-23 10:44 下午

    To 55:没和深信服走得近啊,可能是宣传推广理念上存在差异的原因,我一直和深信服关系比较生疏。再说内文中对深信服产品叙述的内容从结构到篇幅都和其他4家差不多吧?我倒是想多写国内厂商,怎奈只有他一家发布了NGFW,并且功能上基本符合规定,不像某大厂商推出的所谓“下一代防火墙”那么离谱。

  61. 必须说 于 2011-08-24 7:41 上午

    51楼,vpn,上网行为管理,防火墙,不算安全公司?

    你 。。。。 研发中心在 深圳 金融基地 二栋 2楼,4楼,
    悄悄告诉你,2楼就是AF

  62. anonymous 于 2011-08-24 10:05 下午

    广告软文

  63. xiudong 于 2011-08-25 7:49 下午

    to楼上:我要给老韩鸣下不平,这个确实不是广告软文,如果是广告软文那也采访了太多的厂商了,根本显示不到广告软文的目的,作为其中一个配合的人,我很了解。

  64. 老韩 于 2011-08-26 12:02 上午

    To xiudong:

    有必要先弄清楚“软文”的定义是什么。据我了解,国内大部分网络厂商(华为、华三、华赛、中兴)会把行销性质的内容都称作“软文”,而不管内容是厂商提供还是媒体自行撰写,也不管其中有没有商务合作。我认为这种理解与这类厂商的市场部门挂在行销体系下有很大关系,并且国内网络厂商所说的“市场部”往往就是指包括销售在内的行销端。

    而大部分国内厂商和媒体所理解的“软文”,是准确地讲就是文字广告,在平面媒体上一般都会变字体刊登,也不上目录。这和市场部在安全厂商中通常处于独立位置有关,他们的工作虽然也要对行销有促进作用,但不会过分屈从于行销,独立性要强得多,作风往往也客观得多。

    情况就是这么混乱,媒体和网络厂商、安全厂商打交道的过程中经常要注意角色转换的问题,因为二者的“市场部”对媒体的看法、态度都是不同的。

    你我认为不是软文,说明我们站在后者的立场,而62楼的匿名同志显然应该来自网络领域。那么到底哪种说法准确,其实究起来没啥意义,况且要弄清楚也没那么简单。但是对于网络厂商中市场部处于行销体系下的现状,我觉得不太合适,在国内尤其会造成之前评论中提到过的强·奸媒体的情况。

    其实这个话题都可以写一篇评论文章,好好研究一下。网络厂商可以把市场部挂在行销下面,因为他们客户群体单一,比如运营商、大型行业用户,不必去像安全厂商那样去做很多品牌、推广、公共关系、活动之类的工作。它们的品牌不需要建立在广度上(除非到达一个规模以后再做突破),一切都以深扎用户、打单为导向即可。但是安全厂商如果没有品牌知名度,很多用户是不敢冒险采用新品牌的(因为企业用户更多),出了问题谁也不敢担责任。

  65. 支持老韩 于 2011-08-26 10:08 上午

    这里基本没客户在看 软文在这里用处不大吧 要是软文的话不会这么多家厂商的 老韩还没那么大能耐能说服这么多厂商一起给钱让他发软文;
    总结:什么人就认为是什么事!

  66. boycs007 于 2011-08-29 12:11 上午

    个人觉得很难区分是否是简单的功能堆叠?最好给一个参数,功能的开启必然导致性能的下降,到底下降控制在多少以内算真正的NGFW,强烈建议写清楚,不然作为非作者重点提到的五家产商的员工,很难服气。

  67. 窃以为 于 2011-08-30 1:52 上午

    NGFW是某国内厂商的注册商标,理论上,别人没办法在国内卖这个东东。

  68. NGFW 于 2011-08-31 11:03 下午

    NGFW是天融信公司的注册商标,天融信防火墙从诞生第一天就叫NGFW

  69. kevint 于 2011-09-01 12:44 上午

    没人会给自己贴个牌子傻呵呵的叫NGFW的。PAN天天叫唤着NGFW,你看见他有叫NGFW的产品吗。

    何况这种官司真打起来,诉个商标无效也是有可能的。

  70. 弯曲新人 于 2011-09-06 11:45 下午

    我觉得不是软文,写的很好,很细。
    就是啃起来有点生硬。支持老韩的劳动!

  71. 张威 于 2011-09-12 7:09 上午

    我很看好NGFW,能否从技术底层介绍下如何一次解析 并行处理?

    中小企业需要的是集成度高的安全产品

  72. faint 于 2011-09-29 1:41 上午

    1 取决于特征库,应用、攻击。。。
    2 取决于处理流程,一次解析 并行处理。。。
    3 用户界面。。。

  73. ABC 于 2011-10-07 10:28 下午

    科普文章,看来挺好的,对我等安全行业外的人来说,对了解行业发展很有帮助。
    还是谢谢老韩和诸位编辑的工作。

  74. gztommyt 于 2011-10-08 7:44 上午

    “智能化联动:获取来自“防火墙外面”的信息,……实现自动联动的效果(如思科的“云火墙”解决方案)。”

    有时觉得安全业界产品的炒作是被一些只了解表面,未深入去透析产品技术概念实质的媒体所炒作起,或许也是安全市场有隔段时间炒作的需求吧。
    c推cloud Firewall有其特定的含义,例如产品技术中支持Netflow,通过该技术来推所谓的cloud fw,有点类似J推的FlowSpec技术,但真正在大网中应用的的实例少之又少.
    为啥? 动态实施安全策略,这是因素之一。动态能否100%准确?是否会误判 误拦截,误拦截所导致的影响范围有多大? 人都不能保证100%准确, 何况是人写的程序。
    在这方面很多厂家随便拿起某种技术概念就HY成云产品,这个需客户用慧眼去辨别了。
    感觉无论你定义为下一代产品好或云产品也好,只有真正读懂客户的需求才能推出好产品,客户的需求是动态变化的,下一代后是啥? 超一代?

  75. wantofly 于 2011-10-20 11:21 下午

    写得不错。

  76. george 于 2011-12-15 12:52 上午

    瞎猜:
    与UTM相比,NGFW在NAT,IPS方面功能相同。
    但是在访问控制方面,有天壤之别。

    与上网行为管理相比,深度的应用控制方面比较接近。但是上网行为管理,专注上网这一件事的各个方面,来做管理,NGFW强调的是访问控制。

    NGFW有可能过于前卫,没有需求支撑来落地而最后消失。事实上,应用的访问控制还是由服务器来控制最好。

  77. willchen 于 2011-12-15 6:15 下午

    to:george
    不明你所指?
    NGFW和UTM以及上网行为管理在访问控制到底有哪里不一样了?实在没明白,请指教。
    个人以为NGFW没啥前卫的,只不过是把用户对数据的控制管理界面做了使用方便性的优化而已。
    无论是什么安全网关,无论要实现什么目的,其根本都是访问控制,其技术核心都是DPI。

  78. george 于 2011-12-15 7:53 下午

    UTM和防火墙策略配置是基于IP、端口为基础。

    我很早以前看见过PAN网站上的策略配置的界面,配置的基础可以是用户。

    用户和IP、端口是截然不同的概念,各种各样的IT系统都管理各自的用户信息。所以我突然猜测,这种访问控制是否下一步就是扩展到各IT应用系统内部呢?

    如果是这种扩展的话,产品目标就和FW/UTM/上网行为管理大不相同了。

  79. george 于 2011-12-15 8:16 下午

    就现状来看,NGFW和UTM、上网行为管理没什么大的区别,实在没有提出这一新概念的必要。

    我一直认为这一概念相对UTM的成功非常失败。既然Gartener和大师们都认可这一概念,所以想到NGFW是不是另有所图。

    我已经不干这行好几年了,willchen是贴近市场的专家,看法应该更客观。

  80. willchen 于 2011-12-15 10:38 下午

    个人认为palo alto的防火墙最大的特点是在传统五元组的基础上,将原来作为防火墙辅助功能的身份认证紧密结合到策略中,同时对应用识别和策略匹配采用了专用硬件加速。这样带来的好处应该是策略设置更加灵活,且性能应该在开启内容过滤的情况下不会有太大降低。但其缺点估计可能为成本较高,且性能受限于专用处理芯片能力,在现阶段无法做到运营商级别。而较复杂的设置界面及安全理念也可能需要较多客户培训工作。

  81. 老韩 于 2011-12-15 11:50 下午

    楼上是不是把你司的产品竞争分析抄了一页上来

  82. to老韩 于 2011-12-16 6:35 下午

    华赛的UTM+,很给力!

  83. willchen 于 2011-12-18 6:35 下午

    to:老韩
    我确实参考了我司文档。但自己也上他的网站看了它的宣传文档。不知道我司的竞争分析写的是否正确?正好跟你请教一下。

  84. 老韩 于 2011-12-18 10:04 下午

    to 80:照理说你司的文档不该有误。谁写的?

  85. willchen 于 2011-12-18 10:24 下午

    我司的信息安全你是知道的,不能说啊不能说…
    别照理说啊,哪儿错了赶快澄清一下,我现在在偏远山区,两眼一抹黑,只能看各司官网和我司自己的资料

  86. 游泳的鱼 于 2011-12-19 12:13 上午

    看完了,但感觉又像什么也没看到

  87. 老韩 于 2011-12-19 4:54 上午

    To 85:没看出什么错误,好多事情我也不知道啊

  88. dd 于 2012-02-14 12:01 上午

    to 43, 比蒙新帆什么背景?

  89. billy 于 2012-02-14 6:52 下午

    弯曲潜水的就有比蒙的股东之一吧…请自觉出场亮相…

  90. 小猎 于 2012-02-24 9:26 下午

    信息安全猎头职位: 攻防研究员/架构师/运维总监/测试/LinuxC/java工程师/安全顾问/产品经理/市场技术总监/金融大客户销售……联系qq:2594873804

  91. someok 于 2012-02-26 7:21 下午

    中国式的概念和忽悠,没啥新意,就像某评测中心的评测一样, 所有产品都有特点。这是一篇高度娱乐化文章,逗大家玩

  92. aaa 于 2012-05-05 1:49 上午

    也就kernelchina说到点子上了

  93. tom 于 2012-05-05 5:35 上午

    不管utm和ngfw,甚至utm 2.0,utm++,怎么叫都没关系,关键是这些功能要可用,能用,好用,而不是一个摆设,更白一点,用户自己愿意掏钱买这些功能。

  94. Monica 于 2012-05-05 6:30 上午

    NGFW这个概念根本就不合适国内

  95. aaa 于 2012-05-07 7:21 下午

    比蒙,就是血多呗,移动速度死慢…. 起这名字的人肯定玩英雄无敌的,咋不叫独眼巨人呢,好歹是个远程的。

  96. hid 于 2012-05-08 12:42 上午

    aaa是一个团队么?

  97. nx 于 2012-05-08 4:11 上午

    其实现在国内搞网络安全都很难赚钱 导致技术创新少

  98. aaa 于 2012-05-08 7:03 下午

    这些技术什么的,多干几年谁都明白,但创新并不是谁都能做的.目前国内的这些公司重视创新,鼓励创新,敢于投钱创新的都很少。大多数所谓的创新都是跟风而已。