关于下一代防火墙的几个思考

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




作者:Tomqq,何恐,一个安全人 ,于2015年11月

NGFW(下一代防火墙)出来有些日子了,这3年多来众多主流厂家也都推出了各自的下一代墙。然而热闹之后,下一代墙并没有像厂家盼望的那样,对传统墙形成替代的燎原之势。与此同时,UTM也开始演进,逐渐和NGFW越来越没有区别。此外,虚拟化的兴起,对防火墙也提出了新的要求,不管是传统墙还是下一代墙,在虚拟化面前,不但摆放的位置需要重新定义,甚至对于东西向流量如何去适应也成了需要重新思考的问题。最后,态势感知、安全大数据在今年成为了国内安全届的热门,下一代防火墙应该在新的体系下充当什么角色,等等这些,都需要逐一重新思考,并判断出新的定位。

 

1、 下一代和防火墙vs传统防火墙/UTM:核心区别在于识别能力

下一代防火墙,按照公安部起草的标准,统一叫做第二代防火墙(GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》),并将国际通用说法“下一代防火墙”正式更名为“第二代防火墙”。

综观国内外各个不同机构的定义,总的来说认为二代墙和传统防火墙的最大区别是 可视化和高性能这几块,另外是有ips,av,url之类的但是我认为不是本质。比如PaloAlto就说 app Id、user Id + 高性能就是他们的核心技术,其实说的就是用户可视、应用可视,高性能。

 

另外,说到下一代防火墙和UTM的差别,一般是诟病UTM性能这块。具体到技术上,一般会说UTM是上一代技术,采用包一次通过每一个引擎处理,采用的是串糖葫芦方式,开启安全功能后性能会急剧下降;下一代防火墙是采用分离式引擎,一次性并行扫描处理所以性能会很高云云。实际上这是个伪命题,难道UTM不发展了吗?技术层面的问题都是可以解决的。

 

所以,在选择的时候人会晕。那么到底区别在哪里呢?

其实Palo是对的,从安全专业角度有句话,叫做“每个层面的安全问题,需要在那个层面来解决”。通俗的来说,先要看见贼,才抓的住贼,可视化这一块在传统火墙的粒度是较粗的,无法在3层来解决如今的7层应用安全问题,因为“看不见”。而性能这个,随着硬件的提升,其实也不存在什么解决不了的问题。至于在NGFW里面加入IPS,waf,行为管理,av,url…理论上厂商可以加入任何他认为有用的模块进去,这些我认为不构成本质区别。

 

另外,“可视”这个事儿解决好了,相关的Qos,策略执行,病毒扫描等等,都可以用较为精准的细粒度方式,基于“应用/用户”进行。也就是说,“可视”为精细化精准管理奠定了一个基础,这个是传统防火墙基于五元组这种粗放式的管理所做不到的。

 

最后,性能这块,现在确实比以前有很大提高,但主要还是基于硬件的提升,这个不构成本质区别。所谓的“快”,我认为还是应该有前提的,如果是你裸奔,我满载,你我比快有何用?

 

2、 下一代和防火墙市场份额:没有想象的大

实事求是的讲,NGFW没有对传统防火墙和UTM形成摧枯拉朽式的颠覆。实际情况是,大部分客户的需求传统防火墙基本能够满足,特别是渠道等中小客户。而且,这个因素把下一代墙的价格拉的也比较低。UTM继续在他的势力范围内销售,并且也越来越接近下一代防火墙。当然,下一代墙也有了自己一定的市场份额,毕竟有下一代墙的厂家,基本会主推这个来替代传统防火墙的销售。防火墙/下一代防火墙的市场边界已模糊,基本还是在原有市场份额里面混战。池子,并没有刨得很大。

 

下一代防火墙的特点是相对比较融合性的一个产品,比如具有传统火墙的NAT、PPPOE、VLAN、IPSEC/SSL VPN、ACL、Qos等功能,同时也有行为管理、入侵检测、WAF、反病毒、审计/行为管理、URL过滤等各种应用安全的功能。这个特点也容易让他四处树敌,比如摇身一变,可以变身为VPN;再一变,可以变为审计产品;再摇身一变,又可以变身为防毒墙、网页防火墙……事实上,各个厂家研发的下一代墙功能,也正是把自己的优势产品往里面去集成。下一代防火墙出来好几年了,很多客户还是搞不清楚下代墙的区别是啥。这让下一代墙的定位有些尴尬,既是万金油,同时也失去了自己的特点。比如,既然下一代防火墙里面有了IPS,客户为社么还要买单独的IPS? 防火墙里面有了vpn,客户为什么还要买专业的vpn?这都需要厂商好好自问一下类似的问题。

 

3、 新的挑战:下一代墙还需发展、突破

云技术这两年发展很快,已经不限于论文研究,全国各地陆续开始有越来越多云的建设项目。在云计算场景下,防火墙需要重新考虑他的位置和作用。

 

比如,在网络虚拟化的场景下,流量的进、出,不再采用传统硬件基于port、vlan等方式,而采用类似vSwitch的软路由方式导入;在私有云的场景,流量会分成虚拟机内部和外部流量情况,即“南北向”、“东西向”流量。这两种流量,需要防护的需求是不一样的,需要区别对待。南北向流量,主要是来自外部的流量,原有下一代墙的需求,本身就可以很好的进行防护;而东西向流量,主要是虚拟机之间的流量。虚拟机之间的隔离,本身就可以用虚拟交换机的策略来进行限制,那么需要防护的,主要是虚拟机之间的流量,比如审计、识别、数据库防护等,是它的主要需求。已有厂家对此进行了研究,比如山石,就很好的把这两种流量的防护,用“云界”、“云格”两个产品来区分,名字也很贴切。而传统硬件防火墙,只考虑了外部攻击的防护,对虚拟机内部,子虚拟机之间的流量还没办法直接防护。

 

另外,虚拟化形态(虚拟机)的防火墙也开始有了需求。公有云的提供者目前已经开始尝试,将传统硬件防护设备,统统变成平台上的虚拟机形态,通过平台商店,以产品和服务的形式销售。

 

最后,安全大数据在今年兴起,如利用安全大数据进行 安全态势感知、安全事件关联分析、安全预警等,也对防火墙提出了新的要求,要求防火墙能够具有流量监控和上报数据的能力,并能根据安全中心下发的规则,使得安全问题闭环。

 

综上,虽然下一代墙出来时间没多久,但是市场的变化,已经要求下一代墙尽快跟上新的变化了。将来不论是下一代墙的硬件形态、部署位置,还是下一代墙的防护内容,都尚需要不断发展,甚至突破。

 

4、 下一代墙的发展预测

  • 形态的变化

随着云计算、虚拟化的发展,下一代防火墙的形态将逐渐趋软件化,变得软硬不分,硬件只是软件形态的防火墙的宿主而已。

下一代墙可以灵活的部署在任何地方,比如物理网络边界、虚拟机内部、云的内部/外部,或者作为传感器插放在任何需要流量检测的位置。

 

  • 功能的变化

内外兼修是基本功——从传统防火墙的部署位置看,位于内外网的边界,一边是外,一边是内。因此,边界防御依然还是永恒的话题。对于外部,主要的需求来自于安全防御,因此ips,waf,抗D等等依然会有很强的需求;对内,主要的需求是管控,特别是对于流量、言论内容的管控。因此,对外防御,对内管控,这是一个内外兼修的下一代墙,需要做到的基本功。

 

万金油2.0—— 传统的ips、waf、审计、行为管理、vpn,以及新的功能,会继续不断地增加进来。当然,范围还是会围绕“流量处理”这一特点来叠加。随着功能的叠加,下一代墙会采用新的灵活的插件机制,通过授权的方式,灵活的增加功能模块,用户按照授权数付费;基本防火墙的功能,将会以一个很低的基础价格销售,大头还是付费模块,这样也很好的解决了和传统墙的价格纠缠不清的问题。

 

识别能力的持续加强——上面说到,下一代墙最本质区别就是识别能力,即:对应用的识别,对安全问题的识别,对用户的识别,对业务的识别。要防护应用问题,必须要抛弃传统x元组的粗放式防护,必须要持续的强化识别能力,强化dpi/dfi,并尽可能的利用数学建模、大数据、机器智能等方式,来解决靠人手工去识别协议的原始方式。看不见贼就抓不到贼,这是应用爆炸带来的内在需求动力。

 

软件化、瘦化——除了强化的识别能力,下一代墙其他的能力会弱化,而更多的向传感器、瘦盒子方向演化。比如,L3、L2功能,在云环境下,可以不需要,仅需要保留对流的识别和控制这个核心功能。不管是什么方式部署,流进来,处理,再决定下一跳的转发,这个基本的模式不会变。随着安全大数据化,不论硬件形式还是软件形式的墙,数量会越来越多,而核心功能收缩为数据识别和处理+日志上报。云端通过成熟的数据处理能力,对各种信息进行加工分析,进行态势感知、关联分析挖掘等功能运算,并将运算形成的结论,以ACL的方式下发给防火墙,形成闭环。在数据搜集方面,墙是最有利的一个位置,因为它量大。

 

另外,随着移动办公的发展,防火墙的物理边界也有着虚拟延伸的需要。因此,BYOD会持续发展,依靠下一代墙数据链路的加密能力,并配合终端数据加密,形成全程数据不落地的安全解决方案。

 

结束语

现实的生活中总是充满了机遇和困惑,做产品也一样会面对这些问题。面对不断变化的市场需求,唯有坚持围绕价值,拥抱变化,把产品最主要几个层面做好,才有生存下来的可能。

(没有打分)

雁过留声

“关于下一代防火墙的几个思考”有3个回复

  1. Multithread 于 2015-11-20 6:07 上午

    Good points.

    Echo the point on that the NGF should do less and be focus on policy enforcement.

    The abnormal events and logs should be sent to a big-data analytic platform for more advanced aggregational analysis.

  2. NGFW 于 2015-12-02 3:00 上午

    36种UTM防火墙上网行为管理安全网关NGFW功能对比: http://www.trustcomputing.com.cn/utmwall-rom/36_Firewall_UTM_NGFW_Gateways_Comparision.xlsx

  3. testtest 于 2016-07-12 7:52 上午

    2楼的哥们你的对比非常不准确,重新做一次吧!