下一代防火墙“new”在哪里?(二)

日期: 2011-08-30 作者:陈广成 来源:TechTarget中国 英文

  NGFW单次解析架构 满足网络高性能

  很多用户对UTM的抱怨是,如果对集成的多种功能同时开启,性能显著下降,从而无法兑现其标称的性能指标。打个比方,UTM产品架构类似于我们经常在城镇郊区看到的自建房,因为一开始没有统筹规划,在扩建上只能在原来的平房的基础上加盖,但你很少见到加盖的层数超过4层。因为这样,地基、承重墙都无法负担。这就是目前UTM的架构。

  “这实际上是由于UTM产品软硬件架构设计原理瓶颈所致,” 迈克菲中国区网关安全产品总监郭伟说到,NGFW在设计之前就已经考虑到未来安全的需求变化,软硬件架构采用了分离栈的设计思路,不同的应用防护,不同的功能集成项分别设置分离的TCP/IP栈结构,充分利用了目前硬件的多CPU、多喝的硬件体系,所以在全部功能加载运行后不会像UTM产品那样,虽然功能比较全,但实际应用场景中性能指标无法满足,而最终导致很多UTM功能成为摆设。

  深信服市场行销部技术总监殷浩告诉记者,NGAF采用单次解析架构,结合多核并行处理技术,将所有内容扫描功能混合在一个模块完成,由于所有数据流只会有一次扫描,性能就得到了大幅提升,相对于多数UTM仅有几百兆到1G的应用层性能来说,NGAF实现10G应用层吞吐能力更能满足用户对高性能场景的需求。梭子鱼梭子鱼产品经理潘渊表示,“性能差异是UTM设备和NGFW设备最根本的区别,这是由于完全不同的功能实现机制导致的。梭子鱼下一代NGFW特有的ACPF防火墙引擎技术,通过一次性的解包,并行处理所有识别、扫描、过滤与控制,大大提升数据处理效率。”

  NGFW的重要特点就是开启多重安全功能后性能不会出现明显下降,绿盟科技产品市场经理段继平解释到,NGFW相对于原有的UTM产品最大的创新在于软件方面,比如软件架构采用统一引擎架构,将原有的安全功能的堆叠变为安全功能的融合,基于Web 2.0 的可视化等。

  传统UTM设备仅仅将FW、IPS、AV进行简单的整合,开启多个模块时是串行处理机制,一个数据包先过一个模块处理一遍,再重新过另一个模块处理,一个数据要经过多次拆包,多次分析,导致降低了包的处理传输效率。这是我们采访时听到的最多的答案。NGFW由于实现在一次拆包中的并行处理,山石网科技术市场经理任磊强调到,“在设备本身硬件架构方面势必要采用具备并行处理能力的多核处理芯片,而在当前众多安全厂商的多核产品中以采用多核网络专用架构的解决方案更适用于当前复杂应用控制、安全防护的网络。”

  面对稳定和可靠性 NGFW能否经得起考验

  通过我们逐步深入的了解,显然,NGFW具备高度融合的特性。所以,NGFW自身必须具备高度的稳定性、可靠性和性能可扩展性,这是一个前提条件,否则自身会成为安全防御和网络性能的一个薄弱点。面对重大的网络入侵,如何依然保证其高度稳定和可靠性,就要求实现的产品具备高度成熟的模块化操作系统,高可靠的电信级冗余设计,可扩展性和高性能。NGFW能否担此重任,或者相比传统独立安全设备是否具有优势,看记者深入采访,且听百家争鸣。

  北美和欧洲的政府机构,包括对网络安全管控要求较高的机构和阻止,例如:国家基础设施,电力、能源、水利等领域在最近几年已经几乎摒弃了传统网络防火墙和UTM设备的采购而转向NGFW。再看看全球500强的大型跨国公司目前对网络安全的设备需求也都纷纷转向到更加专注于应用安全管控NGFW为主体,包括银行、保险等机构,例如对知识产权关注度较高的Hi-Tech公司。新加坡也从2009年规定,今后有关政府、公共安全部门的防火墙采购需求将以NGFW为主体,不再考虑对传统网络防火墙和UTM的采购。迈克菲中国区网关安全产品总监郭伟强调,“这些都在商务和客户层面证实了NGFW能够满足企业对网络安全产品的稳定性和可靠性的要求。”

  天融信方案与推广副总裁刘辉表示,“NGFW产品一般都集成了多种安全引擎,使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS、虚拟防火墙等安全功能。这些功能将通过一个引擎进行检测,通过统一的界面控制,无论遇到那种威胁,智能管理系统都会执行相应的策略,用最有效的功能组合来阻挡入侵。相对于单独的安全产品堆砌来说,NGFW各项功能间的配合更紧密。比如入侵防御模块发现的威胁可以自动加载到防火墙规则内,在网络层就能提前被阻断,防火墙和入侵防御已经不仅仅是互动关系,而是一个整体。”

  “对于常见的网络层入侵,NGFW所具备的更高每秒新建会话能力在相同软件算法的情况下可以提供更强壮的抗攻击能力;对于应用层攻击,NGFW真正集成IPS后在一次拆包就可以实现对入侵行为的识别、动作和记录,这种无缝对接保证了对网络入侵行为出现时的时效性、准确性和高处理性能。”山石网科技术市场经理任磊显然对于NGFW的防御能力深信不疑。

  而H3C网络安全产品部安全技术总监李彦宾的回答则大相径庭,他对NGFW的表现显然不那么乐观,“面对重大的网络入侵,NGFW融合的设备相对IPS(入侵防御系统)独立安全设备在稳定性和可靠性方面还有一定的差距。比如IPS透明部署在网络中,在遇到极端情况下,有二层回退、PFC掉电保护等多种可靠性设计,保证业务的畅通。而NGFW作为网关部署在网络中,一旦出现问题,会造成网络的中断。”

  国标中对入侵的定义是指“任何危害或可能危害资源完整性、保密性、可用性的行为”,网络入侵往往包含了多种攻击手段,从攻击过程来看,是一个动态的、长期的、变化的过程,涉及人员、网络、设备、操作系统、应用系统多个方面。启明星辰边界安全产品部副经理马骏表示,从纵深防御体系来看,NGFW是定位在边界防御,考量NGFW的重要指标在于其安全防御能力以及事件库的更新速度,这方面取决于厂商在漏洞研究、漏洞验证、入侵检测、快速响应、硬件整合等多方面的能力,是厂商综合能力的体现。专业设备在这方面目前做得很成熟,并已经获得市场和用户的认可。在NGFW上还需要时间和市场应用的检验。
应运而生 NGFW是否存在独立市场

  NGFW产品是最终网络安全需求的深入和目前时刻面临的多变的基于应用和内容网络安全威胁而诞生的,根据Gartner的预测,到2014年底,35%的企业会在采购安全设备的时候转向下一代防火墙,60%新购买的防火墙将是NGFW。在这种趋势下,传统安全设备厂商不可能熟视无睹,他们的产品都会向高性能的应用识别和应用防护的方向转变,最终实现普遍的应用层安全。

  在谈到NGFW在国内的市场应用前景时,山石网科技术市场经理任磊告诉记者,下一代防火墙代表着防火墙产品发展的一种趋势,在数据处理模式和效率方面有质的提升,这种提升是为了满足网络发展的需求,这样的话也就理应成为未来用户解决网络安全问题的主流选择,而随着云计算环境下安全的需求和虚拟化技术的不断普及,在安全方面针对应用的高性能深层防护将出现井喷性需求,市场潜力是巨大的。

  “下一代防火墙将开辟一个全新的,独立的网络安全硬件市场,国内的下一代防火墙市场处于起步阶段,却发展迅速,而主流的安全硬件厂商都已推出了基于下一代防火墙概念的产品也恰恰验证了这一市场的广阔前景;国内用户在选择安全产品时,肯定会发现下一代防火墙产品正是能解决日益增多的企业网络安全问题,日益下降的网络性能问题,困扰网管们的网络管理问题的最佳产品。” 梭子鱼产品经理潘渊表示。

  绿盟科技产品市场经理段继平认为,短期内NGFW在国内不会形成独立的市场,将依然会与传统的防火墙,UTM,甚至IPS,上网行为等网关类产品形成直接竞争。中期内,由于国内各类用户对新产品的认可度不同,NGFW产品将首先会在大型企业,金融,电信等中高端领域逐渐被用户接受。长期内,由于NGFW代表了未来综合安全网关的发展方向,国内其他FW,UTM等类厂商会逐渐改进现有产品线以符合NGFW方向。最终NGFW会成为综合网关市场最核心的产品形态。

  “根据企业需求部署网络安全网关产品是比较具有性价比的模式。对于中大型企业来说,NGFW的功能、性能、管理等方面都更胜一筹,所以是一种更好的选择。对于一些小企业来说,网络结构简单,安全问题不突出,则可以选择单一的安全产品或者是UTM。目前的NGFW还是以行业用户应用为主。” 天融信方案与推广副总裁刘辉认为。

  NGFW作为Internet安全网关,在部署以及维护管理上有很好的优势,可以满足中小企业的需求,在云计算和数据中心环境下各个厂商也提出推出了适应这种环境要求的安全网关。H3C网络安全产品部安全技术总监李彦宾认为,但由于没有统一标准,在技术上还需要进一步提高发展和规范,整个市场还需要培育。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 混合IT环境需要混合网络安全

    随着越来越多的企业转向云和本地的组合系统,保护混合IT环境中的数据,需要重新审视网络安全战略。

  • 公司网络安全:别忽略数据

    分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。

  • 互联汽车面临的网络安全问题

    近年来,物联网的应用逐渐扩散到消费领域,汽车工业就是一例。汽车制造商不断改进技术,完善互联汽车的效能,并让驾驶者能够及时获知潜在的危险。

  • 山石网科RSA为何获得NSS Labs推荐?

    3月1日,综合网络安全厂商山石网科携虚拟云安全防护解决方案、最新版智能下一代防火墙亮相美国RSA2016大会,全球最知名的独立安全研究和评测机构NSS Labs在大会现场授予山石网科“下一代防火墙推荐级别”荣誉。