四年,从声名鹊起到走向成熟,从高高在上的企业级专属到日渐形成落户千万家之势,下一代防火墙(NGFW)伴随着争议成长,伴随着低价普及。
四年过去了,下一代防火墙已成大势,但市场中对其解读方式却越来越多,也愈发复杂。随着时间的流逝,越来越多的厂商举起了NGFW的大旗,也让这个市场变得更加混乱。而这些混乱,一方面源自产品质量的参差不齐,另一方面一个重要原因是对于Gartner经典定义的“发扬光大”。对于NGFW中应该包括和不该包括的功能,众厂商均持有不同意见。
今年又有几家国内厂商陆续发布了NGFW产品,至此国内网络安全厂商全面拥抱NGFW。而在之前发布NGFW的厂商,也不断向其产品中添加新的功能(比如定位僵尸主机或DLP相关)。且不论其是否符合NGFW的发展方向,至少在创新这一点上比拉大旗扯虎皮者强得多。
便宜没好货?未必!
下一代防火墙的价格目前还处于居高不下的阶段,主要是由于下一代防火墙的研发成本和硬件成本都较高,以某国际知名下一代防火墙提供商的产品为例,使用了Intel、FGPA和ASIC三种不同的硬件芯片来分摊业务处理压力,同时国内也有几家知名安全厂商采用了相似的Intel搭配MIPS的混合架构模式来提升NGFW产品的稳定性和处理能力,多芯片分布式处理的情况会在初期对产品价格有明显的提升。因为各家厂商的销量还不足以摊平其前期投入成本,因此现阶段无法提供亲民的价格也属情理之中。但是也有一些NGFW产品采用了最新的Intel DPDK架构。采用通用处理器的优势就在于在前期可以有效控制研发成本,从而降低前期产品售价。
诚然,部分下一代防火墙由于硬件成本的问题导致价格虚高,但是也有个别厂商在使用通用芯片架构配以服务模式来提升产品性价比,通过向用户收取整套服务费用的策略销售下一代防火墙,而不是将产品的初期高昂成本附加到用户头上,打破了传统“卖盒子”的模式,很大程度上降低了用户采购成本。
当然,在实际采购过程中,用户购买时更重要地还是看功能模块。因此,在NGFW的功能授权方面,虽然NGFW的应用识别是与防火墙深度集成,却不是所有的NGFW提供商在销售产品时都能将应用识别的授权向用户免费开放。因此,如果用户采购了需要单独付费的NGFW产品,那么无异于提升了其采购成本。笔者认为,应用感知和控制需要与防火墙固化,不应存在具有应用感知和不具备应用感知两种交付形态。对于NGFW来说,根本就不应该存在这个问题,但现实还是被厂商搞混淆了。采购时应注意应用感知和控制功能是否需要另付费,或是打包到其他功能模块中付费,以免产生不必要的投入。
Gartner定义的NGFW部署在对延迟敏感的大型企业网络环境中,这是区别于用在SMB的UTM的一个因素,但是却有个别厂商将NGFW产品主要定位于中小企业市场。笔者认为,若是能够做出性价比很高的产品,对于价格敏感的中小企业也是个福音,还能促使NGFW更加普及,使其成为防火墙的真正替代者,而不只是部分替代。其实不论是大企业还是中小企业,都是在乎TCO的。如果NGFW能够有效地降低部署成本,同时又可以提升安全性,那么何乐而不为呢?
汉王科技是NGFW的用户之一,对于汉王科技这样的上市企业,并且是创造高智力附加值产品的企业来说,保障信息系统安全是信息部门日常工作的第一要务。在信息安全治理方面,既要满足监管单位的合规性要求,又要充分识别、抵御威胁,降低信息资产暴漏的风险。因此他们对于网络的整体安全性要求是很严格的。汉王科技股份有限公司信息技术部IT运维负责人李锦毅讲道:“对于核心服务器区的安全防护,要求安全设备必须在保证高性能的前提下提供网络攻击防护、入侵防御、病毒防护、URL过滤等一体化的安全防御解决方案。而在互联网边界处,除了要求提供全面的安全防御以外,还要对办公网用户的外发信息做到精细、严格的控制,仅允许用户向互联网上的可信目标发送文件,严防敏感数据泄漏”。
汉王科技股份有限公司信息技术部IT运维负责人李锦毅
李锦毅补充道:“在实际测试过程中,给我们留下深刻印象的是网康NGFW在开启入侵防御、病毒防护、URL过滤、数据防泄漏等安全功能后,同样还能保证很高的数据转发性能,这与我们先前曾使用过的UTM产品有着天壤之别”。
“看得见”才能更安全
“你不能保护你所不知道的”是安全圈的一句名言。但遗憾的是,虽然防火墙的功能越来越强大,但是仍然会产生越来越多的“不为人知”的信息。网康科技市场部产品市场经理熊瑛谈道:“在安全建设过程中,管理比技术上的控制更加重要,但是管理需要有技术手段提供强有力的支撑。几乎所有的技术人员在面对由传统安全设备输出的单调、重复、难懂的日志和报表时,都在为如何将它们与安全风险联系在一起而面露难色。”
网康科技市场部产品市场经理熊瑛
NGFW完全基于应用层构建安全,可帮助网络管理者深入地看到数据传输中人、应用和内容的情况。此外,在对大量行为信息收集的基础之上,可在同一页面通过一系列的单次点击就可以完成数据的挖掘和钻取,并且提供了基线对比的方式,能够以时间、流量、威胁为维度,对比出当前与同一历史时间段的差异,帮助管理者了解网络的变化趋势,分析可疑行为。这无疑可以帮助管理员“看得更透”。
北京蓝星环境工程有限公司是中国蓝星(集团)总公司在北京唯一一家子公司,2005年开始大规模建设信息系统,到目前70%~80%的无形资产均以数据的形式保存在应用服务器上。该公司CIO胡振环讲道:“我们也曾使用过一些安全设备,不过坦率地讲,传统的设备所呈现出的各种日志总是很难读懂,尤其是我们并不能很好地把网络语言翻译为业务语言,将某一个攻击事件与业务风险相挂钩。即便有时设备报出发现了网络攻击行为,我们还是很难了解到攻击事件发生的整个过程。几个月前我们上线了一款NGFW设备,第一感觉是这款防火墙提供了非常丰富的可视化界面,有各种形式的监控和报表直观地呈现给用户。登录设备管理界面,我们就可以轻松地看到网络中的流量构成。印象比较深刻的是还可以看到IP地址所属的国家或地区。这些在先前我们所使用的设备中是看不到的。”胡振环还强调说:“下一代防火墙强大的可视化功能,让我们通过直观的查看和简单的点击,就能及时发现隐蔽性很强的攻击,实现了更加主动的防御,我想这也体现了下一代防火墙带给我们的变革。”
北京蓝星环境工程有限公司CIO胡振环
中国自动化集团有限公司网络信息化主管储可与笔者分享了他在运维中使用NGFW的经验。他说:“在我们的日常办公中,使用QQ进行沟通是非常普遍的,但根据公司的信息安全策略,使用QQ及其他即时通信软件进行文件传输的行为是不被允许的,而网康NGFW对QQ子功能的支持多达9种。有了如此深入的识别能力,我们就可以通过设置访问控制策略,灵活地实现对QQ及其他即时通信软件文件传输行为的禁止,而仅开放这些软件文本聊天的功能。”
向复杂说再见
“由于价格和管理复杂度的问题,目前很多中小企业都处于裸奔状态,或是只把下一代防火墙当做流控或传统防火墙使用。虽然很多产品销售出去了,但是却并没有发挥出应有的作用,这不是一件安全业界值得庆幸的事情。也就是说,目前下一代防火墙的产品和技术并没有真正地为广大需要它的客户去服务,这是我们需要努力改进的一个方向。” 网康科技高级市场经理严雷如是说。
网康科技高级市场经理 严雷
传统安全设备的组合,比如防火墙、IPS、AV等设备的日志信息只将其罗列出来,对于普通IT运维人员想要分析清楚,从中得到有价值的信息可谓比登天还难。传统的报表型日志阅读难度高,分析起来更加无从入手。这样的情况下,对于多数人来说,安全还算是什么呢?
从传统安全角度讲,每一个设备从自己的角度出发,产生日志报表,可是不同设备、不同安全引擎之间并没有联动起来,使彼此对安全情况的认知不能交流,这就使得我们无法了解整个网络安全的全貌。
NGFW改善了以往独立IPS产品对于事件记录挖掘不深,无法提供给安全运维人员友好的报表显示等顽疾而受到了众多IT人员的欢迎。在NGFW中,对于安全事件的深度挖掘是相当重要的。基于大量日志记录的关联分析来给运维人员提出安全性建议,无疑会加快安全问题的定位和解决的速度,某种程度上还能防患于未然。
胡振环通过一个亲身经历的攻击事件向笔者讲述了NGFW可视化体验。他说:“NGFW设备上线后,我们通过可视化界面中的色块显示,发现网络中的高风险流量占比很大,引起了我们的怀疑,通过鼠标的一系列点击,发现内网的一台数据库服务器被境外IP频繁访问,我们随即调整了安全策略,切断了所有异常连接。所有的操作都通过简单的点击完成,十分方便。”
可视化技术的初衷是为了提供直观、简单的信息,为管理策略的调整提供技术支撑。传统网络安全设备输出的日志、报表,多以IP、连接、带宽为维度,纵使统计全面,数据充分,但仍然很难帮助网络管理者了解网络的变化趋势,只是能被少数既精通技术又了解业务的专家所读懂。
NGFW的发展与异化
下一代防火墙把检测的高度提升到应用层,按照目前互联网发展情况看,应用层上不论攻击还是防护,可做的事情都太多了。因此下一代防火墙给了厂商更多的机会和主动权,大家可以在下一代防火墙的经典定义之上做更多的事情,尤其是在各自擅长的领域中能有突破性创新。
虽然NGFW做得越来越像UTM,但也只是貌似而已,我们仍然可以在不同厂家的NGFW产品中看到他们本来的面貌。像网康这样生于应用层的新兴NGFW厂商,主打功能自然聚焦在应用层。例如能够基于用户的应用控制和资源分配等等。NGFW 其实并不神秘也不复杂,只是将防火墙原本的访问控制提升到应用层面,同时固化了应用识别特性,所以才不叫下一代UTM 。
网康科技CEO袁沈钢
对于产品的发展走向,网康科技CEO袁沈钢表示:“下一代防火墙最大的特点是以人容易理解的方式展现出整体网络活动,也就使人具有了洞察力。NGFW在很大程度上发挥了人的判断力、理解力和知识等各方面的能力来做更多、更准确的判断。如果是传统防火墙和UTM,会把这些信息割裂,产生大量的碎片化信息,让人很难理解。而NGFW则是向人来展现各种相关联的信息。NGFW会展现风险程度,以及产生风险的原因,从而帮助人进行快速判断,使人具有洞察力。因此,NGFW的发展方向将是持续地对于新生安全威胁、防护方法等知识的积累。在这个基础之上,加入更多的数据分析和挖掘,使之变得更智能,最终使人具有更强的洞察力和识别能力。这也是网康下一步需要更加发力的方向。