理性看待下一代防火墙
志不强者智不达。自从2009年Gartner定义下一代防火墙至今,国内外业界风起云涌,竞相角逐。但是下一代防火墙成为众家“香饽饽”之时,便可能成为跟风者邯郸学步之日。滚动着泡沫的一汪沸水,你能否看到水底蕴藏的那潜在力量?
2007年,Palo Alto Networks发布世界第一款下一代防火墙产品。此后,国际网络行业领导厂商诸如 Barracuda Networks、Cisco、Check Point、Dell SonicWALL、Fortinet、Juniper Networks等等公司也相继推出下一代防火墙。国内厂商自然不甘落后,2011年深信服发布中国第一款F代防火墙伊始,拉开了中国厂商开启下一代防火墙模式的序幕。一年来,国内厂商宣布推出“下一代”单品的已有迪普、东软、锐捷、深信服、天融信、网康、网神等。越来越多的厂商注意到了将设备与云相结合,使用云计算的优势来进一步提升下一代防火墙在未知威胁防护上的处理效能,但是在硬件设备方面却鲜见有亮点的升级,加之中国大部分厂商都只是今年才推出第一代NGFW产品,所谓有亮点的产品升级更新更无从谈起。诚然,下一代防火墙已经逐渐被市场所接受、认同,但这是否是因为夸大的市场宣传而“被接受”了呢?
从一年前的凤毛麟角到如今的满城尽是“下一代”,网络安全新产品的蓬勃发展是我们愿意看到的,但如果是厂商为了迎合“下一代”风潮而削足适履,这是我们不愿意看到的。当然,我们更不愿意见到的是无休止的炒作掩盖了产品的真正价值。
新技术应对新挑战
通过对多家安全厂商的走访,记者发现大家不约而同地指出网络活动急剧增加,也日趋复杂,安全攻击出现多样性,云计算、移动互联网、BYOD、Web 2.0等成为了新时代的网络安全挑战。
Web2.0时代带来爆炸式的应用增长,对传统防火墙造成了极大的挑战。在各式各样的Web应用潇洒地通过80端口时,基于“五元组”的传统防火墙无异于被蒙上双眼的士兵,不再能很好地守护网络的安全。
此外, APT攻击近年来分外活跃。Stuxnet病毒不仅使伊朗核计划遭到重创,也拉开了工控系统入侵的序幕。长久以来,工控系统被认为并不会受普通电脑病毒的影响。随着这一想法被颠覆,更多的网络攻击将会瞄准工控系统和物联网。在网关处,更深度的数据包检测、病毒入侵防护,以及工控系统协议的支持等需求也变得越来越迫切。
在谈及如何应对新时代带来的新挑战时,锐捷网络安全产品线经理王福光说:“云计算等新技术应用的发展,带来了三个方面的转化,即数据集中化;应用复杂化;边界多元化。数据的上收让云计算核心的数据中心承担着巨大的安全压力与挑战。如何在保障安全的同时满足高速、无瓶颈的性能要求,也成为了防火墙的基础要求。”
Check Point安全顾问吴航在采访中也表示,APT(高级可持续性威胁)攻击在近两年也愈演愈烈,Stuxnet病毒对于工控系统和物联网的影响已经改变了业界关于安全的观点,很多大的企业已经意识到威胁的形式发生着巨大的改变。因此对更加高效、多功能的网关防护设备的需求程度也在不断提高。
通过研究Gartner和NSS Labs对于下一代防火墙的定义发现,作为一个整合深度数据流检测、应用安全识别,以及攻击防护的安全平台,必须要具备传统企业级防火墙的全部功能。比如基础的包过滤、多层状态检测、NAT,以及面对一切网络流量时保持高稳定性和可用性。在此之上,下一代防火墙还必须要具备应用识别和控制、用户及用户组控制、完整的IPS功能、灵活的功能扩展选择和外在信息源。其实还有一点,也是业界一直在宣传的,在开启多个功能,甚至是全功能时,性能下降不明显,这也是区分UTM与NGFW的一个显著标志。
“下一代”不仅仅代表了多功能、高性能,更是对于传统设备软件和硬件技术的革新。对此观点,我们也独家连线了美国网络世界安全频道资深编辑Ellen Messmer。Ellen认为,下一代防火墙对于传统基于端口检测的防火墙来说是革命性的改变,它打破了以往UTM简单将各功能模块串联起来的基础架构模式。
对于设计架构方面,下一代防火墙从基础架构上解决了多功能开启时UTM性能急剧低下的问题。Palo Alto通过独家设计的单通道并行处理架构,紧密结合了软件与硬件,简化了管理工作,也提供了一个流畅的运行程序与最佳性能。这个架构的卓越之处在于,当数据流通过时,软件通过一次性的策略查找、应用程序的识别和解码、用户的识别,以及内容扫描(病毒,木马,入侵防护),而硬件平台使用特殊功能的处理器执行联网、安全、威胁防护与管理,使整个设备达到最大的性能与最小的延迟。因此,基础架构的革新决定了下一代防火墙能够解决UTM性能瓶颈的问题。
经过一段时期的发展,不论是防火墙市场的老牌劲旅,还是创建没几年的新兴公司都纷至沓来,推出下一代防火墙,欲求在市场中分一杯羹。通过对多家安全厂商的走访和产品调查,我们发现目前市场上普遍的下一代防火墙设计架构都趋向于单通道并行处理的一次拆分包技术。但是在实际的应用层处理性能、深度病毒检测性能等方面,国内产品与国际领先厂商的产品尚有一定差距,还需要提升自身技术实力,同时进一步接受市场的考验。
近两年,厂商和媒体的大力宣传,防火墙市场表现出蓬勃发展、百舸争流的态势,而下一代防火墙也被宣传成了一款“万金油”产品。然而我们是否需要冷静一下,还原一个真实的下一代防火墙呢?
理性看待下一代防火墙相关推荐
- 如何理性看待 5G 速率提升?
作者| 阿里文娱高级无线开发专家 梓烁 责编 | 胡巍巍 出品 | CSDN(ID:CSDNnews) 5G的关键技术 5G的核心技术点挺多,包含了很多技术集.5G定义了三大应用场景: eMBB: ...
- 风雨欲来:网络设备商竞速下一代防火墙
自出现之日起,下一代防火墙(Next-Generation Firewall,以下简称NGFW)就一直在争议中前行.究其原因,在于概念提出得比较超前.产品跟进却相对缓慢. 就在不久前,梭子鱼与深信服在 ...
- 山石网科发布智能下一代防火墙新版本 应对未知威胁
2月5日北京,民族网络安全领导厂商山石网科发布智能下一代防火墙新版本,总裁兼CEO罗东平亲自分享了山石网科在未知威胁防护方面取得的新成果:智能下一代防火墙将通过基于威胁行为的分析技术识别未知威胁,帮助 ...
- 下一代防火墙NGFW解读
下一代防火墙NGFW应具备的六大功能 下一代防火墙需要安全厂商不断的关注IT环境和客户需求的变化.持续专注的技术积累及创新,而厚积薄发的产品成果.下一代防火墙应该实实在在实现以下六大功能:基于用户防护 ...
- 下一代防火墙的5个优点
现代网络攻击和先进的黑客攻击方法的复杂性正在推动企业寻求下一代防火墙以获得更好的安全性.新的基于Web的恶意软件和入侵企图绕过外围保护来利用应用程序.用户容易受到恶意电子邮件或网络钓鱼方案的影响,因为 ...
- 光伏行业需理性看待低价中标 市场竞争是必然选择
7月底,中广核项目创下的3.19元/瓦最低价纪录仅保持了不足两周的时间,8月11日,3.05元/瓦国电投光伏组件中标价格就成功将此记录打破,创下组件产品价格的新低. 仅隔两周时间,在光伏行业对3.05 ...
- 下一代防火墙市场高速增长,年复合增长率为13.6%
本文讲的是 : 下一代防火墙市场高速增长,年复合增长率为13.6% , [IT168 资讯]随着BYOD和物联网(IoT)的高速发展,会增加更多的终端,同时企业内部和外部的威胁持续增长,近日Res ...
- 下一代防火墙信息收集(概念篇)
下一代防火墙,即Next Generation Firewall,简称NG Firewall. Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为"下一代防火 ...
- CCNP-防火墙-上一代防火墙-下一代防火墙
CCNP-防火墙-上一代防火墙-下一代防火墙 上一代防火墙 这玩意应该是十几年前的东西了 现在我们都叫下一代防火墙(NGFW) 上一代防火墙呢 基本上都是把功能集成到一个盒子里面 <上一代防火墙 ...
最新文章
- 神经网络是存储了海量的信息还是将海量的关系映射存储在了一起(发挥了存储记忆功能),还是变成了看似是一个公式,实际是成千上万个规律的公式融合在一个式子中( 类似于正弦波的傅里叶分解成无限中频率的波的加和
- DSAPI多功能组件编程应用-DS提示气泡
- excel最常用的八个函数_Excel最常用的几个函数,我都帮你整理好了!
- javascript中处理时间戳为日期格式的方法
- Mysql8.0之后没有缓存功能
- vue 使用fs_node.js中常用的fs文件系统
- 谁知道这个代码片段干嘛的
- 2019ACM浪潮杯山东省赛参赛总结
- selenium模拟登陆去哪儿网
- bzoj 3172: [Tjoi2013]单词 AC自动机
- Julia 语言可重用性高竟源于缺陷和不完美?
- MySQL 对 CREATE TABLE IF NOT EXISTS SELECT 的处理
- 获取当前时间以及模拟倒计时(Java)
- dism++封装系统使用教程_win7系统部署工具Dism的操作方法
- python数据分析基础pdf中文下载_Python数据分析基础(pdf+epub+mobi+txt+azw3)
- ERROR:此文件包含病毒,已删除
- pytorch创建新环境
- 全国大学生大数据技能竞赛比赛心得以及相关资料
- 李飞飞:我怎样走上 AI 研究之路的?
- 8年京东大数据架构师推荐的大数据开发学习路线