传统的安全架构,如今在面对数据中心带来的大规模整合和互联、云计算和移动计算更为分散和全方位的安全需求时,正在经受考验和CIO的质疑。今年以来,锐捷网络、梭子鱼、深信服陆续在国内发布下一代防火墙产品,加上已经在市场上耕耘的SonicWALL、juniper、Check Point、Palo Alto等厂商,NGFW的出世是否为安全"老三样"注入"兴奋剂"。ZDNET安全频道采访国内外数十家主流安全及NGFW厂商,带您拨开云雾,看应运而生的下一代防火墙能够挑起安全防护的大梁。

FW力不从心 防火墙在演进

目前不管是网络厂商、专业防火墙厂商、IPS或应用控制网关等厂商都在图谋这一领域,在Gartner定义的产品特性基础上,各家厂商也根据自己的传统优势诠释着自己对NGFW的理解。虽然NGFW没有统一的标准,经过采访我们发现,各家厂商对NGFW的发展诉求是一致的。

NGFW能否替代FW、IPS、UTM

各大厂商几乎不约而同的说到,不论是传统防火墙还是UTM,已无力应对Web2.0交换式多种应用场景下的实时变化的安全威胁。在记者问到下一代防火墙将是网络防火墙、IPS、UTM的替代品吗的问题时,各家也是众说纷纭。

NGFW单次解析架构 满足网络高性能

很多用户对UTM的抱怨是,如果对集成的多种功能同时开启,性能显著下降,从而无法兑现其标称的性能指标。传统UTM设备仅仅将FW、IPS、AV进行简单的整合,开启多个模块时是串行处理机制,NGFW由于实现在一次拆包中的并行处理,满足网络高性能,这是我们听到最多的答案。

面对稳定和可靠性 NGFW能否经得起考验

下一代防火墙自身必须具备高度的稳定性、可靠性和性能可扩展性,这是一个前提条件,否则自身会成为安全防御和网络性能的一个薄弱点。面对重大的网络入侵,如何依然保证其高度稳定和可靠性,看记者深入采访,且听百家争鸣。

应运而生 NGFW是否存在独立市场

根据Gartner的预测,到2014年底,35%的企业会在采购安全设备的时候转向下一代防火墙,60%新购买的防火墙将是NGFW。NGFW产品是最终网络安全需求的深入和目前时刻面临的多变的基于应用和内容网络安全威胁而诞生的,在这种趋势下,传统安全设备厂商不可能熟视无睹。

网络改造 如何选型NGFW

企业在向NGFW迁移时,首先要考虑自身的边界安全需求,包括性能及功能两个方面,现有的NGFW是否能够替代原有多个安全设备,能否满足新的安全需求?如果不能完全替换,则需考虑跟NGFW如何配合使用,以及在配合使用下的综合运营成本,不能简单考虑只是设备的替换。

[点击专家头像,查看不同观点]
  • ● 从下一代防火墙推出的安全形势来看,一是安全威胁的演进;二是网络架构的演进;第三更加复杂的终端设备和用户应用以及大数据对安全规模和性能要求持续高速增长;最后传统的防火墙架构难以满足进行精细化应用安全检测和防御所需的高性能和可扩展性。

    ● 企业部署NGFW,将有效地简化传统安全架构并提升其感知应用和用户的能力。但NGFW并不是一个孤立的元素,更需要整合到整体的安全体系中才能充分发挥其效果,实现有效地全面安全防护。

    ● 如何确保这种高度融合的特性下,依然保证NGFW高度稳定和可靠性,要求实现的产品具备高度成熟的模块化操作系统,高可靠的电信级冗余设计,可扩展性和高性能。

    更多    

  • ● 下一代防火墙进一步增强了安全性,对传统的网络层威胁防御系统进行了扩展,纳入了应用层检测功能。虽然它仍然采用了端口和协议冲突,但其真正的价值在于智能流量管理,可根据应用、用户/用户组和内容来执行相应的策略。

    ● 对于企业用户来讲,制定一个完善的企业安全策略是刻不容款的,这些策略包括:仅支持授权应用的使用;保持对应用的控制;避免敏感数据的丢失;结合应用策略、控制和数据丢失。

    ● CIO们必须选择具备应用智能功能的下一代防火墙,识别和了解应用以及应用可能会给企业网带来的潜在风险,他们所选择的防火墙能够根据不断变化的业务需求和新生的安全威胁在保持高性能的同时进行动态的自我调节。

    更多    

  • ● NGFW在设计之前就已经考虑到未来安全的需求变化,软硬件架构采用了分离栈的设计思路,不同的应用防护,不同的功能集成项分别设置分离的TCP/IP栈结构,充分利用了目前硬件的多CPU、多核的硬件体系,所以在全部功能加载运行后不会像UTM产品那样,虽然功能比较全,但实际应用场景中性能指标无法满足,而最终导致很多UTM功能成为摆设。

    ● 如果我们对周边发达国家和地区做一个近两年,下一代防火墙采购量和时间实际使用情况的调查,就会发现中国的香港,台湾地区,以及日本、新加坡等亚太发达国家,每个季度的NGFW的采购金额已经上升到了几百万美金乃至上千万美金不等,这一点也可以从迈克菲在这些地区和国家的NGFW销售数字得到佐证。

    更多    

  • ● NGFW产品一般都集成了多种安全引擎,使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS、虚拟防火墙等安全功能。这些功能将通过一个引擎进行检测,通过统一的界面控制,无论遇到那种威胁,智能管理系统都会执行相应的策略,用最有效的功能组合来阻挡入侵。相对于单独的安全产品堆砌来说,NGFW各项功能间的配合更紧密。

    ● 目前市场的总体趋势是集成。用户需要简单易用、节省空间的产品,这都是集成性产品的优势。单独的安全产品在部署和管理方面都比较麻烦,出现问题还不便于解决,在企业级市场慢慢会被淘汰,而在大型IDC数据中心,更加专项的产品仍将有市场。


    更多    


  • ● 对于企业而言,选择合适的网关产品,需要充分考虑自身业务需求与产品功能特性之间的契合度,很难说NGFW会像IPhone那样,能够在网关市场上有革命性的演进。不论是NGFW还是UTM、FW、IPS,都是源自于用户业务需求的满足,这是一个快速变化的时代,但可以预见到应用与安全的融合将是未来的发展趋势之一。

    ● 国内各传统安全设备厂商会根据NGFW的冲击不断调整自身产品形态,将一定程度影响到国内网关市场的调整与分布。NGFW的出现是紧跟应用安全需求下的产物,NGFW的应用层访问控制跟上网行为管理没有本质区别,在国内最可能首先冲击上网行为管理市场,最终替代上网行为管理产品,与FW、UTM和IPS产品形成新的市场布局。

    更多    

  • 谭俊
    瞻博网络大中国区产品市场经理
  • 蔡永生
    SonicWALL中国区技术经理
  • 郭伟
    迈克菲中国区网关安全产品总监
  • 刘辉
    天融信方案与推广副总裁
  • 马骏
    启明星辰边界安全产品部副经理
  • ● 在当前最热门的数据中心和云计算环境下,服务器被虚拟化,数百G的流量,业务低延迟和高可靠保证,智能化的安全管理,这些对FW提出了新的挑战和需求,H3C认为在数据中心和云计算中下一代防火墙应该具备"虚拟化、高性能、高可靠以及智能化"四个特征,会向高性能、高可靠,虚拟化和智能化演进。

    ● NGFW相对于传统防火墙在基于应用的访问控制管理和内容检测方面优势明显;相对于UTM基于用户的安全控制方面优势明显。为企业提供了方便可靠的授权访问应用和内容检测安全控制平台。

    ● NGFW由于没有统一标准,在技术上还需要进一步提高发展和规范,整个市场还需要培育。

    更多    

  • ● 与传统防火墙相比下一代防火墙的主要的改进是:应用可视及管理,安全策略与用户身份集成,集成IPS功能。 与UTM相比,下一代防火墙强调的是功能的融合,及对WEB2.0应用的支持,另外从软件架构上一体化引擎是下一代防火墙与UTM最根本的区别。

    ● 短期内NGFW在国内不会形成独立的市场,将依然会与传统的防火墙,UTM,甚至IPS,上网行为等网关类产品形成直接竞争。中期内,由于国内各类用户对新产品的认可度不同,NGFW产品将首先会在大型企业,金融,电信等中高端领域逐渐被用户接受。长期内,由于NGFW代表了未来综合安全网关的发展方向,国内其他FW,UTM等类厂商会逐渐改进现有产品线以符合NGFW方向。最终NGFW会成为综合网关市场最核心的产品形态。

    更多    

  • ● 下一代防火墙需要全面的考虑企业真实网络环境下的安全性和实用性,需要在网络防火墙具备的端口/协议/包过滤的基础上,增加应用识别控制以及用户识别控制。

    ● NGFW不是网络防火墙、UTM、IPS的替代品,而是这些产品的继任者,因为这并不是简单的功能替代,而是站在统筹管理的角度,制定统一的策略应对各种网络威胁,从某种意义上来说,也可以认为"NGFW必定是网络防火墙、UTM、IPS的更新换代产品。

    ● 下一代防火墙将开辟一个全新的、独立的网络安全硬件市场,国内的下一代防 火墙市场处于起步阶段,却发展迅速,而主流的安全硬件厂商都已推出了基于下一代防火墙概念的产品也恰恰验证了这一市场的广阔前景。

    更多    

  • ● 面对传统防火墙有这么多缺陷,那可不可以部署一台IPS,或者其他安全设备,甚至用UTM来替代?事实上,"打补丁"虽然可以暂时弥补一些缺陷,但所做的毕竟是"修修补补",补丁中间还会出现新的缝隙,是不可能从根本上解决问题的。

    ● FW+IPS+AV等传统安全架构的问题显而易见:部署复杂、管理繁琐、增加了故障点、多设备间缺乏有效地联动防护机制。而NGFW的部署将会让客户的体验焕然一新,不尽简化了部署,提升可靠性,消除了性能瓶颈,而且全面的智能的应用防护还降低了安全风险。 在设备迁移时,用户需要重新梳理访问控制策略的制定,NGFW摒弃了传统安全设备的"数字语言",将以"谁能干嘛"一种自然语言的方式进行,更加直观可视。

    更多    

  • ● 下一代防火墙代表着用户对防火墙产品提出的更高要求,他们期待防火墙能够脱胎换骨,无论什么名称,能够满足当前用户所有关注点和解决传统防火墙问题的特征,都应该纳入下一代防火墙的概念范畴内。

    ● 下一代防火墙打破了传统UTM设备的单一功能叠加,实现基于应用的综合控制,其中只拆一次包和并行处理是关键。在识别应用的基础上,应能够对协议中的行为做深层次的可视、管理和安全控制。

    ● 企业选择下一代防火墙应该从自身需求角度出发,在提供应用识别、访问控制、入侵防御等基本功能的基础上,综合处理性能、每秒新建、最大并发连接数和接口数量都是衡量一款设备是否满足要求的重要指标。

    更多    

  • 李彦宾
    H3C 网络安全产品部安全技术总监
  • 段继平
    绿盟科技产品市场经理
  • 潘渊
    梭子鱼产品经理
  • 殷浩
    深信服市场行销部技术总监
  • 任磊
    山石网科技术市场经理
    © 北京第二十六维信息技术有限公司版权所有.
    京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号