必须承认,由于笔者懒惰的恶习,本文几乎太监。不过在抹了些天香断续胶之后,本文还是要继续到结束,尽管可能压根没人期待过。(编者按:不要妄自菲薄,至少有过几个厂商的PM说本系列文章不错并期待后续!)
链路负载均衡与VPN:不但要有还要好
相对于基于应用识别的访问控制,链路负载均衡与VPN属于传统技术,尤其是VPN,早就是防火墙的标配技术了,NGFW延续此技术几乎是不言自明顺理成章的事情。但是笔者还是决定在这里稍微罗嗦几句,因为这牵扯到笔者对于防火墙这一产品的理解。
链路负载均衡是在多互联网出口环境中需要用到的技术,可以有效的将m个运营商的n条链路(n≥m)的带宽好好利用起来。具体来说,其技术包括:内网访问外网时,根据目的地址对运营商链路进行优选,选择最优路径;外网访问内网时,确保往返路径的一致;将流量根据四层和七层的信息,尽可能均匀的分布在各条链路上;等等。总之,链路负载均衡技术就是最大效率的使用互联网出口链路的技术。
VPN技术本质上是一种接入技术,允许分支单位通过资费低廉的互联网实现类似于专线一样的安全接入能力。除了加密的IPSec VPN和SSL VPN技术以外,还包括不加密的L2TP、GRE等VPN技术。一般的防火墙主要支持前者,但是在某些特定的情况下,也可能会需要组合应用几种VPN技术。比如需要在VPN中跑路由协议时,一般就需要用到IPSec over GRE的组合VPN技术。
链路负载均衡与VPN技术在需求上的相同点,就是都是满足用户组网需要的技术,可以说是用户的刚性/准刚性需求。正因如此,它们才应该成为NGFW的核心功能。此外,它们和访问控制一样,可以让用户有非常明确的预期效果,这使得它们可以成为NGFW的核心功能。当“应该“并且”可以“时,它们也就”必然是“NGFW的核心功能了。
IPS与防病毒与其它:锦上添花
相对之前提到的基于应用的访问控制、链路负载均衡、VPN等功能,IPS、防病毒、用户认证、行为审计等功能虽然也是用户所需要的,但是它们的实现却如同段誉的六脉神剑一样,谁都不好说它们什么时候有用什么时候没用,无法给客户以明确的功能预期。
IPS与防病毒的误报和漏报问题就不需要多说了,需要额外说明的是用户认证和行为审计。按说用户认证的实现应该是可靠的,认证通过就是通过,不通过就是不通过。不过从实际效果来看,只要不结合终端软件部署的用户认证总会存在很多的绕过手段。而即便配合终端软件,也存在被破解和绕过的可能,这使得用户认证也变得不可靠起来。至于行为审计,它从网络流量中记录用户行为,理论上也应该是可靠的。不过看看在伟大的墙的封堵之下人民锻炼出来的种种智慧就可以猜想,行为审计的可靠性究竟怎么样。
实际上,用户认证、行为审计与IPS、防病毒的相似之处在于它们都是与人的行为进行对抗,而用机械的规则去对抗人的行为基本是不可能的。所以,IPS、防病毒、用户认证、行为审计这些功能确实是客户所需要的,但是由于实现的不可靠,在NGFW上只能算是添头,当扩展功能让客户尽可能的用用尚可,作为核心功能让客户依赖是绝对不行的。
结语
行文至此,本文已进入尾声。在这个差点太监的文章的最后,笔者想要强调的是:防火墙的本质其实不是一个安全产品,而是用于管理的网络产品。NGFW也好,NG-NGFW也好,NG^n的FW也好,其本质是不应该改变的——直至有一天,这些管理功能合并到其他网络产品里面去。
说白了,至少目前在国内,不能很好地做流控和组网的NGFW不是好路由器。在广域网的接入层,NGFW应该是中低端路由器的最佳替代者。这也是PaloAlto Networks这么一个还在赔钱的公司,会被认为是Cisco的挑战者、市值40亿美金的主要原因吧。
最后的最后:好吧,这个结尾其实有点草,不过大家会感觉它有点草的原因其实不是它本身有点草,而是前面废话太多。其实整篇文章总结下来应该可以用一条微博所替代:“防火墙的本质是用于访问控制的网络产品,NGFW作为其发展,应该以基于应用的访问控制为核心功能,同时增强其组网能力的链路负载均衡和VPN也应是核心功能,其它诸如IPS、防病毒、用户认证和行为审计等功能只应作为扩展功能。未来的NGFW应该可以替代路由器,成为广域网的接入层设备。“
(全文完)
