下一代防火墻：更高速更智能

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

對(duì)于通過(guò)常用的80端口和443端口來(lái)訪問(wèn)的互聯(lián)網(wǎng)應(yīng)用來(lái)說(shuō)，基于端口的傳統(tǒng)企業(yè)防火墻與其說(shuō)像警衛(wèi)，還不如說(shuō)是應(yīng)用的中轉(zhuǎn)地，傳統(tǒng)防火墻此時(shí)所起的安全作用正在減弱，它也逐步讓位于功能強(qiáng)大的新一代高速智能防火墻（Next-Generation FireWall, NGFW）。

何謂下一代防火墻

所謂的下一代防火墻是指：它能夠?qū)?shù)據(jù)流高效地完成入侵防護(hù)，同時(shí)還能識(shí)別出應(yīng)用類(lèi)型，以便根據(jù)使用者的身份執(zhí)行相應(yīng)的策略。它還足夠聰明，可使用基于互聯(lián)網(wǎng)的聲譽(yù)分析等信息幫助過(guò)濾惡意軟件，或者與活動(dòng)目錄集成?，F(xiàn)在的問(wèn)題是，我們多久后才能真正實(shí)現(xiàn)向下一代防火墻轉(zhuǎn)型？

新興公司Palo Alto Networks被認(rèn)為是最先打出下一代防火墻旗號(hào)的廠商，它早在2007年就推出了可識(shí)別應(yīng)用的多用途安全設(shè)備系列，今天已有2200多家客戶。同時(shí)，F(xiàn)ortinet、思科、Check Point、McAfee等其他廠商同樣一直在擴(kuò)充或改造防火墻產(chǎn)品，以便其產(chǎn)品符合下一代防火墻的定義。此外，入侵防護(hù)系統(tǒng)（IPS）廠商Sourcefire也表示會(huì)在今年推出帶IPS功能的可識(shí)別應(yīng)用的防火墻。

不過(guò)，過(guò)去幾年一直大力倡導(dǎo)新一代防火墻的Gartner認(rèn)為，雖然廠商們?cè)诖罅ν茝V下一代防火墻，但目前這種防火墻的實(shí)際使用率還是非常低。Gartner的分析師Greg Young說(shuō)：“我們認(rèn)為，如今用新一代防火墻來(lái)保護(hù)的網(wǎng)絡(luò)連接還不到1%?！钡A(yù)測(cè)，到2014年，這個(gè)比例會(huì)達(dá)到35%。

目前，關(guān)于如何定義下一代防火墻并沒(méi)有定論，也還沒(méi)有哪個(gè)獨(dú)立的第三方實(shí)驗(yàn)室對(duì)所謂的下一代防火墻產(chǎn)品進(jìn)行過(guò)測(cè)試，其困難就在于給下一代防火墻下一個(gè)明確、清晰的定義并不容易。即使對(duì)這種設(shè)備有自己定義的Gartner也承認(rèn)“定義很混亂，一些廠商推出的這種設(shè)備具有應(yīng)用控制功能，而另一些廠商在IPS方面比較先進(jìn)?？傮w上，大多數(shù)企業(yè)防火墻廠商在這方面處于早期階段。”

同時(shí)，統(tǒng)一威脅管理（UTM）這個(gè)術(shù)語(yǔ)讓下一代防火墻術(shù)語(yǔ)規(guī)范問(wèn)題變得更混亂了。IDC的分析師Charles Kolodgy是第一個(gè)提出UTM的人。他表示，UTM與下一代防火墻的意思大致一樣。但Gartner認(rèn)為，UTM應(yīng)該是適用于中小型企業(yè)使用的安全設(shè)備，而下一代防火墻應(yīng)該適合員工數(shù)量不少于1000人的大企業(yè)。

安全設(shè)備流行融合

目前，盡管對(duì)下一代防火墻在叫法上存在不一致，又只有極少用戶在使用所謂的下一代防火墻，但安全廠商們的確認(rèn)識(shí)到：對(duì)于綜合多用途企業(yè)安全設(shè)備的需求可能會(huì)增長(zhǎng)。

Fortinet 公司產(chǎn)品營(yíng)銷(xiāo)副總裁Patrick Bedwell 說(shuō)：“市場(chǎng)正朝這個(gè)方向發(fā)展?！痹摴驹诓痪们靶?，為其5000系列設(shè)備家族添加處理速度高達(dá)40Gbps的Fortigate-5001B安全刀片，這比之前產(chǎn)品的最高速度8Gbps有了大幅上升。他說(shuō)：“由于安全威脅變得更加復(fù)雜，現(xiàn)在重點(diǎn)需要放在應(yīng)用控制方面，而老的防火墻跟不上步伐?！?/P>

FortiGate防火墻/VPN安全刀片可識(shí)別出大約1300個(gè)應(yīng)用類(lèi)型，還可針對(duì)用戶行為實(shí)行細(xì)粒度控制，另外還有時(shí)間限制和帶寬管理功能。

其他廠商也加入了下一代防火墻的陣營(yíng)。McAfee就通過(guò)對(duì)其企業(yè)防火墻V.8升級(jí)版進(jìn)行了改動(dòng)，使其成為下一代防火墻產(chǎn)品。McAfee網(wǎng)絡(luò)防御部門(mén)產(chǎn)品營(yíng)銷(xiāo)主管Greg Brown說(shuō)：“我們重新設(shè)計(jì)了應(yīng)用引擎，那樣我們就能檢測(cè)和全面審查1000多個(gè)應(yīng)用?！?/P>

McAfee企業(yè)防火墻V.8達(dá)到了10Gbps的速度，為了獲得更高的速度，McAfee正在與其他公司合作，力爭(zhēng)達(dá)到40Gbps。這種無(wú)所不能、無(wú)所不知的防火墻果真擁有與獨(dú)立IPS一樣高效的IPS功能嗎？Brown承認(rèn)這很難說(shuō)，目前還沒(méi)有進(jìn)行這方面的獨(dú)立測(cè)試，但“出發(fā)點(diǎn)是做到與獨(dú)立IPS一樣高效?！?/P>

Brown表示，與主要關(guān)注IP網(wǎng)絡(luò)地址的“常規(guī)防火墻”相比，下一代防火墻在應(yīng)用控制方面采用的工作方式對(duì)大多數(shù)客戶來(lái)說(shuō)確實(shí)代表著一種新技術(shù)。比如說(shuō)，集成微軟活動(dòng)目錄這類(lèi)功能就很有吸引力，這樣可根據(jù)授權(quán)的應(yīng)用建立用戶組。不過(guò)到目前為止，McAfee的客戶大多數(shù)都很謹(jǐn)慎，通常會(huì)在一部分應(yīng)用上試用看看策略控制會(huì)有什么樣的影響，而不是所有應(yīng)用都嘗試先進(jìn)的防火墻功能。

健身中心連鎖店24 Hour Fitness在全球經(jīng)營(yíng)著400多家俱樂(lè)部，它在去年部署了Palo Alto Networks公司可識(shí)別應(yīng)用的防火墻，其IT運(yùn)營(yíng)和安全高級(jí)主管Justin Kwong表示，改用Palo Alto的綜合架構(gòu)節(jié)省了投資，而且現(xiàn)在使用基于聲譽(yù)的過(guò)濾等功能可以很清楚地了解發(fā)生的情況。該公司正在利用Palo Alto防火墻與活動(dòng)目錄集成的功能，為員工建立針對(duì)應(yīng)用的策略控制機(jī)制。Kwong表示，現(xiàn)在在使用方面還不是很細(xì)化，應(yīng)用控制方面需要不斷摸索了解。而且，到目前為止，公司并沒(méi)有完全遷移至下一代防火墻，因?yàn)椴⒉皇蔷W(wǎng)絡(luò)或數(shù)據(jù)中心的所有部分都需要可識(shí)別應(yīng)用的控制。

雖然下一代防火墻集眾多安全功能于一體，但Kwong對(duì)此仍有所保留。他表示，除了Palo Alto IPS功能外，他還準(zhǔn)備繼續(xù)使用開(kāi)源的IPS作為“第二雙眼睛”?！拔覐膩?lái)不會(huì)把所有功能集中在一個(gè)設(shè)備里，也從來(lái)不會(huì)只依賴某一家廠商?！彼f(shuō)。

Gartner認(rèn)為下一代防火墻需有以下特征：

1.有一般防火墻的功能，如VPN、網(wǎng)絡(luò)地址轉(zhuǎn)換等；

2.有入侵防護(hù)功能；

3.能識(shí)別應(yīng)用類(lèi)型；

4.有一定智能，能幫助分析并輔助決策。