竞速下一代防火墙

　　自出现之日起，下一代防火墙(Next-Generation Firewall，以下简称NGFW)就一直在争议中前行。究其原因，在于概念提出得比较超前、产品跟进却相对缓慢。

　　就在不久前，梭子鱼与深信服在国内先后发布了NGFW产品，加上产品已经正式在售的SonicWall、Check Point和Palo Alto，市场上俨然一副山雨欲来风满楼的景象。

　　那么，NGFW究竟是如何定义的?它与传统防火墙、UTM有哪些不同?用户部署NGFW又需从哪些角度考虑?请随我们一起走进NGFW的神奇世界，共同领略这类新产品的价值所在。

　　何谓NGFW?

　　什么是下一代防火墙?这一代、上一代防火墙指的又是什么?在讨论NGFW之前，我们必须先正确认识“防火墙”这个概念。

　　在经历了多次技术变革后，防火墙的概念正在变得模糊，在不同语境中有着不同的含义。在描述具体产品时，防火墙大部分指代的是作用在2~4层，采用状态检测机制、集成IPSec VPN、支持桥/路由/NAT工作模式的访问控制设备;而宏观意义上的防火墙，实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备(Gateway)。国内的厂商、用户习惯将前者称为“传统防火墙”，国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念，其包含了传统防火墙、IPS、UTM及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加，广义的防火墙必然将集成更多的安全特性。

　　得益于许多厂商市场部门行之有效的推广工作，我们在市场上可以看到不少针对NGFW概念的解释(即便其中可能存在着完全不同的理解)。而业内普遍认同的关于NGFW的定义，来自市场分析咨询机构Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文章。Gartner注意到，在应用模式、业务流程和安全威胁不断变化的今天，传统防火墙已经无法满足用户的需求。即便在此基础上再加入IPS，也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下，Gartner定义了“NGFW”这个术语来形容防火墙的必然发展阶段，以应对攻击行为和业务流程使用IT方式的变化。

　　在Gartner看来，NGFW应该是一个线速(wire-speed)网络安全处理平台，定位于企业网络防火墙(Enterprise Network Firewall，Firewall指宏观意义上的防火墙)市场。这里的企业指的是大型企业，国内很大一部分都归为行业用户范畴。NGFW在功能上至少应当具备以下几个属性：

　　传统防火墙：NGFW必须拥有传统防火墙所提供的所有功能，如基于连接状态的访问控制、NAT、VPN等。虽然我们总是在说传统防火墙已经不能满足需求，但它仍然是一种无可替代的基础性访问控制手段。

　　支持与防火墙自动联动的集成化IPS：在同一硬件内集成IPS功能是必须的，但这不是Gartner想表达的重点。该机构认为，NGFW内置的防火墙与IPS之间应该具有联动的功能，例如IPS检测到某个IP地址不断地发送恶意流量，可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是由NGFW自动完成的，而不再需要管理员介入。比起前些年流行的传统防火墙/IDS间的联动机制，这次升级并不是一个特别高深的技术进步，但我们必须承认它能让管理和安全业务处理变得更简单、高效。

　　应用识别、控制与可视化：NGFW必须具有以与传统的基于端口和IP协议不同的方式进行应用识别的能力，并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天，或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况，保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性，但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。

　　智能化联动：获取来自“防火墙外面”的信息，做出更合理的访问控制，例如从域控制器上获取用户身份信息，将权限与访问控制策略联系起来，或是来自URL Filter判定的恶意地址的流量直接由防火墙去阻挡，而不再浪费IPS的资源去判定。我们理解这个“外面”也可以是NGFW本体内的其他安全业务，它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系，实现自动联动的效果(如思科的“云火墙”解决方案)。

　　除此之外，文档中也提到了NGFW在部署、升级方面的一些规定，但并未做更多的强制性约束。正如文章作者、Gartner研究副总裁Greg Young在接受本报记者采访时强调的那样，集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动就是NGFW要具备的四大基本要素。

　　发现用户需求及产品形态变化的并不只Gartner一家，国际著名第三方安全产品评测机构NSSLabs也在今年正式开始了NGFW产品的公开测试工作。从官方发布的信息来看，该机构基本认同Gartner对NGFW的定义，只是在智能化联动方面并未做过多的强制性要求，但突出了对用户/用户组的控制能力。从测试的角度出发，NSSLabs的工程师对产品配置的复杂度和易用性都有很深刻的了解，他们的观点可以代表许多用户。此外，该机构还认为企业并没有准备在数据中心中用任何方案替换独立的IPS设备，所以NGFW集成的IPS模块应该提供对客户端保护(主要在特征库方面体现)在内的完整方案，并且将针对于此的配置归纳到预定义策略模版中去。

　　NGFW产品加入应用识别后的访问控制量效果

　　NGFW与UTM：

　　竞合或互补,但非竞争

　　需要注意的是，不同机构对NGFW做出的定义都是最小化的功能集合。站在厂商的角度，势必要根据自身技术积累的情况，在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异，同时更像一个大而全的集中化解决方案，给用户造成了很混乱的印象。我们在采访中听到用户最多的也是最经典的反问就是：NGFW不就是一个加强型的UTM么?

　　实际上，这里提到的NGFW和UTM都是对厂商包装后的产品的认知，已经脱离了最原始的定义。市场分析咨询机构IDC曾经这样定义UTM：这是一类集成了常用安全功能的设备，必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能，并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开，但是这些功能必须集成在一个硬件中。IDC对UTM的定义无疑是非常聪明的，它简单明了，让人易于接受并容易做出判断。“所有功能不一定要打开”这句话，除了说明安全业务要由用户需求决定外，也考虑了早年间硬件平台的实际处理能力。而安全业务的集成化，也确实符合当时的市场需求。有了这样一个宽泛的准入条件，UTM的概念一经推出便受到厂商与用户的一致认同，市场份额迅速扩大，成长为目前安全市场上的主流产品。

　　与IDC的宽松态度不同，Gartner在其市场分析报告中对UTM产品形态则有着更为细致的描述。该机构在调研后认为，除了传统防火墙与IPS，UTM至少还应该具有VPN、URL过滤和内容过滤的能力，并且将网关防病毒的要求扩大至反恶意软件(包括病毒、木马、间谍软件等)范畴。另一方面，Gartner对UTM的用户群体有着自己的看法，认为该产品主要面对1000人以下的中小企业或分支机构。这类用户通常对性能没有太高要求，看中的是产品的易用性和集成安全业务乃至网络特性(如无线规格、无线管理、广域网加速)的丰富度。实际上，Gartner之前一直使用SMB多功能防火墙(SMB Multifunction Firewalls，这里的Firewall也指宏观意义上的防火墙)来描述这类产品，只是在2010年因为UTM这个名称被市场普遍接受，才在分析报告中修改了称谓。该机构认为它与NGFW集成安全功能的差异主要体现在时延敏感性上——作为边缘网关，NGFW必须满足时延敏感型应用的需求，与之有悖的功能不适合出现在NGFW上。而从Gartner针对其他产品市场的分析报告中可以推断，安全Web网关(Secure Web Gateway)似乎是该机构认为的NGFW联合部署的理想对象，此外独立的WAF、反垃圾邮件产品也应被考虑。

　　通过上面的分析，我们可以得出明确的结论：至少在Gartner看来，UTM和NGFW只是针对不同级别用户的需求，对宏观意义上的防火墙的功能进行了更有针对性的归纳总结，是互为补充的关系。无论从产品与技术发展角度还是市场角度看，它们与IDC定义的UTM一样，都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述，其出发点就是用户需求变化产生的牵引力。对此，美国飞塔有限公司创始人、CTO、工程副总裁谢华在接受《计算机世界》报记者采访时有着非常精辟的总结：“UTM的概念在不断地进化，包含了越来越多的安全功能。但像500强那样的大企业对UTM的接纳相对保守，不过他们也开始从独立的安全设备开始转向集成化的道路，其关注重点就是Gartner定义的以传统防火墙与IPS为基础元素的NGFW——UTM进化中的一个细化分支。无论如何，我们将看见安全功能整合的革命将继续进行下去。”

　　途牛旅游网的工程师们在配置NGFW