下一代防火墙正当时
在2009年,Gartner第一次提出了下一代防火墙(NGFW,NextGenerationFirewall)的概念,将应用识别、IPS防护与传统防火墙功能融合到了一起,几个环节还可以智能联动。如果说智能手机是互联网宽带化、移动化、社交化的趋势下用户对内容访问终端的要求。下一代防火墙的出现则是这些趋势对网络安全带来新挑战的结果。首先,Web2.0技术的发展和社交化的趋势使基于Web开发的应用数量大大增加,仅靠传统的防火墙无法区分运行在相同80端口上的不同业务应用,必须准确识别应用以达到访问控制和业务加速的目的。其次,宽带化和移动化的趋势使信息资产的重要性达到了前所未有的高度,以自我证明为目的的黑客行为逐渐形成庞大的产业。各自为战的传统安全网关难以抵御变换无穷的新威胁,下一代防火墙必须集成多种防护功能并进行智能的联动。再次,越来越多的应用层流量保护使UTM力不从心,性能不足以支撑。因此需要下一代防火墙在开启多项应用层防护功能后仍能正常使用。综上可以看出,不是谁去选择、创造了下一代防火墙,而是ICT技术发展的大势逼迫企业将这样一种设备应用在新一代的网络防护上。
下一代防火墙:从“过去将来式”变为“现在进行式”
下一代防火墙的概念是五年前提出的,到了今天已经由“过去将来式”转变为“现在进行式”。经过多年的实践,下一代防火墙产品已进入成熟期,在海内外各个行业已经有很多成功的应用。知名咨询机构Gartner在《2014年企业防火墙魔力象限》报告中指出,下一代防火墙已经成为网络防火墙市场的领军产品,并预测2014年企业在边界防火墙的新采购中70%都会选择下一代防火墙。面对这样的市场热潮,各厂商纷纷推出自己的下一代防火墙产品,但在实际的使用中表现却参差不齐。企业在采购中必须擦亮眼睛,重点关注下一代防火墙几个方面的表现。
第一,应用识别的数量更多精度更准。应用识别也是下一代防火墙区别与传统防火墙的重要特征,因此,识别数量和精度是判别下一代防火墙优劣最重要的指标之一。首先,应用识别会用于访问控制。安全制度严格的大企业,会基于应用进行访问控制,仅放行必需的应用。例如,仅允许网盘应用的下载,但禁止向网盘上传。这种情况下,识别数量和精度上的不足会直接影响业务。其次,应用识别会用于业务带宽管理和QoS优化。例如,优先转发网页浏览等高优先级应用流量,却限制P2P等流量耗费型应用的应用带宽,将VoIP这类重要的业务流量转向高质量、有保障的链路通道。这些都依赖于应用识别的能力。再次,应用识别的结果还会用于后期的智能联动防护。例如:对Oracle流量进行仅和Oracle相关特定漏洞的IPS防护,从而提升性能、降低误报率。由此看来,应用识别能力有限的下一代防火墙产品防护效果也有限,业界领先的产品的应用识别数量基本在3000以上。
第二,功能全面性与应用防护性能兼备。客户在选择产品时常常仅看到功能的全面性,却忽视了开启这些功能后的性能,以至于购买的设备仅能作为传统防火墙使用。这样的下一代防火墙只是徒有其名,真实的能力只是和UTM差不多。下一代防火墙至少应融合IPS的防护,各厂家根据各自的理解还集成了其他更多的功能。IPS是下一代防火墙的重要功能,优秀的下一代防火墙产品开启该功能后整机性能下降不应超过50%。
第三,设备更加智能化,成为身边的安全专家。这里说的易用性并不只是界面友好这么简单。下一代防火墙增加了应用识别和IPS等更多功能后变的更加复杂,学习成本急剧增加。而安全设备非常依赖使用者的经验和技能,如果没有部署恰当的安全策略,再好的设备也无法发挥作用。企业通常缺乏专职的安全管理员,没有深厚的安全专业技能就很难做出正确的决策。这就要求下一代防火墙应当更加智能,从一个单纯的策略执行者转变为使用者身边的安全专家,辅助使用者做出决策。
华为下一代防火墙在您身边
当前,很多企业在采购新的安全设备时都在考虑选择下一代防火墙。在可以预见的未来,下一代防火墙将像智能手机取代功能手机一样统治企业防火墙市场。企业需要选择适合自己的下一代防火墙。作为国内安全行业的领军人物,华为在2013年9月推出了USG6000系列下一代防火墙,覆盖1G~40G的广泛应用场景。它能从用户、应用、时间、内容、威胁、位置6个维度进行综合访问控制,并识别业界最多的6000+应用;除传统的防火墙和VPN功能外,USG6000还集成了IPS、AV、DLP、Anti-DDoS、带宽管理、URL过滤、上网行为控制等全面的防护功能;采用独家的SmartPolicy技术,能帮助管理员快速部署安全策略并持续智能地进行优化和精简;由于采用了专门的硬件加速和先进的IAE引擎,USG6000开启IPS和AV后最高性能可达到20Gbps,能满足绝大多数企业的需要。在上市一年的短短时间内,USG6000已经服务于全球120+各行业用户,累计发货量超过5000台。