程彥博

如今，幾乎所有安全廠商都有自己的下一代防火墻產(chǎn)品。究竟什么才是下一代防火墻？作為用戶，是否應(yīng)該升級(jí)到下一代防火墻？在升級(jí)時(shí)，應(yīng)該注意哪些地方呢？

如果從2009年Gartner正式提出下一代防火墻的定義算起，下一代防火墻問(wèn)世已經(jīng)有5年的時(shí)間了。5年來(lái)，大家對(duì)下一代防火墻的概念和應(yīng)用仍然存在爭(zhēng)議和混淆。那么，下一代防火墻是如何從概念走向應(yīng)用的，它在國(guó)內(nèi)的認(rèn)知度和應(yīng)用情況又如何呢？

其實(shí)早在Gartner的下一代防火墻定義發(fā)布之前，Palo Alto Networks就已經(jīng)發(fā)布了全球第一款下一代防火墻產(chǎn)品，并憑借優(yōu)異的市場(chǎng)表現(xiàn)成功登陸資本市場(chǎng)，為廣大傳統(tǒng)防火墻廠商緊隨產(chǎn)品更替潮流注入了強(qiáng)心針。2012年以來(lái)，網(wǎng)康、深信服、綠盟、啟明星辰、山石網(wǎng)科、華為、網(wǎng)神等國(guó)內(nèi)安全廠商均發(fā)布了各自的下一代防火墻產(chǎn)品。目前，國(guó)內(nèi)主流安全廠商已全部進(jìn)入該領(lǐng)域，市場(chǎng)競(jìng)爭(zhēng)愈發(fā)激烈。

毫無(wú)疑問(wèn)，下一代防火墻引發(fā)的邊界安全技術(shù)升級(jí)熱潮將持續(xù)深入。由于下一代防火墻融合了入侵防御、VPN等功能，具備一體化的安全防護(hù)和復(fù)雜環(huán)境組網(wǎng)能力，有助于提升用戶安全防御水平并降低管理成本，未來(lái)必將逐漸吞噬傳統(tǒng)防火墻、獨(dú)立的入侵防御、VPN甚至URL過(guò)濾等硬件產(chǎn)品的市場(chǎng)份額。

Frost&Sullivan;的報(bào)告顯示，2013年，中國(guó)下一代防火墻市場(chǎng)規(guī)模超11億元，同比增長(zhǎng)16.77%。隨著其應(yīng)用逐步鋪開，預(yù)計(jì)未來(lái)3年市場(chǎng)規(guī)模將以穩(wěn)定的速度增長(zhǎng)，到2016年預(yù)計(jì)達(dá)到17億元。Gartner在今年4月份發(fā)布的《企業(yè)級(jí)防火墻魔力象限報(bào)告》中指出，防火墻市場(chǎng)領(lǐng)導(dǎo)廠商均已將“下一代”安全防護(hù)能力集成入各自的產(chǎn)品中，試圖以此保持并擴(kuò)大對(duì)同類產(chǎn)品的競(jìng)爭(zhēng)優(yōu)勢(shì)。

90%以上用戶有需求

“一個(gè)市場(chǎng)的爆發(fā)，絕不會(huì)是廠商的單方面作用，用戶的需求是刺激市場(chǎng)增長(zhǎng)的主因?！本W(wǎng)康科技產(chǎn)品市場(chǎng)經(jīng)理熊瑛表示，就目前所了解到的防火墻采購(gòu)項(xiàng)目，將應(yīng)用識(shí)別與控制、全網(wǎng)可視化、入侵防御、病毒防護(hù)、高性能等下一代防火墻提供的功能項(xiàng)作為“硬指標(biāo)”的用戶，已占到90%以上，甚至不乏一些行業(yè)用戶在發(fā)布招標(biāo)文件時(shí)，已將擬采購(gòu)產(chǎn)品的品類明確為“下一代防火墻”、“應(yīng)用層防火墻”或“新一代防火墻”等。

隨著國(guó)家建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略與相關(guān)政策的出臺(tái)，信息安全已在國(guó)內(nèi)受到空前重視。對(duì)比過(guò)往，如今重視信息安全，以科學(xué)的方法保障信息安全的機(jī)構(gòu)和企業(yè)越來(lái)越多，政府、運(yùn)營(yíng)商、能源、教育等行業(yè)用戶的安全建設(shè)已不再單純地將滿足合規(guī)性要求作為唯一標(biāo)準(zhǔn)。Frost&Sullivan;的研究數(shù)據(jù)表明，從垂直行業(yè)應(yīng)用規(guī)模來(lái)看，政府機(jī)構(gòu)、運(yùn)營(yíng)商、能源和教育領(lǐng)域目前是中國(guó)下一代防火墻最主要的用戶來(lái)源，分別占到37.6%、15.8%、10.4%和9.2%的比重，主要是由于行業(yè)特性決定了用戶對(duì)于數(shù)據(jù)與網(wǎng)絡(luò)安全的要求更高，同時(shí)大型企業(yè)相對(duì)集中，會(huì)對(duì)IT系統(tǒng)和安全設(shè)備有更大的投入。Frost&Sullivan;指出，隨著信息化的發(fā)展和用戶對(duì)網(wǎng)絡(luò)安全的重視，未來(lái)下一代防火墻產(chǎn)品將會(huì)在諸如醫(yī)療、金融、互聯(lián)網(wǎng)等行業(yè)持續(xù)滲透，這些應(yīng)用領(lǐng)域的占比也會(huì)隨之提升，并成為下一代防火墻產(chǎn)品新的市場(chǎng)需求來(lái)源。

海南聯(lián)通試水

放眼國(guó)內(nèi)，很多企業(yè)也同樣開始走上了應(yīng)用下一代防火墻的旅程，海南聯(lián)通就是鮮明的一例。海南聯(lián)通信息化部支撐中心主任王雄介紹，海南聯(lián)通IT承載網(wǎng)是海南聯(lián)通全省的辦公網(wǎng)絡(luò)，承載著海南聯(lián)通OA，郵件、財(cái)務(wù)、ERP等十余種業(yè)務(wù)系統(tǒng)的日常交付?！敖裉斓腎T承載網(wǎng)與過(guò)往相比發(fā)生了巨變，一方面當(dāng)前安全威脅不斷升級(jí)，使得我們必須進(jìn)一步增強(qiáng)防護(hù)措施，另一方面網(wǎng)絡(luò)用戶也發(fā)生了顯著變化，目前我們網(wǎng)絡(luò)中有20%的用戶在使用無(wú)線網(wǎng)絡(luò)接入，還有大量的遠(yuǎn)程接入VPN用戶，管理的難度進(jìn)一步增大。”王雄說(shuō)。

王雄介紹，海南聯(lián)通IT承載網(wǎng)是其最重要的網(wǎng)絡(luò)之一，網(wǎng)絡(luò)設(shè)計(jì)、建設(shè)、管理運(yùn)維等都是按照電信級(jí)標(biāo)準(zhǔn)完成的，但隨著使用年限的增加，近年來(lái)還是暴露出了一些問(wèn)題。“從去年開始，我們發(fā)現(xiàn)網(wǎng)絡(luò)中開始有丟包、時(shí)延抖動(dòng)較大的現(xiàn)象，不少部門向我們反映網(wǎng)絡(luò)訪問(wèn)的體驗(yàn)變差?！蓖跣郾硎?，經(jīng)過(guò)反復(fù)分析、排查，運(yùn)維人員確認(rèn)部署于網(wǎng)絡(luò)出口的兩臺(tái)思科防火墻長(zhǎng)時(shí)間處于超負(fù)荷運(yùn)行的狀態(tài)。

由于先前設(shè)備的性能瓶頸和功能缺失，海南聯(lián)通隨即啟動(dòng)了出口防火墻設(shè)備的升級(jí)項(xiàng)目，并組織了一系列的入圍測(cè)試工作?！白鳛檫\(yùn)營(yíng)商網(wǎng)絡(luò)的設(shè)備，高性能、高可靠性是要考慮的首要問(wèn)題。本次防火墻升級(jí)，我們要選擇的是一款具備應(yīng)用層安全防護(hù)能力的設(shè)備，對(duì)于性能的要求更為嚴(yán)格。”王雄說(shuō)。為了滿足海南聯(lián)通IT承載網(wǎng)99.9%以上的可靠性要求，網(wǎng)康下一代防火墻采用了主被模式的HA部署架構(gòu)，由兩臺(tái)設(shè)備組成集群，設(shè)備配置、會(huì)話信息和在線用戶信息等均在主、被設(shè)備間實(shí)時(shí)同步，保證了故障切換時(shí)業(yè)務(wù)無(wú)中斷。

據(jù)了解，在測(cè)試過(guò)程中，網(wǎng)康下一代防火墻的性能表現(xiàn)同樣得到了海南聯(lián)通的肯定，在逐步開啟各項(xiàng)安全功能后，設(shè)備的包轉(zhuǎn)發(fā)速率和處理延時(shí)并未有明顯變化，經(jīng)過(guò)長(zhǎng)時(shí)間在線測(cè)試，表現(xiàn)出了極高的穩(wěn)定性?！靶阅苁菓?yīng)用層安全設(shè)備的一大挑戰(zhàn)，為了實(shí)現(xiàn)完整的檢查，經(jīng)過(guò)設(shè)備的每一個(gè)數(shù)據(jù)包都要進(jìn)行拆包和解碼，這需要消耗大量的運(yùn)算資源。為了保證我們的下一代防火墻能夠在保證性能的前提下完整交付功能，我們做了多方面的創(chuàng)新。”熊瑛指出，硬件、軟件架構(gòu)和處理機(jī)制是制約設(shè)備性能提升的核心因素。

事實(shí)上，網(wǎng)康下一代防火墻采用了英特爾專用高性能硬件平臺(tái)和DPDK軟件技術(shù)，所有數(shù)據(jù)包檢測(cè)均采用單路徑引擎的方式，僅需一次拆解即可實(shí)現(xiàn)應(yīng)用類型、木馬、病毒、惡意網(wǎng)址等威脅的檢測(cè)，從而保證了較小的性能衰減。同時(shí)，網(wǎng)康下一代防火墻采用病毒云查殺技術(shù)，這在國(guó)內(nèi)防火墻領(lǐng)域尚屬首創(chuàng)，由云端的海量資源代替設(shè)備本地查殺，同樣能夠降低設(shè)備的運(yùn)算開銷。

“下一代防火墻的應(yīng)用識(shí)別能力幫助我們解決了很多現(xiàn)實(shí)的問(wèn)題?！蓖跣劢榻B，在網(wǎng)康設(shè)備的幫助下，海南聯(lián)通一些與業(yè)務(wù)無(wú)關(guān)或高危的應(yīng)用流量均被拒絕或限制，減少了威脅滲透的通道。同時(shí)，對(duì)于在網(wǎng)內(nèi)的智能終端設(shè)備，還可基于終端類型和應(yīng)用進(jìn)行識(shí)別和控制，并始終將防護(hù)級(jí)別維持在較高水平。

“作為一款防火墻產(chǎn)品，網(wǎng)康設(shè)備的可視化能力很出眾，無(wú)論是異常輸出還是事件溯源，都能夠非常直接的呈現(xiàn)出來(lái)，同時(shí)基于統(tǒng)計(jì)的結(jié)果對(duì)流量變化、可疑行為等進(jìn)行分析，為我們不斷優(yōu)化安全配置幫了大忙。”王雄說(shuō)。

升級(jí)建議

對(duì)于下一代防火墻的選擇，熊瑛認(rèn)為，防火墻產(chǎn)品部署位置關(guān)鍵，對(duì)網(wǎng)絡(luò)聯(lián)通性、應(yīng)用交付質(zhì)量均會(huì)有較大影響，其自身的穩(wěn)定性和性能尤為重要，尤其是下一代防火墻定位應(yīng)用層深度檢測(cè)，較傳統(tǒng)防火墻性能開銷要高出很多，用戶在選擇下一代防火墻時(shí)應(yīng)注意安全功能全開啟后的性能表現(xiàn)。此外，應(yīng)用識(shí)別和威脅檢測(cè)的能力直接影響到設(shè)備應(yīng)對(duì)應(yīng)用層威脅的有效性，這些同樣是下一代防火墻應(yīng)具備的基本能力。

此外，雖然技術(shù)創(chuàng)新可以幫助用戶解決更多安全問(wèn)題，使安全產(chǎn)品更加“有用”，但對(duì)于用戶而言，一款好的產(chǎn)品還應(yīng)該“好用”。尤其是對(duì)于安全防護(hù)類產(chǎn)品，日常操作的便捷、智能程度將直接影響到用戶安全管理的效率，甚至關(guān)乎安全管理工作是否能夠切實(shí)落地。

“過(guò)去，90%的用戶不對(duì)防火墻進(jìn)行管理和檢查，而網(wǎng)絡(luò)始終在發(fā)生著變化，先前設(shè)定的安全配置很快就會(huì)失效。安全管理強(qiáng)調(diào)形成閉環(huán)，在部署了防御措施后仍要不斷地進(jìn)行檢查、調(diào)優(yōu)，動(dòng)態(tài)調(diào)整的安全策略具有最高的有效性。然而，下一代防火墻正在改變著用戶的使用習(xí)慣。設(shè)備一旦上線，下一代防火墻可首先幫助用戶評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)，用戶根據(jù)風(fēng)險(xiǎn)狀況并結(jié)合自身安全需求進(jìn)行安全配置，再通過(guò)可視化技術(shù)對(duì)全網(wǎng)狀態(tài)進(jìn)一步分析，最終基于分析結(jié)果調(diào)優(yōu)策略。通過(guò)‘評(píng)估—防御—檢測(cè)—響應(yīng)的閉環(huán)運(yùn)行，安全防護(hù)將由單純的事件響應(yīng)推向面向風(fēng)險(xiǎn)的控制。”熊瑛說(shuō)。