是否该升级到下一代防火墙?

如果从2009年Gartner正式提出下一代防火墙的定义算起,下一代防火墙问世已经有5年的时间了。5年来,至少从记者了解到的情况看,大家对下一代防火墙的概念和应用仍然存在争议和混淆。那么,下一代防火墙是如何从概念走向应用的,它在国内的认知度和应用情况又如何呢?

  其实早在Gartner的下一代防火墙定义发布之前,Palo Alto Networks就已经发布了全球第一款下一代防火墙产品,并凭借优异的市场表现成功登陆资本市场,为广大传统防火墙厂商紧随产品更替潮流注入了强心针。2012年以来,网康、深信服、绿盟、启明星辰、山石网科、华为、网神等国内安全厂商均发布了各自的下一代防火墙产品。目前,国内主流安全厂商已全部进入该领域,市场竞争愈发激烈。

  毫无疑问,下一代防火墙引发的边界安全技术升级热潮还将逐步深入。由于下一代防火墙融合了病毒防护、入侵防御、VPN等高级防火墙功能,具备一体化的安全防护和复杂环境组网能力,有助于提升用户安全防御水平并降低管理成本,在未来必将逐渐吞噬传统防火墙、独立的入侵防御系统、VPN甚至URL过滤等安全硬件产品的市场份额。

  Frost&Sullivan的报告显示,2013年,中国下一代防火墙市场规模超11亿元人民币,同比增长16.77%。随着其应用逐步铺开,预计未来3年市场规模将以稳定的速度增长,到2016年预计达到17亿元人民币。Gartner在今年4月份发布的《企业级防火墙魔力象限报告》中指出,防火墙市场领导厂商均已将“下一代”安全防护能力集成入各自的产品中,试图以此保持并扩大对同类产品的竞争优势。

  需求渐渐形成

  “一个市场的爆发,绝不会是厂商的单方面作用,用户的需求是刺激市场增长的主因。”网康科技产品市场经理熊瑛表示,就目前所了解到的防火墙采购项目中,将应用识别与控制、全网可视化、入侵防御、病毒防护、高性能等下一代防火墙提供的功能项作为“硬指标”的用户,已占到90%以上,甚至不乏一些行业用户在发布招标文件时,已将拟采购产品的品类明确为“下一代防火墙”、“应用层防火墙”或“新一代防火墙”等。

  随着国家建设网络强国战略及相关政策的出台,信息安全已在国内受到空前重视。对比过往,如今重视信息安全,以科学的方法保障信息安全的机构和企业越来越多,政府、运营商、能源、教育等行业用户的安全建设已不再单纯的将满足合规性要求作为唯一标准。Frost&Sullivan的研究数据表明,从垂直行业应用规模来看,政府机构、运营商、能源和教育领域目前是中国下一代防火墙最主要的用户来源,分别占到37.6%、15.8%、10.4%和9.2%的比重,主要是由于行业特性决定了用户对于数据及网络安全的要求更高,同时大型企业相对集中,会对IT系统和安全设备有更大的投入。Frost&Sullivan指出,随着信息化的发展和用户对网络安全的重视,未来下一代防火墙产品将会在诸如医疗、金融、互联网等行业持续渗透,这些应用领域的占比也会随之提升,并成为下一代防火墙产品新的市场需求来源。

  海南联通试水

  放眼国内,很多企业也同样开始走上了应用下一代防火墙的旅程,海南联通就是鲜明的一例。海南联通信息化部支撑中心主任王雄介绍,海南联通IT承载网是海南联通全省的办公网络,承载着海南联通OA,邮件,财务、ERP等十余种业务系统的日常交付。“今天的IT承载网与过往相比发生了巨变,一方面当前安全威胁不断升级,使得我们必须进一步增强防护措施,另一方面网络用户也发生了显著变化,目前我们网络中有20%的用户在使用无线网络接入,还有大量的远程接入VPN用户,管理的难度进一步增大。”王雄说。

  王雄介绍,海南联通IT承载网是其最重要的网络之一,网络设计、建设、管理运维等都是按照电信级标准完成的,但随着使用年限的增加,近年来还是暴露出了一些问题。“从去年开始,我们发现网络中开始有丢包、时延抖动较大的现象,不少部门向我们反应网络访问的体验变差。”王雄表示,经过反复分析、排查,运维人员确认部署于网络出口的两台思科防火墙长时间处于超负荷运行的状态。

  由于先前设备的性能瓶颈和功能缺失,海南联通随即启动了出口防火墙设备的升级项目,并组织了一系列的入围测试工作。“作为运营商网络的设备,高性能、高可靠性是要考虑的首要问题。本次防火墙升级我们要选择的是一款具备应用层安全防护能力的设备,对于性能的要求更为严格。”王雄说。为了满足海南联通IT承载网99.9%以上的可靠性要求,网康下一代防火墙采用了主被模式的HA部署架构,由两台设备组成集群,设备配置、会话信息以及在线用户信息等均在主、被设备间实时同步,保证了故障切换时业务无中断。

  据了解,在测试过程中,网康下一代防火墙的性能表现同样得到了海南联通的肯定,在逐步开启各项安全功能后,设备的包转发速率和处理延时并未有明显变化,经过长时间在线测试,表现出了极高的稳定性。“性能是应用层安全设备的一大挑战,为了实现完整的检查,经过设备的每一个数据包都要进行拆包和解码,这需要消耗大量的运算资源,为了保证我们的下一代防火墙能够在保证性能的前提下完整交付功能,我们做了多方面的创新。”熊瑛指出,硬件、软件架构以及处理机制是制约设备性能提升的核心因素。

  事实上,网康下一代防火墙采用了英特尔专用高性能硬件平台和DPDK软件技术,所有数据包检测均采用单路径引擎的方式,仅需一次拆解即可实现应用类型、木马、病毒、恶意网址等威胁的检测,从而保证了较小的性能衰减。同时,网康下一代防火墙采用病毒云查杀技术,这在国内防火墙领域尚属首创,由云端的海量资源代替设备本地查杀,同样能够降低设备的运算开销。

  “下一代防火墙的应用识别能力帮助我们解决了很多现实的问题。”王雄介绍,在网康设备的帮助下,海南联通一些与业务无关或高危的应用流量均被拒绝或限制,减少了威胁渗透的通道。同时,对于在网内的智能终端设备,还可基于终端类型及应用进行识别和控制。安全使能应用能够有效支撑企业内部的安全政策,并始终将防护级别维持在较高水平。

  “作为一款防火墙产品,网康设备的可视化能力很出众,无论是异常输出还是事件溯源,都能够非常直接的呈现出来,同时基于统计的结果对流量变化、可疑行为等进行分析,这些为我们不断优化安全配置帮了大忙。”王雄说。

  下一代防火墙升级建议

  对于下一代防火墙的选择,熊瑛认为,防火墙产品部署位置关键,对网络联通性、应用交付质量均会有较大影响,其自身的稳定性和性能尤为重要,尤其是下一代防火墙定位应用层深度检测,较传统防火墙性能开销要高出很多,用户在选择下一代防火墙时应注意安全功能全开启后的性能表现。此外,应用识别和威胁检测的能力直接影响到设备应对应用层威胁的有效性,这些同样是下一代防火墙应具备的基本能力。

  此外,虽然技术创新可以帮助用户解决更多安全问题,使安全产品更加“有用”,但对于用户而言,一款好的产品还应该“好用”。尤其是对于安全防护类产品,日常操作的便捷、智能程度将直接影响到用户安全管理的效率,甚至关乎安全管理工作是否能够切实落地。

  “过去,90%的用户不对防火墙进行管理和检查,而网络始终在发生着变化,先前设定的安全配置很快就会失效。安全管理强调形成闭环,在部署了防御措施后仍要不断的进行检查、调优,动态调整的安全策略具有最高的有效性。然而,下一代防火墙正在改变着用户的使用习惯。设备一旦上线,下一代防火墙可首先帮助用户评估网络风险,用户根据风险状况并结合自身安全需求进行安全配置,再通过可视化技术对全网状态进一步分析,最终基于分析结果调优策略。通过‘评估-防御-检测-响应’的闭环运行,安全防护将由单纯的事件响应推向面向风险的控制。”熊瑛说。

原文发布时间为:2015年7月6日

本文作者:程彦博

原文标题 :是否该升级到下一代防火墙?

时间: 2024-09-27 10:32:47

是否该升级到下一代防火墙?的相关文章

下一代防火墙 决胜于应用层

导读 本文讲的是 下一代防火墙 决胜于应用层,互联网+时代,海量应用隐藏亿万风险.网络失陷,也许只是源于一次网页浏览,或打开一封邮件.传统的包过滤型或状态检测型防火墙虽然可以有效防范各种网络层的攻击,但对于大多数利用Web应用漏洞进行的攻击却束手无策.面对新威胁.新挑战,下一代防火墙的核心安全能力体现在哪里? 几乎没有人怀疑防火墙在企业所有的安全设备采购中所占据的重要位置,但传统的防火墙并没有解决网络主要的安全问题.从实现技术来讲,传统的防火墙主要是包过滤防火墙,实现的是网络层控制 - 截获网络

SonicWALL推出广域网加速产品 扩展下一代防火墙产品线

智能网络安全和数据保护解决方案领先供应商 SonicWALL, Inc .推出SonicWALL广域网加速设备(WXA)系列,作为 当前SonicWALL下一代防火墙(NGFW)套件 的扩充.SonicWALL WXA系列由WXA 5000虚拟设备.WXA 2000和WXA 4000硬件设备及WXA 500 Live CD 组成.各种规模的企业都可从中选择适合其网络的部署解决方案.该新设备系列可显著提高区域和分支办公室之间的广域网性能,并使网络流量减少多达95%.企业员工可加快对关键应用程序的访

以用户的名义重新定义下一代防火墙

本文讲的是 :   以用户的名义重新定义下一代防火墙 , 随着国家建设网络强国战略的出台,我国信息安全产业已再次迎来蓬勃发展的春天.业内分析人士指出,在快步增长的中国信息安全市场中,安全硬件市场长期占据半壁江山,而扼守网络边界的防火墙产品则是安全硬件市场中的顶梁柱. 进不来.拿不走.读不懂是传统安全建设的基本原则,让攻击者进不来,是需考虑的首要问题.防火墙犹如企业网络的守门员,几乎成为安全建设的必选项,调研数据显示,超过89%的企业在进行信息安全建设时,首选防火墙设备. 从产品演进看防火墙三大核

精准防卫 安全无畏——华为发布下一代防火墙USG6000

2013年9月3日消息,华为今天在上海2013华为首届企业网络 大会上,发布业界最精准访问控制的下一代防火墙USG6000,旨在满足移动化.社交化.云计算以及大数据等IT消费化趋势引发的对下一代防火墙精细管控.简单管理.预知风险.高速性能的要求.下一代防火墙概念 提出的4年中,IT环境发生了巨 大变革:社交化.移动化.虚拟化.云化,让移动和web应用成为安全的主战场;黑客攻击产业化使得攻击活动更密集,威胁环境更加险恶;APT让攻击行为更隐蔽,发现威胁所需的时间变得更长.华为企业业务BG CTO

《Cisco ASA设备使用指南(第3版)》一2.15 Cisco ASA下一代防火墙服务(前身为Cisco ASA CX)

2.15 Cisco ASA下一代防火墙服务(前身为Cisco ASA CX) Cisco ASA下一代防火墙服务提供了很多功能,它拥有传统防火墙望尘莫及的可见性及控制能力.通过这些功能,企事业单位就可以适应当今快速发展和不断变化的环境,任凭新型应用与设备在企业网络各处不断涌现,也不会出现违背安全策略的事件.Cisco ASA下一代防火墙服务也会使用Cisco SIO(安全情报操作)中的全球威胁情报,来随时升级对恶意软件防御功能.它可以识别上千种应用和超过75,000种微应用,让企事业单位能够访

云计算来袭 下一代防火墙“new”在哪里?

本文摘要:传统的安全架构,如今在面对数据中心带来的大规模整合和互联.云计算和移动计算更为分散和全方位的安全需求时,正在经受考验和CIO的质疑,NGFW的出世是否为安全"老三样"注入"兴奋剂". 防火墙产品从上世纪九十年代至今,虽然历经系统架构和软件形态的多次革新,但在技术发展和用户.带宽不断增长的今天,却愈发难以满足多方面的挑战.尤其是在当前最热门的数据中心和云计算环境下,以太网标准由万兆开始向40G/100G迈进,我国各类数据中心和机房总量已经达到50余万个.业务

教你选择合格的下一代防火墙

  随着网络活动的逐步上升,企业面临的威胁正在成倍增长.作为企业的IT管理人员,应该如何选择下一代防火墙.近三分之二的网络流量是基于Web的应 用程序,随着这类应用新的安全威胁以及占用的网络带宽的情形大幅增加.今天的网络流量需要下一代防火墙(NGFW)的适当控制. 据Gartner称,NGFW"是一个线速的综合网络平台,进行流量的深入检查和阻止攻击."一个合格的NGFW包括所有在第一代防火墙的标准功能(例如,网络地址转换,包过滤和状态包检测,以及其他通用的网络功能). 当你的防火墙和或

智能防火墙:下一代防火墙

除基于网关的防病毒程序提供的安全防护外,SonicWALL强制客户端防病毒及反间谍软件选件进一步增强了安全性. 现状 目前,一种新型的下一代防火墙已发布,其旨在为Web 2.0环境提供强大的安全性能.强健的入侵防御能力和细粒度应用控制功能.然而,是否所有的下一代防火墙都能实现这些功能呢? 针对这个疑问,全球领先的.独立的安全产品测试和认证机构NSS实验室于2012年2月公布了七款下一代防火墙产品的深入评估测试结果,接受测试的产品分别是来自SonicWALL?.Check Point?.Palo 

下一代防火墙管理设备:更智能也更复杂!

下一代防火墙将通过集成入侵防御和应用与用户监控功能来提升网络安全性,但是它们也会带来新的管理挑战.由于传统防火墙充斥了大量废弃的规则,所以防火墙管理总是一个有挑战的工作.但是,在使用下一代防火墙管理技术之后,网络安全专业人员将需要维护更多的规则和策略. 斯坦福德Gartner公司研究副总裁Greg Young说:"防火墙规则总是到处泛滥,但是入侵防御和应用控制使问题更加复杂.现在正是使用下一代防火墙降低复杂性的时机,但是如果实施不当,则可能会适得其反." 最近,Osterman Res