扫一扫
关注微信公众号

未来疑惑 下一代防火墙热潮退后的冷思考
2011-12-23    畅享网

 

随着互联网应用的日益普及,网络安全问题已经关系到网络应用的深入发展。尤其在当前数据中心和云计算的环境下,用户的数据越来越多,云计算的环境越来越开放,这对传统网络安全架构提出了新的挑战,同时也要求防火墙设备适应云计算的新功能。开放的环境需要防火墙能够识别网络上的各种应用和每个用户。面对网络的高速发展,应用的不断增多,用户需求助力“下一代防火墙(Next Generation Firewall)”发展热潮。如今热潮渐退,人们开始深思和远虑,NGFW 与 UTM 未来将如何发展?企业在选型下一代防火墙最注重什么?未来到底还需不需要防火墙?

NGFW VS UTM 谁将替代谁?

Gartner统计表明高达3/4的网络威胁是基于应用层而非网络层的,而基于网络层的传统防火墙愈发力不从心。集成多种安全功能的UTM面世已久但效率底下,NGFW的出世能否挑起大梁呢?

目前网络上可搜索到的下一代防火墙公司很多,虽然概念不一但总结起来有以下要素:第一,下一代防火墙可根据应用行为和特征实现对应用的识别和控制;第二它涵盖了传统防火墙、UTM、IPS的主要功能;第三,具备智能的流量管理控制和策略配合。

相对于传统的防火墙,UTM提供的更多的安全功能,但致命缺陷是处理效率低下,特别是在开启多种扫描功能时,性能会极端下降,甚至下降半成以上。因为UTM在设计之初主要针对中小型网络,理念上是不需要用户开启全部功能。这一诟病一直困扰着UTM厂商。对此UTM生成厂商飞塔公司表示,UTM早已升级换代,目前的技术不但可以适应中小型网络,而且完全可以应用在大型网络中。梭子鱼WAF产品经理潘渊向记者介绍说,在功能上,NGFW和UTM是没有明显差别,但其天生缺陷是不能独立的放在网关处,它需要部署在防火墙的后方。

虽然UTM存在先天不足,下一代防火墙具备后天优势,但是UTM的概念已经深入客户,特别是UTM升级后具备了新功能,包括反病毒、反垃圾邮件、内容过滤、防数据泄露等,可以说现有UTM产品足以稳固了现有的中小企业用户,同时应用在大型行业用户也不成问题。NGFW与UTM在未来的一段时间内是替代还是并存,这可能取决于用户的自身需求和投入的选择。不过根据IDC对UTM市场的检测显示,从2009年开始,UTM设备市场整体呈下滑趋势,原因在于市场在不断分化,生产厂家对UTM的技术投入逐年减少或者有其他技术的替代,尤其NGFW技术,目前各大厂商力推的下一代防火墙概念,“可以说下一代防火墙产品在吞噬者UTM的市场”,潘渊说道。

对比IDC对UTM的检测结果,Gartner预测2014年底,NGFW将占有防火墙(以及IPS)市场的60%,可谓发展势头强劲,各个安全厂商跟紧步伐不甘落后。目前下一代防火墙市场上SonicWALL、Check Point、juniper、梭子鱼、深信服、锐捷网络、Palo Alto Networks等网络安全厂商纷纷推出产品解决方法,NGWF市场可谓遍地开花,于此同时飞塔、安畅易、青岛思睿仍然坚守UTM阵地,稳步发展。不管市场如何变化,有一个宗旨是不会变的:用户只关心产品能否帮助他们解决新环境下的安全隐患。相信性能完善、功能齐全、便于管理的网安产品都能受到用户的青睐。

企业如何hold住网络威胁

传统的网络威胁已经改变,新的威胁狡猾地入侵你的网络。例如僵尸网络和目标攻击发展多变,时刻威胁着企业网络。企业如何Hold住这些网络威胁呢?对于中小企业来说,由于其网络结构简单,安全问题不凸显,所以需求容易被满足。NGFW作为Internet安全网关,在部署和维护上有优势显著,中小企业可以优先选择适合自己的防火墙产品;对于大中型企业来说,随着正常的防火墙与IPS更新循环的到来,这些企业逐步采用下一代防火墙来代替现有的防火墙,或者因遭受攻击或者为满足宽度需求而升级防火墙。总之,当前企业开始尝试重构其网络防御体系,适时部署适合自己的下一代防火墙产品。那么企业重构和部署时,如何选型NGWF呢?

企业在选型下一代防火墙时应该从自身的需要角度出发,在提供应用识别、访问控制,入侵防御等基本功能的基础上,衡量升级的及时性、管理界面的友好度、技术支持能力是否满足需求指标。潘渊特别强调,“企业在选型时需要考虑的网络管理的因素,如果防火墙的数量较多,例如在大型网络的很多区域或者很多点都部署防火墙设备,那么每一台设备维护的成本和可操作性都需要考虑。”目前梭子鱼NGWF可以通过中央控制统一管理,无论信息化管理人员身处何地,都可以图形化的控制网络设备,简单直观而且便捷。此外,SonicWAll表示,易管理性、应用智能、控制和可视化以及强大的扫描功能是企业评估NGFW的重要尺度。

云计算代表着防火墙终结?

随着越来越多的企业将很多的信息和很多应用程序转移到云计算,云供应商提供的安全水平成为热门话题。人们现在开始考虑,在未来的几年或者几十年后,信息被高度集中在云中,基于防火墙的信息保护可能是完全没有必要的。未来到底还需不需要防火墙?NGFW是防火墙的终结会被迫退出历史舞台还是会被超越,再铸辉煌?

SonicWAll在采访中表示,因为任何的事情都有两面性,例如GPS技术,它能帮助用户熟悉新环境,但又可以随时泄露位置信息。我们不能怕泄露信息就放弃使用GPS。所以在云计算背景下,要研究如何使用防火墙技术,不能因为防火墙技术有缺点,就放弃这项技术。锐捷网络产品总监杨红飞认为,下一代的安全业务平台,应具备高性能、多业务特征,支持通过软件、硬件方式灵活扩展真正做到随需而动。NGWF能否坐上云计算这班高速列车、抓住机遇,还需要克服诸多挑战。潘渊从用户的角度给出了另外一个答案:防火墙架设在本地还是云端,对用户来讲,变化在于从设备安全转为服务安全。只要能够提供安全防护,用户并不关心网关架设在哪里。最重要的是下一代防火墙如何适应云计算的新功能,快速融入云计算,为用户提供安全防护的铜墙铁壁。

转载链接:http://netsecurity.51cto.com/art/201112/309200.htm

热词搜索:

上一篇:路在脚下 启明星辰云计算安全探索之路
下一篇:展望2012:十大重要网络安全趋势预测

分享到: 收藏