雲計算來襲 下一代防火牆「new」在哪裡？

防火牆產品從上世紀九十年代至今，雖然歷經系統架構和軟體形態的多次革新，但在技術發展和使用者、頻寬不斷增長的今天，卻愈發難以滿足多方面的挑戰。 尤其是在當前最熱門的資料中心和雲計算環境下，乙太網標準由萬兆開始向40G/100G邁進，我國各類資料中心和機房總量已經達到50余萬個。 業務低延遲、高可靠保證和智慧化安全管理，都對閘道安全產品的性能和功能提出了新的要求。

今年以來，銳捷網路、梭子魚、深信服陸續在國內發佈下一代防火牆(Next Generation Firewall，以下簡稱NGFW)產品，加上已經在市場上耕耘的SonicWALL、juniper、Check Point等廠商， 這個在2009年Gartner定義的來形容防火牆進化發展的產品似乎迎來了春天。

傳統的安全架構，如今在面對資料中心帶來的大規模整合和互聯、雲計算和移動計算更為分散和全方位的安全需求時，正在經受考驗和CIO的質疑，NGFW的出世是否為安全「老三樣」注入「興奮劑」。 經過我們走訪和接觸數家安全及NGFW廠商發現，各家對NGFW的定義雖不盡相同，但發展訴求是一致的。 在提到NGFW能否替代網路防火牆、IPS、UTM時，各家也是眾說紛紜，有斬釘截鐵說是的，有認為應根據網路環境來區別對待的，有認為對某產品來說是可以完全替代的，還有提到會對其他網安產品形成衝擊的， 相信您在猶豫或面臨抉擇時能找到一份答案。 對於使用者而言，要的不僅是高性能、多功能的安全產品，在面對威脅時，一款定位於邊界防禦的安全產品能否表現出穩定和高可靠性至關重要，對此，我們發現各家廠商的回答也是不一，但終究是要經過市場應用考驗。 其實，很多CIO也發現在面對網路架構的演進和更複雜的終端設備和使用者應用，對傳統防禦造成挑戰，然而作為應運而生的一款全新產品NGFW能否挑起大樑，值得關注和討論。

與傳統的網路防火牆和UTM產品相比，NGFW的不同之處在哪裡?硬體架構做了哪些改變? NGFW相對傳統獨立的網路安全架構是否具有穩定和可靠性?企業部署應該做哪些準備，如何選型?近日，ZDNET安全頻道採訪國內外數十家主流安全及NGFW廠商，帶您撥開雲霧。 同時，並策劃一期專題「應運而生，看下一代防火牆能否笑傲江湖」，敬請大家關注。

FW力不從心 防火牆在演進

目前不管是網路廠商、專業防火牆廠商、IPS或應用控制閘道等廠商都在圖謀這一領域，在Gartner定義的產品特性基礎上，各家廠商也根據自己的傳統優勢詮釋著自己對NGFW的理解。

企業將面臨來自于Internet的病毒、木馬、DDOS攻擊、網路釣魚、SQL注入等種類繁多且危害巨大的威脅，H3C網路安全產品部安全技術總監李彥賓在接受ZDNet採訪時表示， H3C認為在資料中心和雲計算中下一代防火牆應該具備「虛擬化、高性能、高可靠以及智慧化」四個特徵，會向高性能、高可靠，虛擬化和智慧化演進。

對於SonicWALL來說，下一代防火牆包括以下元素，第一個是入侵防護服務，另外是閘道防病毒服務，還有防火牆的保護。 同時包括以下特性，如內容過濾功能、反垃圾郵件功能，以及通過策略來管理應用程式的功能，同樣也包括確保網路的可視性，並能對網路中的每一個正在進行的資料流程進行全面的檢測，SonicWALL中國區技術經理蔡永生介紹說。

綠盟科技產品市場經理段繼平認為，NGFW除了對web2.0應用的識別管理能力外，還強調區分于UTM最重要的指標之一的性能。 並能夠集成IPS，Gartner認為NGFW需要集成IPS功能，但不是像UTM那樣做簡單疊加，而是要將IPS無縫的功能融合入NGFW產品中去。 以及使用者集成，強調使用者身份與NGFW策略的整合。 NGFW的這4點特徵針對UTM存在的短板做了改進，並強調與目前最新的安全趨勢融合。

雖然NGFW沒有統一的標準，經過採訪我們發現，各家廠商對NGFW的發展訴求是一致的，把傳統防火牆將存取控制物件從網路層、傳輸層(L3-L4)調整為應用層(L7)協定，並能夠識別使用者、應用和內容， 具備完整的安全防護能力的高性能下一代防火牆。

NGFW能否替代FW、IPS、UTM

眾所周知，傳統防火牆在上個世紀90年代就已經得到了廣泛應用，種類也比較多。 而UTM概念是2004年IDC發表的，NGFW的概念是2009年Gartner發表的。 新的網路環境下，出現了哪些新的安全威脅，使用者安全需求又在如何轉變，傳統的安全設備如何變得愈加無力。

對此，梭子魚產品經理潘淵告訴記者，傳統防火牆只能提供一般意義上的資料包轉發和攔截功能，以及一些簡單的包檢測機制。 UTM和傳統防火牆相比，確實增加了很多過濾功能，包括應用層的識別和過濾。 但是UTM的致命缺陷是由於採用串列掃描方式，處理效率低下。 即便是增加了單點解決方案，能提供對email業務、Web應用、遠端接入、即時通訊軟體等病毒防護，但運營成本也會大幅度提高。 而NGFW採用了高效的並行處理機制，並集成了網路安全、內容安全以及基於七層應用管理的網路接入控制保護能夠抵禦來自應用層的攻擊，有效解決UTM的本質缺陷。

UTM誕生是因為早期的網路防火牆在IPS、反病毒、防惡意程式碼、反垃圾郵件等功能的缺失，而在其基礎上堆砌了這些功能，邁克菲中國區閘道安全產品總監郭偉強調說，UTM產品的本質仍然是基於傳統網路防火牆架構的過渡性產品， 其底層架構與傳統網路防火牆無異。

「NGFW更注重在Web2.0時代的客戶體驗，比如採用客戶化的GUI，多核CPU併發處理等。 隨著企業的發展，需要更主動，更直觀，更定制化，性能更高的安全產品，這是NGFW的特點。 對於企業來說，NGFW更貼合現有網路環境，對企業業務保護更加全面。 」天融信方案與推廣副總裁劉輝說。

各大廠商幾乎不約而同的說到，不論是傳統防火牆還是UTM，已無力應對Web2.0交換式多種應用場景下的即時變化的安全威脅。 在記者問到NGFW將是網路防火牆、IPS、UTM的替代品嗎的問題時。 瞻博網路大中國區產品市場經理譚俊直言道，「是的，這是一個基於新一代架構和理念不斷創新和演進的過程。 」 深信服市場行銷部技術總監殷浩表示，傳統防火牆、UTM由於低廉的採購成本，在少數簡單網路環境還是會成為使用者的一種選擇。 但最終面對使用者的應用層安全需求，FW、UTM終將不斷演進到NGFW的產品形態。 邁克菲中國區閘道安全產品總監郭偉的回答更為保守，他認為，對於一些安全要求比較低的網路環境比如企業的訪客網路，非核心業務網路等，傳統網路防火牆還是有其應用需求的，並且可以和NGFW實現梯次配置，實現差異化分層防護。 IPS產品的優勢在於利用簽名技術對網路流量進行快速、無時延的檢索，要求其有高轉發率特性，擅長檢索已知網路威脅，防止DDos攻擊等，因而與NGFW相比有各自不同的關注重點。 但在談到UTM時，郭偉認為，凡是UTM能夠部署的地方， NGFW都可以無縫替換，更加之UTM一直存在性能瓶頸，所以UTM產品最終會為NGFW所取代。 啟明星辰邊界安全產品部副經理馬駿則特別強調了NGFW對上網行為管理市場的衝擊，馬駿認為，NGFW最終會替代上網行為管理產品，與FW、UTM和IPS產品會形成新的市場佈局，並形成相對長期競爭態勢，相互功能也會不斷融合， 與各種形態的閘道產品市場形成比較理性的佈局。

(責任編輯：蒙遺善)