今天,面对日益猖狂的网络攻击,企业的安全防护变得越来越困难,传统防火墙产品已经难以应付最新的威胁。网络威胁的变化也推动着安全企业的创新和变革。近年来,随着需求的升温,UTM(统一威胁管理)、UTM+、下一代防火墙(NGFW)等概念迅速更迭,但在对现有的防火墙产品进行更新换代时,企业用户却常常感到难以抉择。
众说纷纭下一代防火墙
实际上,下一代防火墙与其说是一个新的产品,不如说是一个新的概念。当传统防火墙不再够用,一些UTM的应用效果也不太理想时,市场上又呼唤一种新的防火墙产品。2009年,Gartner在题为《Defining the Next-Generation Firewall》的报告中对下一代防火墙进行了定义,Gartner认为,NGFW应该是一个线速(wire-speed)网络安全处理平台,定位于企业网络防火墙(Enterprise Network Firewall,Firewall指宏观意义上的防火墙)市场(这里的企业指的是大型企业),文章作者Greg Young认为,NGFW要具备的四大基本要素是:集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动。
不过,在中国市场,业内对于Gartner的下一代防火墙定义一直存在争议,而下一代防火墙在各个安全厂商及不同用户心目中也还未能形成一个统一的概念。
一些UTM设备号称有很多功能,如:防火墙、上网行为、应用识别、IPS等,但这仅仅是各种功能的堆叠,当这些功能全开时,性能会大打折扣。因此,业界关心的是,新一代的防火墙产品能否对各种安全功能进行重新组合和排列,并从配置上把这些功能进行很好的集成。由于UTM产品功能和性能不可兼得的困局,业内对下一代防火墙的关注点就聚集到“既能全功能运行,同时又拥有高性能”上。
安信华下代墙:升级你的UTM
在市场需求推动下,继深信服之后,今年,很多国内安全厂商也纷纷推出了自己的下一代防火墙产品,如安信华就在近日发布了这样一款产品,它有望做到在产品功能和性能上两者兼得。
安信华下一代防火墙产品是该公司集多年应用层网络安全研究和开发经验倾力打造的应用层安全产品,它将应用识别技术与传统“五元组”相结合,实现了基于应用的精细化访问控制和带宽管理,同时对通过防火墙的数据包进行病毒、恶意网站、僵尸网络、网络攻击、数据安全等多方面的深度内容过滤。
在技术上,安信华下一代防火墙将多核并行控制技术、非共享式TCP协议栈等多项技术有机的融合和运用到Anchiva OS专用操作系统中,打造了高性能产品基础架构。安信华自主开发的多核并行控制器用于处理核内、核间任务的分工与调度,来自网络层的数据包进入多核并行控制器后会被均衡的分配到各个不同的CPU,以便完成后续多颗CPU的并行事务处理。在兼顾安全性的基础上,安信华开发了横跨操作系统内核层和应用层的非共享式TCP 协议栈,同时将TCP 协议栈与应用代理相结合,打破了通用操作系统基于内核的TCP协议栈共享锁的限制,在转发层面和应用层面都做到完全的并行处理。
安信华公司总裁李松表示,与同类产品相比,安信华下一代防火墙的特色主要体现在五个方面:一是,基于“应用”的精细化访问控制,系统内置包含20大类上千种应用的特征库,可提供基于应用、应用类型的精细化访问控制、带宽控制和流量配额管理。二是引入安全“可视化”的理念,内置海量存储介质,全面实现应用可视化、流量可视化、威胁可视化、内容可视化、用户可视化。三是多层次、高精度的“深度过滤”,深度过滤引擎真正将数据包还原为文件,进行精确的特征匹配,并与底层高性能平台相结合,实现了高效率与高精度并重的内容过滤。四是立足“用户实用性”的防火墙安信华下一代防火墙的设计充分考虑了产品的实用性,对数据转发和安全业务处理流程进行了最大化的整合优化,摆脱了传统防火墙和UTM产品功能和性能不可兼得的困局。五是“全球化”的网络安全响应机制:安信华自建有独立互联网安全实验室,有全球化的智能网络威胁采集、分析、处理、分发系统,与全球近30家安全研究机构共享研究成果,对中国大陆地区的220万个网站进行不间断安全监测。
安信华下一代防火墙能进行多层次、高精度的“深度过滤”
我们只做最擅长的
今天,很多安全厂商都致力于打造“高大全”的安全产品和解决方案,希望通过不断扩充产品线,为用户提供一整套的安全解决方案。但安信华的思路却是只做自己擅长的部分,“有所为有所不为”,致力于在安全细分领域做得更加专业。
李松告诉记者,今后,安信华在安全领域将主要致力于两个方向,一是政府企业接入安全,二是网站安全。在政府企业接入安全领域,将分三个层次提供产品和服务,即:针对中小企业的下一代防火墙、针对政府企业的下一代防火墙以及针对大型客户的防病毒网关。在网站安全领域,产品和服务也可划分为三个层面:中小网站云安全、政府网站WAF(Web应用防火墙)以及大型网站顾问服务。
这种精确定位的思路也体现在安信华的下一代防火墙产品中。李松表示,安信华的“打法”有点类似于田忌赛马,只做自己最拿手的,并以自己的优势力量去迎接激烈的竞争。在这一思路下,安信华的下一代防火墙产品定位也十分精准,它是面向接入安全的,而不是针对IDC的核心防火墙,它的用户群是有多种安全功能需求的。
在对未来发展做好定位的基础上,安信华在发布下一代防火墙产品后,还将陆续推出高性能Web应用防火墙(主要针对高校、政府)、高性能防病毒网关、产品化的网站安全服务等。