四年，從聲名鵲起到走向成熟，從高高在上的企業(yè)級(jí)專屬到日漸形成落戶千萬家之勢(shì)，下一代防火墻(NGFW)伴隨著爭議成長，伴隨著低價(jià)普及。

四年過去了，下一代防火墻已成大勢(shì)，但市場(chǎng)中對(duì)其解讀方式卻越來越多，也愈發(fā)復(fù)雜。隨著時(shí)間的流逝，越來越多的廠商舉起了NGFW的大旗，也讓這個(gè)市場(chǎng)變得更加混亂。而這些混亂，一方面源自產(chǎn)品質(zhì)量的參差不齊，另一方面一個(gè)重要原因是對(duì)于Gartner經(jīng)典定義的“發(fā)揚(yáng)光大”。對(duì)于NGFW中應(yīng)該包括和不該包括的功能，眾廠商均持有不同意見。

今年又有幾家國內(nèi)廠商陸續(xù)發(fā)布了NGFW產(chǎn)品，至此國內(nèi)網(wǎng)絡(luò)安全廠商全面擁抱NGFW。而在之前發(fā)布NGFW的廠商，也不斷向其產(chǎn)品中添加新的功能(比如定位僵尸主機(jī)或DLP相關(guān))。且不論其是否符合NGFW的發(fā)展方向，至少在創(chuàng)新這一點(diǎn)上比拉大旗扯虎皮者強(qiáng)得多。

便宜沒好貨?未必!

下一代防火墻的價(jià)格目前還處于居高不下的階段，主要是由于下一代防火墻的研發(fā)成本和硬件成本都較高，以某國際知名下一代防火墻提供商的產(chǎn)品為例，使用了Intel、FGPA和ASIC三種不同的硬件芯片來分?jǐn)倶I(yè)務(wù)處理壓力，同時(shí)國內(nèi)也有幾家知名安全廠商采用了相似的Intel搭配MIPS的混合架構(gòu)模式來提升NGFW產(chǎn)品的穩(wěn)定性和處理能力，多芯片分布式處理的情況會(huì)在初期對(duì)產(chǎn)品價(jià)格有明顯的提升。因?yàn)楦骷覐S商的銷量還不足以攤平其前期投入成本，因此現(xiàn)階段無法提供親民的價(jià)格也屬情理之中。但是也有一些NGFW產(chǎn)品采用了最新的Intel DPDK架構(gòu)。采用通用處理器的優(yōu)勢(shì)就在于在前期可以有效控制研發(fā)成本，從而降低前期產(chǎn)品售價(jià)。

誠然，部分下一代防火墻由于硬件成本的問題導(dǎo)致價(jià)格虛高，但是也有個(gè)別廠商在使用通用芯片架構(gòu)配以服務(wù)模式來提升產(chǎn)品性價(jià)比，通過向用戶收取整套服務(wù)費(fèi)用的策略銷售下一代防火墻，而不是將產(chǎn)品的初期高昂成本附加到用戶頭上，打破了傳統(tǒng)“賣盒子”的模式，很大程度上降低了用戶采購成本。

當(dāng)然，在實(shí)際采購過程中，用戶購買時(shí)更重要地還是看功能模塊。因此，在NGFW的功能授權(quán)方面，雖然NGFW的應(yīng)用識(shí)別是與防火墻深度集成，卻不是所有的NGFW提供商在銷售產(chǎn)品時(shí)都能將應(yīng)用識(shí)別的授權(quán)向用戶免費(fèi)開放。因此，如果用戶采購了需要單獨(dú)付費(fèi)的NGFW產(chǎn)品，那么無異于提升了其采購成本。筆者認(rèn)為，應(yīng)用感知和控制需要與防火墻固化，不應(yīng)存在具有應(yīng)用感知和不具備應(yīng)用感知兩種交付形態(tài)。對(duì)于NGFW來說，根本就不應(yīng)該存在這個(gè)問題，但現(xiàn)實(shí)還是被廠商搞混淆了。采購時(shí)應(yīng)注意應(yīng)用感知和控制功能是否需要另付費(fèi)，或是打包到其他功能模塊中付費(fèi)，以免產(chǎn)生不必要的投入。

Gartner定義的NGFW部署在對(duì)延遲敏感的大型企業(yè)網(wǎng)絡(luò)環(huán)境中，這是區(qū)別于用在SMB的UTM的一個(gè)因素，但是卻有個(gè)別廠商將NGFW產(chǎn)品主要定位于中小企業(yè)市場(chǎng)。筆者認(rèn)為，若是能夠做出性價(jià)比很高的產(chǎn)品，對(duì)于價(jià)格敏感的中小企業(yè)也是個(gè)福音，還能促使NGFW更加普及，使其成為防火墻的真正替代者，而不只是部分替代。其實(shí)不論是大企業(yè)還是中小企業(yè)，都是在乎TCO的。如果NGFW能夠有效地降低部署成本，同時(shí)又可以提升安全性，那么何樂而不為呢?

漢王科技是NGFW的用戶之一，對(duì)于漢王科技這樣的上市企業(yè)，并且是創(chuàng)造高智力附加值產(chǎn)品的企業(yè)來說，保障信息系統(tǒng)安全是信息部門日常工作的第一要?jiǎng)?wù)。在信息安全治理方面，既要滿足監(jiān)管單位的合規(guī)性要求，又要充分識(shí)別、抵御威脅，降低信息資產(chǎn)暴漏的風(fēng)險(xiǎn)。因此他們對(duì)于網(wǎng)絡(luò)的整體安全性要求是很嚴(yán)格的。漢王科技股份有限公司信息技術(shù)部IT運(yùn)維負(fù)責(zé)人李錦毅講道：“對(duì)于核心服務(wù)器區(qū)的安全防護(hù)，要求安全設(shè)備必須在保證高性能的前提下提供網(wǎng)絡(luò)攻擊防護(hù)、入侵防御、病毒防護(hù)、URL過濾等一體化的安全防御解決方案。而在互聯(lián)網(wǎng)邊界處，除了要求提供全面的安全防御以外，還要對(duì)辦公網(wǎng)用戶的外發(fā)信息做到精細(xì)、嚴(yán)格的控制，僅允許用戶向互聯(lián)網(wǎng)上的可信目標(biāo)發(fā)送文件，嚴(yán)防敏感數(shù)據(jù)泄漏”。

漢王科技股份有限公司信息技術(shù)部IT運(yùn)維負(fù)責(zé)人李錦毅

李錦毅補(bǔ)充道：“在實(shí)際測(cè)試過程中，給我們留下深刻印象的是網(wǎng)康NGFW在開啟入侵防御、病毒防護(hù)、URL過濾、數(shù)據(jù)防泄漏等安全功能后，同樣還能保證很高的數(shù)據(jù)轉(zhuǎn)發(fā)性能，這與我們先前曾使用過的UTM產(chǎn)品有著天壤之別”。

“看得見”才能更安全

“你不能保護(hù)你所不知道的”是安全圈的一句名言。但遺憾的是，雖然防火墻的功能越來越強(qiáng)大，但是仍然會(huì)產(chǎn)生越來越多的“不為人知”的信息。網(wǎng)康科技市場(chǎng)部產(chǎn)品市場(chǎng)經(jīng)理熊瑛談道：“在安全建設(shè)過程中，管理比技術(shù)上的控制更加重要，但是管理需要有技術(shù)手段提供強(qiáng)有力的支撐。幾乎所有的技術(shù)人員在面對(duì)由傳統(tǒng)安全設(shè)備輸出的單調(diào)、重復(fù)、難懂的日志和報(bào)表時(shí)，都在為如何將它們與安全風(fēng)險(xiǎn)聯(lián)系在一起而面露難色。”

網(wǎng)康科技市場(chǎng)部產(chǎn)品市場(chǎng)經(jīng)理熊瑛

NGFW完全基于應(yīng)用層構(gòu)建安全，可幫助網(wǎng)絡(luò)管理者深入地看到數(shù)據(jù)傳輸中人、應(yīng)用和內(nèi)容的情況。此外，在對(duì)大量行為信息收集的基礎(chǔ)之上，可在同一頁面通過一系列的單次點(diǎn)擊就可以完成數(shù)據(jù)的挖掘和鉆取，并且提供了基線對(duì)比的方式，能夠以時(shí)間、流量、威脅為維度，對(duì)比出當(dāng)前與同一歷史時(shí)間段的差異，幫助管理者了解網(wǎng)絡(luò)的變化趨勢(shì)，分析可疑行為。這無疑可以幫助管理員“看得更透”。

北京藍(lán)星環(huán)境工程有限公司是中國藍(lán)星(集團(tuán))總公司在北京唯一一家子公司，2005年開始大規(guī)模建設(shè)信息系統(tǒng)，到目前70%~80%的無形資產(chǎn)均以數(shù)據(jù)的形式保存在應(yīng)用服務(wù)器上。該公司CIO胡振環(huán)講道：“我們也曾使用過一些安全設(shè)備，不過坦率地講，傳統(tǒng)的設(shè)備所呈現(xiàn)出的各種日志總是很難讀懂，尤其是我們并不能很好地把網(wǎng)絡(luò)語言翻譯為業(yè)務(wù)語言，將某一個(gè)攻擊事件與業(yè)務(wù)風(fēng)險(xiǎn)相掛鉤。即便有時(shí)設(shè)備報(bào)出發(fā)現(xiàn)了網(wǎng)絡(luò)攻擊行為，我們還是很難了解到攻擊事件發(fā)生的整個(gè)過程。幾個(gè)月前我們上線了一款NGFW設(shè)備，第一感覺是這款防火墻提供了非常豐富的可視化界面，有各種形式的監(jiān)控和報(bào)表直觀地呈現(xiàn)給用戶。登錄設(shè)備管理界面，我們就可以輕松地看到網(wǎng)絡(luò)中的流量構(gòu)成。印象比較深刻的是還可以看到IP地址所屬的國家或地區(qū)。這些在先前我們所使用的設(shè)備中是看不到的。”胡振環(huán)還強(qiáng)調(diào)說：“下一代防火墻強(qiáng)大的可視化功能，讓我們通過直觀的查看和簡單的點(diǎn)擊，就能及時(shí)發(fā)現(xiàn)隱蔽性很強(qiáng)的攻擊，實(shí)現(xiàn)了更加主動(dòng)的防御，我想這也體現(xiàn)了下一代防火墻帶給我們的變革。”

北京藍(lán)星環(huán)境工程有限公司CIO胡振環(huán)

中國自動(dòng)化集團(tuán)有限公司網(wǎng)絡(luò)信息化主管儲(chǔ)可與筆者分享了他在運(yùn)維中使用NGFW的經(jīng)驗(yàn)。他說：“在我們的日常辦公中，使用QQ進(jìn)行溝通是非常普遍的，但根據(jù)公司的信息安全策略，使用QQ及其他即時(shí)通信軟件進(jìn)行文件傳輸?shù)男袨槭遣槐辉试S的，而網(wǎng)康NGFW對(duì)QQ子功能的支持多達(dá)9種。有了如此深入的識(shí)別能力，我們就可以通過設(shè)置訪問控制策略，靈活地實(shí)現(xiàn)對(duì)QQ及其他即時(shí)通信軟件文件傳輸行為的禁止，而僅開放這些軟件文本聊天的功能。”

向復(fù)雜說再見

“由于價(jià)格和管理復(fù)雜度的問題，目前很多中小企業(yè)都處于裸奔狀態(tài)，或是只把下一代防火墻當(dāng)做流控或傳統(tǒng)防火墻使用。雖然很多產(chǎn)品銷售出去了，但是卻并沒有發(fā)揮出應(yīng)有的作用，這不是一件安全業(yè)界值得慶幸的事情。也就是說，目前下一代防火墻的產(chǎn)品和技術(shù)并沒有真正地為廣大需要它的客戶去服務(wù)，這是我們需要努力改進(jìn)的一個(gè)方向。” 網(wǎng)康科技高級(jí)市場(chǎng)經(jīng)理嚴(yán)雷如是說。

網(wǎng)康科技高級(jí)市場(chǎng)經(jīng)理 嚴(yán)雷

傳統(tǒng)安全設(shè)備的組合，比如防火墻、IPS、AV等設(shè)備的日志信息只將其羅列出來，對(duì)于普通IT運(yùn)維人員想要分析清楚，從中得到有價(jià)值的信息可謂比登天還難。傳統(tǒng)的報(bào)表型日志閱讀難度高，分析起來更加無從入手。這樣的情況下，對(duì)于多數(shù)人來說，安全還算是什么呢?

從傳統(tǒng)安全角度講，每一個(gè)設(shè)備從自己的角度出發(fā)，產(chǎn)生日志報(bào)表，可是不同設(shè)備、不同安全引擎之間并沒有聯(lián)動(dòng)起來，使彼此對(duì)安全情況的認(rèn)知不能交流，這就使得我們無法了解整個(gè)網(wǎng)絡(luò)安全的全貌。

NGFW改善了以往獨(dú)立IPS產(chǎn)品對(duì)于事件記錄挖掘不深，無法提供給安全運(yùn)維人員友好的報(bào)表顯示等頑疾而受到了眾多IT人員的歡迎。在NGFW中，對(duì)于安全事件的深度挖掘是相當(dāng)重要的?；诖罅咳罩居涗浀年P(guān)聯(lián)分析來給運(yùn)維人員提出安全性建議，無疑會(huì)加快安全問題的定位和解決的速度，某種程度上還能防患于未然。

胡振環(huán)通過一個(gè)親身經(jīng)歷的攻擊事件向筆者講述了NGFW可視化體驗(yàn)。他說：“NGFW設(shè)備上線后，我們通過可視化界面中的色塊顯示，發(fā)現(xiàn)網(wǎng)絡(luò)中的高風(fēng)險(xiǎn)流量占比很大，引起了我們的懷疑，通過鼠標(biāo)的一系列點(diǎn)擊，發(fā)現(xiàn)內(nèi)網(wǎng)的一臺(tái)數(shù)據(jù)庫服務(wù)器被境外IP頻繁訪問，我們隨即調(diào)整了安全策略，切斷了所有異常連接。所有的操作都通過簡單的點(diǎn)擊完成，十分方便。”

可視化技術(shù)的初衷是為了提供直觀、簡單的信息，為管理策略的調(diào)整提供技術(shù)支撐。傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備輸出的日志、報(bào)表，多以IP、連接、帶寬為維度，縱使統(tǒng)計(jì)全面，數(shù)據(jù)充分，但仍然很難幫助網(wǎng)絡(luò)管理者了解網(wǎng)絡(luò)的變化趨勢(shì)，只是能被少數(shù)既精通技術(shù)又了解業(yè)務(wù)的專家所讀懂。

NGFW的發(fā)展與異化

下一代防火墻把檢測(cè)的高度提升到應(yīng)用層，按照目前互聯(lián)網(wǎng)發(fā)展情況看，應(yīng)用層上不論攻擊還是防護(hù)，可做的事情都太多了。因此下一代防火墻給了廠商更多的機(jī)會(huì)和主動(dòng)權(quán)，大家可以在下一代防火墻的經(jīng)典定義之上做更多的事情，尤其是在各自擅長的領(lǐng)域中能有突破性創(chuàng)新。

雖然NGFW做得越來越像UTM，但也只是貌似而已，我們?nèi)匀豢梢栽诓煌瑥S家的NGFW產(chǎn)品中看到他們本來的面貌。像網(wǎng)康這樣生于應(yīng)用層的新興NGFW廠商，主打功能自然聚焦在應(yīng)用層。例如能夠基于用戶的應(yīng)用控制和資源分配等等。NGFW 其實(shí)并不神秘也不復(fù)雜，只是將防火墻原本的訪問控制提升到應(yīng)用層面，同時(shí)固化了應(yīng)用識(shí)別特性，所以才不叫下一代UTM 。

網(wǎng)康科技CEO袁沈鋼

對(duì)于產(chǎn)品的發(fā)展走向，網(wǎng)康科技CEO袁沈鋼表示：“下一代防火墻最大的特點(diǎn)是以人容易理解的方式展現(xiàn)出整體網(wǎng)絡(luò)活動(dòng)，也就使人具有了洞察力。NGFW在很大程度上發(fā)揮了人的判斷力、理解力和知識(shí)等各方面的能力來做更多、更準(zhǔn)確的判斷。如果是傳統(tǒng)防火墻和UTM，會(huì)把這些信息割裂，產(chǎn)生大量的碎片化信息，讓人很難理解。而NGFW則是向人來展現(xiàn)各種相關(guān)聯(lián)的信息。NGFW會(huì)展現(xiàn)風(fēng)險(xiǎn)程度，以及產(chǎn)生風(fēng)險(xiǎn)的原因，從而幫助人進(jìn)行快速判斷，使人具有洞察力。因此，NGFW的發(fā)展方向?qū)⑹浅掷m(xù)地對(duì)于新生安全威脅、防護(hù)方法等知識(shí)的積累。在這個(gè)基礎(chǔ)之上，加入更多的數(shù)據(jù)分析和挖掘，使之變得更智能，最終使人具有更強(qiáng)的洞察力和識(shí)別能力。這也是網(wǎng)康下一步需要更加發(fā)力的方向。