/ 中存储网

众厂商谈下一代防火墙的过去与未来

2015-08-03 12:56:44 来源:比特网

下一代防火墙(NGFW)概念自2009年Gartner提出以来已历经几年时间。几年间,全球安全威胁态势也在发生着巨大的变革,一方面我们面临着威胁的不断复杂与演进,另一方面,云计算、虚拟化等技术迎头而来,也为安全带来了新的领域的挑战。那么在业界曾预言下一代防火墙将全面爆发的当下,下一代防火墙市场究竟处于一种怎样的现状?在云及虚拟化技术的夹击下,下一代防火墙的未来又将走向何方?

近日,本网记者也采访了业内几家安全企业,听他们讲一讲对于下一代防火墙过去与未来的看法。

Fortinet :

Fortinet 首席技术总监谭杰在谈及当前NGFW的发展态势时表示:目前大多数厂家的NGFW都已经超越了Gartner最初定义的NGFW 防火墙+应用控制+IPS的模式,而更多的产品更是没有很好地区分UTM和NGFW。

而在这方面,Fortinet的FortiGate一直以来作为高性能多功能安全网关,应用于不同的部署场景。Fortinet可以提供预定义的功能集来为用户交付NGFW产品。据谭杰介绍,FortiGate在功能方面始终保持其技术前瞻性。比如,为应对BYOD趋势与APT(高级持续性威胁),FortiGate逐渐丰富功能,将无线控制器整合到了FortiGate NGFW中,将无线网络赋予了极强的安全可视化和管理能力。在近两年,随着威胁的复杂、APT的流行和泛滥,Fortinet在2012年更新FortiOS5.0版本的时候更是融入了用户信誉功能,在内网基于用户行为来判定对网络的威胁。

“因此我们可以看到,NGFW的功能其实多与少取决于厂商对于安全趋势的理解密不可分。“谭杰说道。另外谭杰也表示:在性能方面NGFW也会越来越强。未来的NGFW一定是可以随着网络技术的发展而发展的,一定会更快。

而对于云计算、虚拟化对传统网关类产品带来的冲击,谭杰表示要应对如今的虚拟化和云计算以及SDN环境,NGFW要能够“软”,不止是要能够以虚机的形式部署到服务器上,更要能够适合大规模的云计算场景,适配更多的平台,更要适用于SDN场景,比如Vmware的NSX以及OpenStack环境。

同时谭杰也强调:防火墙的主要角色肯定还是网络隔离,随着威胁的演进,只在内外网之间放置防火墙进行隔离已经不够,内网的安全隔离也要使用下一代防火墙,这样可以提供内网全流量可视化。只有让用户看清楚自己网络内的流量情况,才能进行更好的防御。

“云时代,防火墙的重要性更加不可动摇。我们需要微分段、零信任、无处不在的NGFW来防御APT攻击。远在天边的云安全服务只是安全体系的一部分,而不是全部。“谭杰说道。

据谭杰介绍,在目前Fortinet所进行的项目中已经有70%以上的客户都需要开启应用控制,IPS等安全功能。下一代防火墙未来一定不会只局限在网关处,因此下一代防火墙会部署到企业内网,作为业务域,功能域,网络域之间的安全过滤与网络隔离。这一市场的增长会更加迅速。

目前,Fortinet的FortiGate下一代防火墙广泛应用在我们日常能见到的各种行业领域,未来Fortinet还将针对广大的互联网客户进行分业务场景的解决方案定制。此外,Fortinet也将会在硬件,软件和服务三方面继续进行创新。据悉,在硬件方面,Fortinet的FortiASIC NP6单颗40Gbps的性能以及处于业界领先水平,以及能为应用层加速的CP8,还有做DDOS防御的TP2(流量处理器);软件方面,FortiOS已经是业界功能最丰富的网关操作系统了,未来Fortinet仍然会根据用户需求,增加更多的功能,同时让界面更友好,降低用户使用难度和复杂度;在服务方面,FortiGuard安全威胁研究实验室的研究员每日都在全球范围与网络攻击者进行较量,捕获最新的攻击样本,进行研究,同时为Fortinet的安全产品提供特征更新,不断提升基于行为的识别能力,通过更高级的行为分析发觉到攻击者的蛛丝马迹和行进路径。

 东软安全:

东软网络安全事业部产品总监 杜强认为:近些年来,NGFW的概念的确也在不断的丰富和演变。在NGFW概念出现的早期,多数的产品在一些关键的特性上,还处于概念阶段,比如应用识别、入侵防护等特性在功能和性能上都远不能满足现实场景的需求。但随着技术的进步,越来越多的产品在NGFW核心特性上取得了突破,已经从概念走向了实用,而客户对NGFW的概念的接受程度也越来越高。

另一方面,以沙箱技术、威胁智能技术等为代表的下一代安全防护技术正在逐渐的成为NGFW概念的标配,这些技术在目前的国内市场仍处于概念阶段,相信在未来也会成为广为客户接受的通用功能。

据杜强介绍,根据东软安全对市场的了解,NGFW在企业中的部署比例基本在20%左右,但增长的速度非常快。随着企业的信息化发展以及与互联网的融合,企业对信息安全的需求也快速攀升,过去传统的安全设备已经远不能满足未来企业的需求。“根据我们的判断,三年之后,企业新购置的防火墙产品中NGFW可能要占到80%以上,可以说未来几年正是NGFW快速发展的黄金时期。”杜强表示。

对于云计算、虚拟化等技术对下一代防火墙等网关类产品是否会带来冲击的问题,杜强认为云计算的发展的确给传统防火墙带来了极大的挑战,但对于下一代防火墙而言,则是机遇与挑战并存的。

他表示:从当前的云计算厂商提供的方案来看,无论是公有云还是私有云,都提供了一定程度的基础安全防护能力,主要功能集中在包过滤、DDos防御、WAF和VPN几个场景,与传统防火墙产品、VPN产品、WAF产品和抗DDos产品的功能和防护场景重叠度较高。而NGFW的功能与防护场景,则集中在应用层,包括应用的识别与控制、入侵防御、病毒与邮件防护等等。未来,云计算的基础设施会做好基础性网络安全防护,而低层次的网络攻击也将对云上的系统也不再有效,这时攻击的手段就会被迫转向应用层转型,而针对转型后的攻击场景,最有价值的产品形态就是NGFW。

而从市场层面来讲,杜强认为现阶段的市场,即便是NGFW的市场驱动力,也仍旧侧重在基础安全需求上,这种驱动力促进了产品的过渡,同时也限制了NGFW市场的发展速度。而云计算的发展,将通过加固基础设施来迫使攻击手段转型,这将在短期蚕食NGFW的基础安全需求,但长期上会加快释放出了应用层安全的需求,进而促进NGFW的快速普及。

对于去年我国发布的“第二代防火墙标准”,杜强认为该标准的出台顺应了时代的发展,是立足于我国实际网络安全建设情况及用户需求产生的;它是从下一代防火墙演变过来的,为了能够更好的适应中国网络实情加强了一些具体功能要求。这是因为,Gartner所定义的下一代防火墙产品在国内的网络环境下并不能产生很好的防护效果,同时国内各大安全厂商的下一代防火墙功能各不相同,令用户产生诸多困扰。而我国出台的第二代防火墙标准与下一代防火墙主要的区别在于对“Web攻击防护、信息泄露防护、恶意代码防护和入侵防御”这四个功能项有更明确的要求。

在产品方面,东软的下一代防火墙则囊括了高性能、高稳定性的特点。据杜强介绍,东软下一代防火墙产品我们可以用2U设备做到160Gbps的应用层安全防护和80Gbps的入侵防护,这些技术在全球范围内都是领先的,可以说东软是第一批将NGFW从概念转化为可以实用的产品厂商之一。

“我们一直认为NGFW作为一个网关设备,稳定性和高可用性是十分重要的。为此,我们采用了大量的技术与流程保证产品的高稳定和高可用性,我们把NGFW的可用性做到了99.999%,已经基本可以与交换机看齐了。”杜强说道。

而未来,东软下一代防火墙的发展重点也将聚焦在三个方面:首先是云安全方面,东软会进一步提升其产品在云计算安全方面的优势,为客户提供最佳的云安全保障;第二是以沙箱、威胁智能为代表的下一代安全防护体系,东软要将这些技术实现落地,把他们做成高性能、高实用性的产品功能;第三是在移动安全方面,东软认为在未来NGFW产品将在一定程度上与EMM类产品发生融合,共同控制企业的网络出口,而东软在此方面也有很多积累,未来将会推出下一代的安全产品。

东华网智:

东华网智技术中心总经理姜华 认为:目前下一代防火墙在企业中部署的比例跟以往相比有所增加,但还是处于较低的比例。随着大家对信息安全的重视程度越来越高,相信在不久的将来,NGFW产品的市场占有率会快速上涨。“而从下一代防火墙的概念提出到现在,NGFW在功能方面会依靠新的技术或手段,例如运用大数据和云的技术使NGFW的安全防护更加智能、及时和高效。”姜华说道。

而随着近几年云计算、虚拟化等技术呈现迅速落地发展的趋势,很多企业级应用和服务业都快速向云端转移。在这一过程中,姜华认为在云和虚拟化方面也同样存在安全问题。而更好的支持云和虚拟化服务是NGFW适应市场的必备需求,目前市面上也有很多网关类产品能很好的支持云和虚拟化等技术。姜华表示:“云和虚拟化的落地,不会对网关类产品带来冲击,相反会促进网关类产品的升级,两者不是相互冲突的关系。”

作为Gartner所率先推出的一个概念,姜华认为NGFW在诞生之初并未有具体的标准。而去年我国公安部发布的“第二代防火墙标准”,可以说是适应了当今新的安全环境,“下一代防火墙“和“第二代防火墙”二者对于信息安全新环境下的安全防护的目的是一致的,都符合了新形势下的安全环境。

据姜华介绍,目前东华网智自主研发东华下一代防火墙产品,是面向移动互联时代全面保障L2-L7安全的新一代应用安全网关产品。该产品采用多核硬件平台,结合用户识别、应用识别和安全检测引擎,能够实现对用户、应用和内容的深入分析,为用户提供高性能、可视化、精准有效的应用层一体化安全防护体系。

“未来,东华下一代防火墙会更关注虚拟化云平台的网络边界安全、未知威胁及防护、软件定义安全等方面,更加关注云时代的应用安全。”姜华说道。