下一代NGFW来了吗?

NGFW与UTM的殊途不同归

UTM 时代,大家都做UTM ,凡是有产品的厂商不论底子如何、架构如何,都会把功能尽量提供全面,所以不同品牌产品的差异大多体现在性能或价格上。但下一代防火墙则不同。传统防火墙就是基于状态检测机制的五元组访问控制, 各家厂商除了性能和扩展功能外没什么别的可比;下一代防火墙把检测的高度提升到应用层,按照目前互联网发展情况看,应用层上不论攻击还是防护,可做的事情都太多了。因此下一代防火墙给予了厂商更多的机会和主动权,大家可以在下一代防火墙的经典定义之上做更多的事情,尤其是在各自擅长的领域中做出突破创新。

但是另一个问题又回来了,就是该如何与UTM 区分呢?UTM 与NGFW 的不同点在于应用感知/控制与防火墙的集成。笔者认为最先看的应该是功能授权,应用感知/控制需要与防火墙固化,而不是存在具有应用感知和不具备应用感知两种交付形态。对于NGFW来说,根本就不应该存在这个问题,但现实还是被厂商搞混淆了。采购时应注意应用感知/控制功能是否需要另付费,如果是的话,那么基本可以认为它仍然是UTM。

之所以Gartner 认为NGFW 应当用在大企业中,一个很重要的原因是在其经典定义中没有AV 这个功能。一旦加入了AV, 尤其是启用重组还原的代理检测机制,任何设备都难挡性能大幅下降的结局(用流扫描可以在一定程度上保障性能,但又难以保证检测率)。但是市面上所有的NGFW又几乎全都带有AV功能,如果企业因为需要较好的AV表现而购买一个比自身需求高得多的NGFW产品,那么岂不是加大了其安全建设的TCO?倘若是既负担了多余的部署成本,又没有起到很好的作用,那意义何在?IPS方面,由于部分NGFW产品改善了以往独立IPS产品对于事件记录挖掘不深,无法提供给安全运维人员友好的报表显示等顽疾,受到了众多IT人员的欢迎。在NGFW中,对于安全事件的深度挖掘是相当重要的,基于大量日志记录的关联分析来给运维人员提出安全性建议,无疑会加快安全问题的定位和解决的速度,某种程度上还能防患于未然。

egg

对于UTM与NGFW,甚至是下一代的NGFW,自始至终都不应该是一样的东西。UTM叫统一威胁管理,名字就注定了其用途,提供大而全美而廉的安全网关,包含各种安全功能,让用户按需使用。虽然NGFW做得越来越像UTM,但也只是貌似而已,我们仍然可以在不同厂家的NGFW产品中看到他们本来的面貌。生于应用层的新兴NGFW厂商,主打功能自然聚焦在应用层,例如能够抓出僵尸网络/主机、提供强悍的Web安全防护能力等等。NGFW 其实并不神秘也不复杂,只是将防火墙原本的访问控制提升到应用层面,同时固化了应用识别特性,所以才不叫下一代UTM 。NGFW 的下一代应该是各厂商的个性化定义,以此取代不同的单一产品,例如WAF、IPS、IDS、 流控、上网行为管理等。

发表评论