当前,随着网络应用的爆炸式发展以及当代企业业务与互联网的紧密结合,迫切要求防火墙产品能够在应用层上重新构建安全体系,这种体系不是围绕哪种具体应用,而是针对所有应用设计一个全新的安全管控框架;同时,网络威胁的发展趋势对防火墙产品的恶意代码识别提出了更高要求;加之越来越复杂的安全体系架构亟需改进,下一代防火墙在此背景下应运而生。
“下一代”安全本质
对于下一代防火墙来说,与之对应的下一代安全的本质究竟是什么?一方面,在安全技术上,下一代防火墙的新建树主要集中在多安全引擎集成分析和行为分析方面。但更重要的是,下一代防火墙改变了“安全”的管理方式,降低了安全的“门槛”,真正将安全技术变为一种人人都可以理解和掌握的技术。
更简单的安全
下一代安全首先是更简单的安全。下一代安全的一个基本特征就是所谓的“可视化”,意指对网络信息进行分析整理并以图形的方式进行直观展现。这种产品设计给安全管理带来的改变要比人们想象得还要深刻。
更完整的安全
其次,下一代防火墙还是更加完整的安全产品。对于中小企业来说,无论是从购置成本来考虑,还是从复杂的部署、管理、维护对人力成本的巨大要求来考虑,都不太可能部署所有的主流安全设备到网络中。
而下一代防火墙一体化多威胁检测引擎的产品设计,使得用户可以拥有完整的安全能力,而且区别于UTM之处在于,下一代防火墙是围绕应用层重新构建的安全架构,多安全引擎通过应用层进行统一配置,安全日志通过应用关联进行统一分析,让管理人员能够真正以管理一台设备的方式工作,而不是像UTM那样在一个界面中管理多台无关设备。
下一代防火墙,如何选择?
如果用户希望选购下一代防火墙,那么在选型过程中应该如何评估不同的产品呢?
应用层吞吐
首先从性能方面来看,用户一定要注意区分“网络层性能”和“应用层性能”以及“安全能力全开启性能”这三个指标的差异。
传统防火墙往往会以网络层性能作为参数。然而网络层性能对于下一代防火墙而言基本没有意义。因为下一代防火墙是在应用层上工作的防火墙,因此,客户应该考察的是“应用性能”,也就是在应用识别能力开启条件下的防火墙性能。
另外,下一代防火墙的核心特征之一就是多安全引擎开启不会导致严重的性能下降情况。因此客户还必须要考察在多安全引擎全部开启的情况下,防火墙的性能表现。
应用识别能力
其次是从应用识别能力来考量。下一代防火墙是工作在应用层基础上的防火墙,因此应用识别能力成为下一代防火墙的核心能力。首先要考察防火墙的应用库有多大,其次是应用识别的细粒度,比如应用是否有足够多的分类,以便于客户管理,平台型应用是否还支持子应用识别等。另外,应用库的更新速度也很重要。
可视化能力
产品的可视化能力也是考量的重要指标。可视化能力是决定下一代防火墙能否真正发挥作用的关键所在。当然这一点很难量化衡量,需要用户自己亲自动手比较才能得出结论。
安全能力
从安全的角度看,下一代防火墙的主要贡献在于多安全引擎的深度整合。用户首先可以考察产品中集成了哪些安全引擎,不同安全引擎的配置是一次完成还是分别完成?安全日志是分散的和一体的?日志数据是否支持相关性跳转?这些问题都可以判断是否是一款真正的下一代防火墙产品。