下一代防火墻:更高速 更智能

對于通過常用的80端口和443端口來訪問的互聯(lián)網(wǎng)應(yīng)用來說，基于端口的傳統(tǒng)企業(yè)防火墻與其說像警衛(wèi)，還不如說是應(yīng)用的中轉(zhuǎn)地，傳統(tǒng)防火墻此時所起的安全作用正在減弱，它也逐步讓位于功能強(qiáng)大的新一代高速智能防火墻（Next-Generation FireWall， NGFW）。

何謂下一代防火墻

所謂的下一代防火墻是指：它能夠?qū)?shù)據(jù)流高效地完成入侵防護(hù)，同時還能識別出應(yīng)用類型，以便根據(jù)使用者的身份執(zhí)行相應(yīng)的策略。它還足夠聰明，可使用基于互聯(lián)網(wǎng)的聲譽(yù)分析等信息幫助過濾惡意軟件，或者與活動目錄集成。現(xiàn)在的問題是，我們多久后才能真正實現(xiàn)向下一代防火墻轉(zhuǎn)型？

新興公司Palo Alto Networks被認(rèn)為是最先打出下一代防火墻旗號的廠商，它早在2007年就推出了可識別應(yīng)用的多用途安全設(shè)備系列，今天已有2200多家客戶。同時，F(xiàn)ortinet、思科、Check Point、McAfee等其他廠商同樣一直在擴(kuò)充或改造防火墻產(chǎn)品，以便其產(chǎn)品符合下一代防火墻的定義。此外，入侵防護(hù)系統(tǒng)（IPS）廠商Sourcefire也表示會在今年推出帶IPS功能的可識別應(yīng)用的防火墻。

不過，過去幾年一直大力倡導(dǎo)新一代防火墻的Gartner認(rèn)為，雖然廠商們在大力推廣下一代防火墻，但目前這種防火墻的實際使用率還是非常低。Gartner的分析師Greg Young說：“我們認(rèn)為，如今用新一代防火墻來保護(hù)的網(wǎng)絡(luò)連接還不到1%。”但他預(yù)測，到2014年，這個比例會達(dá)到35%。

目前，關(guān)于如何定義下一代防火墻并沒有定論，也還沒有哪個獨立的第三方實驗室對所謂的下一代防火墻產(chǎn)品進(jìn)行過測試，其困難就在于給下一代防火墻下一個明確、清晰的定義并不容易。即使對這種設(shè)備有自己定義的Gartner也承認(rèn)“定義很混亂，一些廠商推出的這種設(shè)備具有應(yīng)用控制功能，而另一些廠商在IPS方面比較先進(jìn)。總體上，大多數(shù)企業(yè)防火墻廠商在這方面處于早期階段。”

同時，統(tǒng)一威脅管理（UTM）這個術(shù)語讓下一代防火墻術(shù)語規(guī)范問題變得更混亂了。IDC的分析師Charles Kolodgy是第一個提出UTM的人。他表示，UTM與下一代防火墻的意思大致一樣。但Gartner認(rèn)為，UTM應(yīng)該是適用于中小型企業(yè)使用的安全設(shè)備，而下一代防火墻應(yīng)該適合員工數(shù)量不少于1000人的大企業(yè)。

安全設(shè)備流行融合

目前，盡管對下一代防火墻在叫法上存在不一致，又只有極少用戶在使用所謂的下一代防火墻，但安全廠商們的確認(rèn)識到：對于綜合多用途企業(yè)安全設(shè)備的需求可能會增長。

Fortinet 公司產(chǎn)品營銷副總裁Patrick Bedwell 說：“市場正朝這個方向發(fā)展。”該公司在不久前宣布，為其5000系列設(shè)備家族添加處理速度高達(dá)40Gbps的Fortigate-5001B安全刀片，這比之前產(chǎn)品的最高速度8Gbps有了大幅上升。他說：“由于安全威脅變得更加復(fù)雜，現(xiàn)在重點需要放在應(yīng)用控制方面，而老的防火墻跟不上步伐。”

FortiGate防火墻/VPN安全刀片可識別出大約1300個應(yīng)用類型，還可針對用戶行為實行細(xì)粒度控制，另外還有時間限制和帶寬管理功能。

其他廠商也加入了下一代防火墻的陣營。McAfee就通過對其企業(yè)防火墻V.8升級版進(jìn)行了改動，使其成為下一代防火墻產(chǎn)品。McAfee網(wǎng)絡(luò)防御部門產(chǎn)品營銷主管Greg Brown說：“我們重新設(shè)計了應(yīng)用引擎，那樣我們就能檢測和全面審查1000多個應(yīng)用。”

McAfee企業(yè)防火墻V.8達(dá)到了10Gbps的速度，為了獲得更高的速度，McAfee正在與其他公司合作，力爭達(dá)到40Gbps。這種無所不能、無所不知的防火墻果真擁有與獨立IPS一樣高效的IPS功能嗎？Brown承認(rèn)這很難說，目前還沒有進(jìn)行這方面的獨立測試，但“出發(fā)點是做到與獨立IPS一樣高效。”

Brown表示，與主要關(guān)注IP網(wǎng)絡(luò)地址的“常規(guī)防火墻”相比，下一代防火墻在應(yīng)用控制方面采用的工作方式對大多數(shù)客戶來說確實代表著一種新技術(shù)。比如說，集成微軟活動目錄這類功能就很有吸引力，這樣可根據(jù)授權(quán)的應(yīng)用建立用戶組。不過到目前為止，McAfee的客戶大多數(shù)都很謹(jǐn)慎，通常會在一部分應(yīng)用上試用看看策略控制會有什么樣的影響，而不是所有應(yīng)用都嘗試先進(jìn)的防火墻功能。

健身中心連鎖店24 Hour Fitness在全球經(jīng)營著400多家俱樂部，它在去年部署了Palo Alto Networks公司可識別應(yīng)用的防火墻，其IT運營和安全高級主管Justin Kwong表示，改用Palo Alto的綜合架構(gòu)節(jié)省了投資，而且現(xiàn)在使用基于聲譽(yù)的過濾等功能可以很清楚地了解發(fā)生的情況。該公司正在利用Palo Alto防火墻與活動目錄集成的功能，為員工建立針對應(yīng)用的策略控制機(jī)制。Kwong表示，現(xiàn)在在使用方面還不是很細(xì)化，應(yīng)用控制方面需要不斷摸索了解。而且，到目前為止，公司并沒有完全遷移至下一代防火墻，因為并不是網(wǎng)絡(luò)或數(shù)據(jù)中心的所有部分都需要可識別應(yīng)用的控制。

雖然下一代防火墻集眾多安全功能于一體，但Kwong對此仍有所保留。他表示，除了Palo Alto IPS功能外，他還準(zhǔn)備繼續(xù)使用開源的IPS作為“第二雙眼睛”。“我從來不會把所有功能集中在一個設(shè)備里，也從來不會只依賴某一家廠商。”他說。

Gartner認(rèn)為下一代防火墻需有以下特征：

1.有一般防火墻的功能，如VPN、網(wǎng)絡(luò)地址轉(zhuǎn)換等；

2.有入侵防護(hù)功能；

3.能識別應(yīng)用類型；

4.有一定智能，能幫助分析并輔助決策。