格物資訊韓勖：正本清源下一代防火墻

　　格物資訊創(chuàng)始人 韓勖

　　下一代防火墻（NGFW，Next-Generation Firewall）從問世至今，在國內(nèi)已經(jīng)走過用戶培育階段，開始步入市場收獲期。圍繞下一代防火墻，業(yè)界并沒有產(chǎn)生太大爭議，類似UTM當年那種混亂的概念解讀幾乎沒出現(xiàn)。但亂象并未絕跡：市場上仍有人把NGFW當做新的產(chǎn)品品類，用戶中也有人糾結于NGFW與UTM之爭……如何正確認識下一代防火墻？它的本質是什么？用戶如何選擇？讓我們來一次正本清源。

　　防火墻定義的分野這個問題問的貌似很奇怪，但確實很多人存在誤解。自從信息安全成為產(chǎn)業(yè)以來，國內(nèi)外對防火墻的理解就有著本質的不同。大部分國內(nèi)用戶乃至廠商都把“防火墻”看做一種產(chǎn)品，它基于狀態(tài)檢測機制，可以做NAT、五元組的訪問控制以及2～4層安全防護，甚至國標都是這樣定義的。但在海外，業(yè)界對Firewall這個詞的理解是可以做訪問控制、同時提供安全功能的設備。它不是一個具體的產(chǎn)品品類，而是對一系列用在相同應用場景中的產(chǎn)品的歸納描述，與市場行為無關。如果對應到中文專業(yè)詞匯，F(xiàn)irewall應該被精準翻譯成“安全網(wǎng)關”，其中安全可以是一種安全技術，也可以是多種安全技術的集合；網(wǎng)關則指的是能隔離不同安全域，按策略實施不同的訪問控制技術。

　　由此可見，大部分國人對“防火墻”的理解，只是把Firewall在一個特定歷史時期的常見形態(tài)做了個快照，固化為一個產(chǎn)品品類。而IDC定義的UTM和Gartner定義的NGFW，就不特指某個產(chǎn)品品類了，而是Firewall在不同歷史時期應對市場熱點的延展性定義，屬于Firewall的一個子集。實際上，安全產(chǎn)品發(fā)展到現(xiàn)在，已經(jīng)很難再有固定功能的產(chǎn)品品類出現(xiàn)，在統(tǒng)一的軟硬件平臺上以模塊方式提供安全功能才是產(chǎn)品形態(tài)的主流發(fā)展方向。

　　最早定義的UTM在訪問控制技術方面沒有更新，在安全業(yè)務方面要求至少具有IDS或IPS以及網(wǎng)關防病毒的功能；NGFW則在訪問控制技術方面做出重大提升，要求必須能以應用為訪問控制策略的制訂元素，同時至少集成IPS。縱觀目前市場上的主流Firewall產(chǎn)品，其實它們幾乎都同時符合兩種定義，并且在提供安全功能的數(shù)量上遠遠超出兩個定義的要求。所以，所謂的UTM與NGFW之爭，只是不同廠商和咨詢機構出于市場方面的考慮，人為挑起的宣傳戰(zhàn)罷了。

　　最后，渾水摸魚的現(xiàn)象目前在小范圍內(nèi)也是存在的，比如產(chǎn)品明明不能識別應用或不帶IPS，卻硬包裝成NGFW來推廣。相信隨著市場的進一步成熟，此類產(chǎn)品會逐漸消亡。

　　安全本位？訪問控制本位！其實安全圈做設備的人對Firewall的本質有著非常精辟的概括，那就是“訪問控制+特征匹配”。一切Firewall體系內(nèi)的設備都能以此歸類，比如國人印象中的“防火墻”就是基于五元組的訪問控制和針對2～4層攻擊的特征匹配，UTM的基本要求是基于五元組的訪問控制和針對2～4層攻擊、病毒代碼、漏洞攻擊的特征匹配，NGFW的基本要求則是基于五元組+應用協(xié)議的訪問控制和針對應用協(xié)議和惡意代碼（涵蓋2～4層攻擊、病毒、木馬、攻擊代碼等）的特征匹配。至少在APT從根本上改變安全防護體系架構前，F(xiàn)irewall一定是在“訪問控制+特征匹配”的技術框架下發(fā)展變化。

　　那么在NGFW的時代，訪問控制和以特征匹配為基礎的安全功能到底誰更重要？

　　前段時間，筆者對一些企業(yè)/行業(yè)用戶進行了調研，重點了解他們對NGFW的具體需求。感覺企業(yè)用戶現(xiàn)在的需求并不是安全，而是基于應用的訪問控制，要解決的是非業(yè)務應用和帶寬占用型應用造成的出口擁塞問題。NGFW更多起到流量控制或上網(wǎng)行為管理的作用，現(xiàn)階段安全方面反倒體現(xiàn)不出太大價值。

　　而對于行業(yè)用戶來說，他們大多擁有分層級的安全體系，安全產(chǎn)品部署上傾向于專品專用，所以不管“防火墻”、UTM還是NGFW，在安全體系內(nèi)通常只負責訪問控制。行業(yè)用戶非常歡迎應用識別技術的加入，在他們看來，基于應用協(xié)議做訪問控制可以更精確地限定訪問權限，有利于白名單的設定。單憑這一點，NGFW在國內(nèi)就有了海量市場空間。這原本就是防火墻的主戰(zhàn)場，如果不是行業(yè)用戶在訪問控制方面的普世化需求，“防火墻”也不太可能成為市場份額最大的安全產(chǎn)品。

　　如何選擇NGFW？無獨有偶，筆者的調研結果很大程度上與Gartner近期報告中提到的結論相吻合，只不過Gartner認為企業(yè)用戶對安全的需求仍然旺盛。鑒于海外用戶在IT意識方面的領先，可以預見NGFW的安全功能也會被越來越多的國內(nèi)用戶所重視。但這并不意味著集成的安全功能越多越好，Gartner在《2013 Gartner Magic Quadrant for Enterprise Network Firewalls》中就特別指出，術語定義上的不同和廠商混亂的營銷正導致用戶對產(chǎn)品認知發(fā)生混淆！

　　例如，類似WAF、DLP之類的功能，目前只對小眾用戶存在價值，現(xiàn)階段并不適宜看做NGFW的必備功能。

　　對于用戶來說，選型時除了以自身需求為導向、避免被某些廠商的過度包裝所迷惑外，還要對產(chǎn)品規(guī)格有清晰的認識。例如，一些廠商給出的NGFW性能指標依然在傳統(tǒng)的“防火墻”形態(tài)下測得，這對大部分期待使用應用識別技術的用戶就毫無參考價值。所幸，以Palo Alto Networks、華為為代表的一批主推NGFW的廠商已開始公布更詳細的產(chǎn)品性能，比如開啟應用識別時的吞吐量、開啟安全功能時的吞吐量等等，可以讓用戶在選型時做到心中有數(shù)。

　　除此之外，用戶在選擇NGFW時，最好能提前進行實地操作（或從一些廠商官方網(wǎng)站登錄NGFW演示系統(tǒng)），親自感受一下產(chǎn)品的易用性。調研中有一些用戶提到，用NGFW和用傳統(tǒng)“防火墻”的一大不同，那就是“防火墻”做好策略后只要不出問題，基本就不會主動登錄到管理界面；NGFW則不然，很多IT乃至CIO都經(jīng)常性地登錄到設備上查看各類統(tǒng)計信息，認為這樣有助于發(fā)現(xiàn)安全隱患或提升網(wǎng)絡效率。既然總要和設備打交道，管理配置界面的易用性就顯得非常重要了，一個友好、強大的交互系統(tǒng)能讓操作者事半功倍、心情愉快，反之則只能忍受無盡的痛苦了。