程彥博

如今，幾乎所有安全廠商都有自己的下一代防火墻產(chǎn)品。究竟什么才是下一代防火墻？作為用戶，是否應(yīng)該升級到下一代防火墻？在升級時，應(yīng)該注意哪些地方呢？

如果從2009年Gartner正式提出下一代防火墻的定義算起，下一代防火墻問世已經(jīng)有5年的時間了。5年來，大家對下一代防火墻的概念和應(yīng)用仍然存在爭議和混淆。那么，下一代防火墻是如何從概念走向應(yīng)用的，它在國內(nèi)的認知度和應(yīng)用情況又如何呢？

其實早在Gartner的下一代防火墻定義發(fā)布之前，Palo Alto Networks就已經(jīng)發(fā)布了全球第一款下一代防火墻產(chǎn)品，并憑借優(yōu)異的市場表現(xiàn)成功登陸資本市場，為廣大傳統(tǒng)防火墻廠商緊隨產(chǎn)品更替潮流注入了強心針。2012年以來，網(wǎng)康、深信服、綠盟、啟明星辰、山石網(wǎng)科、華為、網(wǎng)神等國內(nèi)安全廠商均發(fā)布了各自的下一代防火墻產(chǎn)品。目前，國內(nèi)主流安全廠商已全部進入該領(lǐng)域，市場競爭愈發(fā)激烈。

毫無疑問，下一代防火墻引發(fā)的邊界安全技術(shù)升級熱潮將持續(xù)深入。由于下一代防火墻融合了入侵防御、VPN等功能，具備一體化的安全防護和復(fù)雜環(huán)境組網(wǎng)能力，有助于提升用戶安全防御水平并降低管理成本，未來必將逐漸吞噬傳統(tǒng)防火墻、獨立的入侵防御、VPN甚至URL過濾等硬件產(chǎn)品的市場份額。

Frost&Sullivan;的報告顯示，2013年，中國下一代防火墻市場規(guī)模超11億元，同比增長16.77%。隨著其應(yīng)用逐步鋪開，預(yù)計未來3年市場規(guī)模將以穩(wěn)定的速度增長，到2016年預(yù)計達到17億元。Gartner在今年4月份發(fā)布的《企業(yè)級防火墻魔力象限報告》中指出，防火墻市場領(lǐng)導(dǎo)廠商均已將“下一代”安全防護能力集成入各自的產(chǎn)品中，試圖以此保持并擴大對同類產(chǎn)品的競爭優(yōu)勢。

90%以上用戶有需求

“一個市場的爆發(fā)，絕不會是廠商的單方面作用，用戶的需求是刺激市場增長的主因?！本W(wǎng)康科技產(chǎn)品市場經(jīng)理熊瑛表示，就目前所了解到的防火墻采購項目，將應(yīng)用識別與控制、全網(wǎng)可視化、入侵防御、病毒防護、高性能等下一代防火墻提供的功能項作為“硬指標”的用戶，已占到90%以上，甚至不乏一些行業(yè)用戶在發(fā)布招標文件時，已將擬采購產(chǎn)品的品類明確為“下一代防火墻”、“應(yīng)用層防火墻”或“新一代防火墻”等。

隨著國家建設(shè)網(wǎng)絡(luò)強國戰(zhàn)略與相關(guān)政策的出臺，信息安全已在國內(nèi)受到空前重視。對比過往，如今重視信息安全，以科學(xué)的方法保障信息安全的機構(gòu)和企業(yè)越來越多，政府、運營商、能源、教育等行業(yè)用戶的安全建設(shè)已不再單純地將滿足合規(guī)性要求作為唯一標準。Frost&Sullivan;的研究數(shù)據(jù)表明，從垂直行業(yè)應(yīng)用規(guī)模來看，政府機構(gòu)、運營商、能源和教育領(lǐng)域目前是中國下一代防火墻最主要的用戶來源，分別占到37.6%、15.8%、10.4%和9.2%的比重，主要是由于行業(yè)特性決定了用戶對于數(shù)據(jù)與網(wǎng)絡(luò)安全的要求更高，同時大型企業(yè)相對集中，會對IT系統(tǒng)和安全設(shè)備有更大的投入。Frost&Sullivan;指出，隨著信息化的發(fā)展和用戶對網(wǎng)絡(luò)安全的重視，未來下一代防火墻產(chǎn)品將會在諸如醫(yī)療、金融、互聯(lián)網(wǎng)等行業(yè)持續(xù)滲透，這些應(yīng)用領(lǐng)域的占比也會隨之提升，并成為下一代防火墻產(chǎn)品新的市場需求來源。

海南聯(lián)通試水

放眼國內(nèi)，很多企業(yè)也同樣開始走上了應(yīng)用下一代防火墻的旅程，海南聯(lián)通就是鮮明的一例。海南聯(lián)通信息化部支撐中心主任王雄介紹，海南聯(lián)通IT承載網(wǎng)是海南聯(lián)通全省的辦公網(wǎng)絡(luò)，承載著海南聯(lián)通OA，郵件、財務(wù)、ERP等十余種業(yè)務(wù)系統(tǒng)的日常交付?！敖裉斓腎T承載網(wǎng)與過往相比發(fā)生了巨變，一方面當前安全威脅不斷升級，使得我們必須進一步增強防護措施，另一方面網(wǎng)絡(luò)用戶也發(fā)生了顯著變化，目前我們網(wǎng)絡(luò)中有20%的用戶在使用無線網(wǎng)絡(luò)接入，還有大量的遠程接入VPN用戶，管理的難度進一步增大?！蓖跣壅f。

王雄介紹，海南聯(lián)通IT承載網(wǎng)是其最重要的網(wǎng)絡(luò)之一，網(wǎng)絡(luò)設(shè)計、建設(shè)、管理運維等都是按照電信級標準完成的，但隨著使用年限的增加，近年來還是暴露出了一些問題?！皬娜ツ觊_始，我們發(fā)現(xiàn)網(wǎng)絡(luò)中開始有丟包、時延抖動較大的現(xiàn)象，不少部門向我們反映網(wǎng)絡(luò)訪問的體驗變差?！蓖跣郾硎?，經(jīng)過反復(fù)分析、排查，運維人員確認部署于網(wǎng)絡(luò)出口的兩臺思科防火墻長時間處于超負荷運行的狀態(tài)。

由于先前設(shè)備的性能瓶頸和功能缺失，海南聯(lián)通隨即啟動了出口防火墻設(shè)備的升級項目，并組織了一系列的入圍測試工作?！白鳛檫\營商網(wǎng)絡(luò)的設(shè)備，高性能、高可靠性是要考慮的首要問題。本次防火墻升級，我們要選擇的是一款具備應(yīng)用層安全防護能力的設(shè)備，對于性能的要求更為嚴格?！蓖跣壅f。為了滿足海南聯(lián)通IT承載網(wǎng)99.9%以上的可靠性要求，網(wǎng)康下一代防火墻采用了主被模式的HA部署架構(gòu)，由兩臺設(shè)備組成集群，設(shè)備配置、會話信息和在線用戶信息等均在主、被設(shè)備間實時同步，保證了故障切換時業(yè)務(wù)無中斷。

據(jù)了解，在測試過程中，網(wǎng)康下一代防火墻的性能表現(xiàn)同樣得到了海南聯(lián)通的肯定，在逐步開啟各項安全功能后，設(shè)備的包轉(zhuǎn)發(fā)速率和處理延時并未有明顯變化，經(jīng)過長時間在線測試，表現(xiàn)出了極高的穩(wěn)定性。“性能是應(yīng)用層安全設(shè)備的一大挑戰(zhàn)，為了實現(xiàn)完整的檢查，經(jīng)過設(shè)備的每一個數(shù)據(jù)包都要進行拆包和解碼，這需要消耗大量的運算資源。為了保證我們的下一代防火墻能夠在保證性能的前提下完整交付功能，我們做了多方面的創(chuàng)新?！毙茜赋觯布?、軟件架構(gòu)和處理機制是制約設(shè)備性能提升的核心因素。

事實上，網(wǎng)康下一代防火墻采用了英特爾專用高性能硬件平臺和DPDK軟件技術(shù)，所有數(shù)據(jù)包檢測均采用單路徑引擎的方式，僅需一次拆解即可實現(xiàn)應(yīng)用類型、木馬、病毒、惡意網(wǎng)址等威脅的檢測，從而保證了較小的性能衰減。同時，網(wǎng)康下一代防火墻采用病毒云查殺技術(shù)，這在國內(nèi)防火墻領(lǐng)域尚屬首創(chuàng)，由云端的海量資源代替設(shè)備本地查殺，同樣能夠降低設(shè)備的運算開銷。

“下一代防火墻的應(yīng)用識別能力幫助我們解決了很多現(xiàn)實的問題?！蓖跣劢榻B，在網(wǎng)康設(shè)備的幫助下，海南聯(lián)通一些與業(yè)務(wù)無關(guān)或高危的應(yīng)用流量均被拒絕或限制，減少了威脅滲透的通道。同時，對于在網(wǎng)內(nèi)的智能終端設(shè)備，還可基于終端類型和應(yīng)用進行識別和控制，并始終將防護級別維持在較高水平。

“作為一款防火墻產(chǎn)品，網(wǎng)康設(shè)備的可視化能力很出眾，無論是異常輸出還是事件溯源，都能夠非常直接的呈現(xiàn)出來，同時基于統(tǒng)計的結(jié)果對流量變化、可疑行為等進行分析，為我們不斷優(yōu)化安全配置幫了大忙?！蓖跣壅f。

升級建議

對于下一代防火墻的選擇，熊瑛認為，防火墻產(chǎn)品部署位置關(guān)鍵，對網(wǎng)絡(luò)聯(lián)通性、應(yīng)用交付質(zhì)量均會有較大影響，其自身的穩(wěn)定性和性能尤為重要，尤其是下一代防火墻定位應(yīng)用層深度檢測，較傳統(tǒng)防火墻性能開銷要高出很多，用戶在選擇下一代防火墻時應(yīng)注意安全功能全開啟后的性能表現(xiàn)。此外，應(yīng)用識別和威脅檢測的能力直接影響到設(shè)備應(yīng)對應(yīng)用層威脅的有效性，這些同樣是下一代防火墻應(yīng)具備的基本能力。

此外，雖然技術(shù)創(chuàng)新可以幫助用戶解決更多安全問題，使安全產(chǎn)品更加“有用”，但對于用戶而言，一款好的產(chǎn)品還應(yīng)該“好用”。尤其是對于安全防護類產(chǎn)品，日常操作的便捷、智能程度將直接影響到用戶安全管理的效率，甚至關(guān)乎安全管理工作是否能夠切實落地。

“過去，90%的用戶不對防火墻進行管理和檢查，而網(wǎng)絡(luò)始終在發(fā)生著變化，先前設(shè)定的安全配置很快就會失效。安全管理強調(diào)形成閉環(huán)，在部署了防御措施后仍要不斷地進行檢查、調(diào)優(yōu)，動態(tài)調(diào)整的安全策略具有最高的有效性。然而，下一代防火墻正在改變著用戶的使用習(xí)慣。設(shè)備一旦上線，下一代防火墻可首先幫助用戶評估網(wǎng)絡(luò)風(fēng)險，用戶根據(jù)風(fēng)險狀況并結(jié)合自身安全需求進行安全配置，再通過可視化技術(shù)對全網(wǎng)狀態(tài)進一步分析，最終基于分析結(jié)果調(diào)優(yōu)策略。通過‘評估—防御—檢測—響應(yīng)的閉環(huán)運行，安全防護將由單純的事件響應(yīng)推向面向風(fēng)險的控制?！毙茜f。