|
【PConline 杂谈】当“下一代防火墙”几个字样出现在眼前时,你是如何理解的?或者说,你能分清其与防火墙以及统一威胁管理(UTM)之间到底是何关系吗?那么,当三者同时出现时,你如何证明它就是下一代防火墙而不是其他?
如今,我们所面临的网络威胁呈现出多样化、复合化的趋势,且数量庞大,因此,“下一代防火墙”应时而生。从最早的包过滤防火墙到现在,防火墙已经历了五代的演进,每一个时代的进化都向防火墙注入了新技术与新活力。 我们说,传统防火墙具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN功能等功能,但下一代防火墙的检测则更加精细化。此外,传统防火墙采用端口和IP协议进行控制的固有缺陷明显已经落伍,对于利用僵尸网络作为传输方法的威胁,基本无法探测到。
根据Gartner的定义,下一代防火墙除了要具备基本防火墙功能外,还要拥有更高的性能、更智能、可视化应用识别,以及集成式入侵防御。显然,在应对网络中的新型威胁时,传统防火墙与安全网关的性能越发捉襟见肘,甚至无法满足企业用户的安全需求。 不仅如此,传统防火墙更多的通讯量都只是通过少数几个端口和采用有限的几个协议进行,这意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏失部署补丁的软件进行检查,但却不能有效的识别与阻止应用程序的滥用,更不用说对于应用程序中的具体特性的保护了。 那么,下一代防火墙与传统防火墙以及统一威胁管理(UTM)之间,究竟有何不同? 首先,下一代防火墙并不是简单的在传统防火墙的基础上加入应用可视化。随着以威胁情报、大数据等为代表的前沿安全技术日渐成熟,下一代防火墙也从最初的强调应用识别、深度集成IPS等这些基础能力,向关注管理分析能力、性能、抗攻击逃逸能力方面提升,更注重与这些外部智能系统、其他安全产品的联动协同。 显然,下一代防火墙早已超过二十多年前定义防火墙品类时所界定的范畴,前者是边界防御领域的一个新产品类。因此,下一代防火墙绝不是一些厂商口中宣传的约等于传统防火墙加上应用可视化这么简单。
接下来,我们再说说下一代防火墙与统一威胁管理(UTM)之间有何区别。需要说明的是,下一代防火墙并不是之前市场上流行的统一威胁管理(UTM)。实际上,UTM诞生的时间更早,目的是为了降低中小企业以及低预算用户的拥有成本。因此,UTM在防火墙平台的基础上集成了尽可能多的安全功能,如上网行为管理、入侵防御、Web攻击防护、病毒防护、垃圾邮件过滤、URL过滤等等,而下一代防火墙则必须适应大企业环境。 尽管下一代防火墙也集成了IPS、AV等等这些安全功能,但其并不是以提升产品性价比为主要目的,而下一代防火墙则是更深层次的集成,将各类安全功能融入一个独立的架构中,而非简单的功能堆叠,后者的主要目的是为了提升安全检测效率和安全防护水平。
总结一下就是,下一代防火墙是各类安全模块间可开展有机联动,各模块产生的信息可实现全维度关联,使得下一代防火墙拥有强大的模块间安全协同与威胁情报聚合能力,可以理解为1+1>2的效果。 当然,光有理论知识还不够,真正的问题在于如何选择一款真正的下一代防火墙。这里,我们建议大家可以基于应用层构建安全、主动防御、多威胁检测机制智能融合这几个产品比较显著的标签入手。与这些标签相对应的参数或标准,则主要包括了应用识别的广度和深度,与本土用户使用习惯的契合度,可视化和智能分析的能力、操作体验,功能全开启后的性能和性能衰减趋势这些方面。 具体而言,就是下一代防火墙的应用识别能力,既要广度又要有深度,可以说识别的广度和深度是应用识别最重要的指标,也是下一代防火墙区别于传统防火墙的重要特征;同时还要兼顾功能与性能,且功能完备性不能以显著的性能衰减为代价;最后,还应具备良好的可视化和智能分析能力,帮助我们看得清网络中的潜在威胁,防住攻击。看清看全看透,才能让安全可见。 |
