有人说,下一代防火墙是个噱头;有人说,下一代防火墙是加强版UTM;还有人说,下一代防火墙是传统防火墙整合入侵防御IPS的产物。这些说法都暴露出一个共同的问题,那就是没有真的了解什么是下一代防火墙。
下一代防火墙应根据用户需求定义
如果传统防火墙拥有了“支持联动的集成化IPS”、“应用管控与可视化”以及“智能化联动”相关特性就是下一代防火墙吗?显然不是。在“云计算”、“WEB2.0”及“移动互联”等一系列新应用技术日新月异的今天,仅仅单纯从功能,或者是性能方面,改善传统防火墙技术缺陷,补充传统防火墙不足的角度去定义下一代防火墙产品显得过于片面。下一代防火墙也并不是简单的功能堆砌和性能叠加,下一代防火墙应该站上更高的山峰,以全局的视角,从解决用户网络面临的实际问题出发来定义才更为妥当。而且可以肯定的是,在未来,下一代防火墙还会有“下一代”,那将是性能更强,功能更加贴合网络环境与用户需求的产品,“下一代”也将会无穷尽也。所以我们不该把目光放到一个名字上,而是真正去关心一下,下一代防火墙所能解决的问题。
那么什么防火墙才可以真正称为下一代防火墙呢?我们可以从用户网络环境变化和需求的角度出发,用实实在在的六大特质来诠释,即:基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合。这六大特质,显然靠噱头、靠加强UTM、靠整合IPS是得不来的。可以说,只有具备这六大特质,才让下一代防火墙产品更加“有血有肉”,真实而生动了起来,才是从底层核心到架构平台再到操作系统全面塑造的全新产品,才可以让用户更加真实的了解下一代防火墙所要解决的是哪些问题。所以,我们说下一代防火墙就好比是武林中身怀绝技的高手,表面看似平常,实则内力浑厚。
目前国内推出下一代防火墙的厂商寥寥无几。毕竟,下一代防火墙产品是在全面了解用户需求的情况下,重新开发的满足当前网络应用环境的高性能防火墙产品,是与传统防火墙应用有所区别的,既要有强大的技术研发实力做后盾,又要足够了解用户应用环境的变迁,而且还要拥有强大的产品服务团队,在后期的服务上能为用户提供更细致的帮助。下面我们就来具体看看下一代防火墙的六大特质。
下一代防火墙六招御敌
下一代防火墙实实在在的六大功能告诉了人们“我不是加强版和附属品,我是独立的,完全自我的网关安全产品,有独特的特性和气质。”
基于用户防护
传统防火墙策略都是依赖IP或MAC地址来区分数据流,不利于管理也很难完成对网络状况的清晰掌握和精确控制。下一代防火墙则具备用户身份管理系统,实现了分级、分组、权限、继承关系等功能,充分考虑到各种应用环境下不同的用户需求。此外还集成了安全准入控制功能,支持多种认证协议与认证方式,实现了基于用户的安全防护策略部署与可视化管控。
面向应用安全
在应用安全方面,下一代防火墙应该包括“智能流检测”和“虚拟化远程接入”两点。一方面可以做到对各种应用的深层次的识别;另外在解决数据安全性问题方面,通过将虚拟化技术与远程接入技术相结合,为远程接入终端提供虚拟应用发布与虚拟桌面功能,使其本地无需执行任何应用系统客户端程序的情况下完成与内网服务器端的数据交互,就可以实现了终端到业务系统的“无痕访问”,进而达到终端与业务分离的目的。
高效转发平台
为了突破传统网关设备的性能瓶颈,下一代防火墙可以通过整机的并行多级硬件架构设计,将NSE(网络服务引擎)与SE(安全引擎)独立部署。网络服务引擎完成底层路由/交换转发,并对整机各模块进行管理与状态监控;而安全引擎负责将数据流进行网络层安全处理与应用层安全处理。通过部署多安全引擎与多网络服务引擎的方式来实现整机流量的分布式并行处理与故障切换功能。
多层级冗余架构
下一代防火墙设备自身要有一套完善的业务连续性保障方案。针对这一需求,必须采用多层级冗余化设计。在设计中,通过板卡冗余、模块冗余以及链路冗余来构建底层物理级冗余;使用双操作系统来提供系统级冗余;而采用多机冗余及负载均衡进行设备部署实现了方案级冗余。由物理级、系统级与方案级共同构成了多层级的冗余化架构体系。
全方位可视化
下一代防火墙还要注意“眼球经济”,必须提供丰富的展示方式,从应用和用户视角多层面的将网络应用的状态展现出来,包括对历史的精确还原和对各种数据的智能统计分析,使管理者清晰的认知网络运行状态。实施可视化所要达到的效果是,对于管理范围内任意一台主机的网络应用情况及安全事件信息可以进行准确的定位与实时跟踪;对于全网产生的海量安全事件信息,通过深入的数据挖掘能够形成安全趋势分析,以及各类图形化的统计分析报告。
安全技术融合
动态云防护和全网威胁联防是技术融合的典范。下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。一方面可以通过“云”来收集安全威胁信息并快速寻找解决方案,及时更新攻击防护规则库并以动态的方式实时部署到各用户设备中,保证用户的安全防护策略得到及时、准确的动态更新;另一方面,通过“云”,使得策略管理体系的安全策略漂移机制能够实现物理网络基于“人”、虚拟计算环境基于“VM”(虚拟机)的安全策略动态部署。
目前,国内如天融信等一线安全厂商通过历史的经验积累和强大的研发实力,已经在下一代防火墙产品方面有所建树,性能也达到了320G。除了以上六大特点之外,天融信下一代防火墙NGFW还通过多核硬件架构,数据与应用双引擎组,TopTurbo数据层高速处理技术,八元组高级访问控制设计等,充分体现了下一代防火墙“基于用户防护”与“面向应用安全”的设计理念,是一款真正意义上的“下一代”防火墙。
本文来源:51CTO 作者:佚名