下一代防火墙排名.docx

下一代防火墙排名 前言防火墙作为网络安全的基础设施，已经拥有20多年的历史。从早期的基于ACL列表的软件防火墙，到今天应用广泛的基于状态包过滤的纯硬件防火墙，防火墙已经成为信息安全领域中最为成熟的产品。 在以应用为目标或载体的威胁日益增多的前提下。据CNCERTCC统计，在TCP各种应用统计中，流量排名前四位的是WEB浏览、P2P下载、电子邮件和即时聊天工具。然而，随着攻击技术的不断进化以及云计算、Web2.0技术等新技术的不断发展和应用，传统的防火墙已经越来越无法满足现在的安全需求，具体表现在以下几个方面： 1.面向服务的架构及Web2.0的广泛应用，大量应用建立在HTTP等基础协议之上，而基于端口及IP的处理机制传统防火墙，无法有效识别和管理这些应用，更无法检查应用中附带的威胁代码。 2.越来越多的新型安全威胁如社交网络蠕虫、僵尸网络等传播渠道变得越来越隐蔽，安全威胁也越来越智能化，传统防火墙无法有效发现和阻止这些威胁。 3.在网络中，传统防火墙主要是基于三层包过滤和四层状态监测等防护技术，无法对应用进行有效地监控、管理和防护，因此，各种各样的应用逐渐成为了网络安全难以监控的非管理区。传统防火墙基于IP地址的用户识别及管理的机制，已经变得越来越复杂且难以管理。 4.随着网络带宽的迅速增长，主流网络带宽已经从千兆时代进入到万兆甚至十万兆时代，传统防火墙无法提供足够的性能和扩展性来应对这种变化。 面对如此复杂的安全需求，作为传统防火墙替代品的UTM（统一威胁管理）虽然解决了安全功能集成化的问题，但是由于其安全功能未能充分融合，使得UTM在这些安全需求面前显得捉襟见肘。而IPS（InternetProtocolSuite）产品由于其功能相对单一，只能作为传统防火墙的补充方案，无法真正替代传统防火墙。 在这个背景下，下一代防火墙应运而生了。那么何为下一代防火墙呢，下一代防火墙与传统防火墙、UTM、IPS等有什么不同，下一代防火墙未来将走向哪里？我们尝试在下面的章节中找出答案。 一、下一代防火墙定义 国际著名的咨询机构Gartner认为，下一代防火墙至少应具备以下特征： 1.传统防火墙功能 既然是要替代传统的防火墙产品，那么下一代防火墙应当具备传统状态监测防火墙所应当具备的全部功能，其中包括包过滤、NAT、状态监测、VPN等功能。虽然传统防火墙已经不能满足需求，但它仍然是一种无可替代的基础性访问控制手段。 2.线速的处理性能 下一代防火墙需要在不影响网络运行的情况下进行嵌入式配置。下一代防火墙已具备线速的网络处理性能的能力，从而可以实现无缝的部署至现有的用户网络中。 3.高度融合IPS及智能化联动 所谓高度融合IPS能力，采用了更为先进的一体化单次解析引擎，将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配等技术实现IPS策略与传统安全策略的融合，让管理和安全业务处理变得更简单、高效，从而最大化地保证系统运行效率。 4.应用可视及身份鉴别的能力 下一代防火墙要具备极强的应用可视能力及用户身份鉴别的能力，以及将应用识别及身份鉴别与安全策略整合的能力。如具有以与传统的基于端口和IP协议不同的方式进行应用识别的能力，并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天，或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况，保证关键业务的畅通。这样才真正做到辨别“谁在什么地方访问了什么应用”。 二、区分下一代防火墙与UTM 为了更好地区分下一代防火墙与UTM的异同点，本文从产品定义、架构、应用场景、技术及市场趋势三个方面来对它们进行区分。 1.UTM定义 UTM指能够提供广泛的网络保护的设备，它在一个单一的硬件平台下提供了以下的一些技术特征：防火墙、防病毒、入侵检测和防护功能等。 2.产品架构 目前的UTM产品主要采用X86架构、ASIC架构和NP架构等三种架构体系，三种架构只是在硬件上有所升级，提高了硬件处理能力，而在系统应用上还是采用在单一设备上集成了大多数安全功能，导致性能成为一个主要瓶颈。主要原因是UTM仅仅是把多种安全引擎叠加在一起，而不是从底层进行重新架构设计，这样做的结果就是数据流会经每个安全引擎，并对报文分别进行执行解码、检查、状态复原等操作，从而导致大量系统资源被消耗，呈现出无法处理报文的结果。所以当UTM启用全部子功能时，系统性能大幅度降低也不足为奇了。 而下一代防火墙在设计之初便意识到了这种问题，普遍采用一体化引擎的系统架构。这种一体化引擎架构可以保证在数据流经过系统时，一次性地完成策略查找，应用程序识别/解码以及内容扫描（病毒、间谍程序、入侵防御）等工作，这种处理方式大大缩短处理时间，并减少因报文的解码和还原时报文出错率，同时采用先进的硬件平台（ASIC和NP的混合架构），从而实现最高的处理性能、高效精准的安全检查以及最小的延迟。 3.应用场景 UTM集成了防火墙、VPN、IPS、防病毒、防垃圾邮件、广域网加速、上网行为管理等众多安全功能，具备安全功能全面，管理成本较低的优点，但如若开启多种功能特性后系统性能急剧下降，因此UTM更适合于对产品性价比比较敏感，网络延迟关注比较低的中小企业用户使用。 而相对于UTM，下一代防火墙在系统架构和硬件平台上更具有优势，下一代防火墙在强调功能融合的同时，又强调一体化引擎的理念，在处理流程上作了最大优化，从而保证了开启全部功能后性能系统仍然保持高水平、高效率匹配及低延迟等优点。因此下一代防火墙更适合运用于对性能要求苛刻的大型企业和机构的网络。 4.技术及市场趋势 不可否认，无论下一代防火墙还是UTM，它们共同体现的产品趋势为安全功能高度集成化、集中化，即将多种安全功能高效集成至一台高性能安全硬件平台中，实现安全边界部署简单化，实现管理简单化，功能集中化，起到在边界网关处对安全威胁的综合防御的效果，同时实现减少安全投资，为企业缩减开支。因此无论从产品功能上还是产品市场定位上，下一代防火墙与UTM最终将逐渐趋同，最终的结果便是彼此功能走向融合，市场也逐步统一。 三、下一代防火墙的技术发展趋势 随着云计算大潮的袭来，国内云计算与虚拟化技术已经由单纯的理论研究逐步走向实践，新的虚拟化和云计算产品将被更多的企业用户所采用，各种网络应用模式及架构将越来越复杂。因此，对于下一代防火墙来说，将来面临更多新的安全需求，主要体现在： 1.虚拟化安全成为一个亟待解决的问题 随着虚拟化技术的不断发展，以及新一代数据中心的逐渐转型，必然要求下一代防火墙需要具备虚拟化防护的能力，如何让防火墙能够与服务器虚拟层沟通，进而能够针对每一台虚拟机器的流量做扫描与阻挡，而不会将之视为单一的硬件服务器；如何让其硬件资源，能够依照不同功能负载量的状况动态分配，从而能够满足云端的需求等等。 2.新应用模式下的攻击手段及技术将更加复杂及隐蔽 面对不断出现的新的攻击方式及漏洞情况，下一代防火墙需要持续且快速地更新其攻击特征库及不断改进对攻击的防范能力。 3.基于云安全模式的Web信誉评级将成为新的需求热点 随着云计算应用的不断普及，用户在享受互联网便利服务的同时，也将受到大量诸如虚假信息、欺诈行为、垃圾邮件、钓鱼网站、恶意代码网站等威胁。因此下一代防火墙需要对互联网资源（域名、IP地址、URL等）进行威胁分析、分类和信誉评级，将含有恶意代码的网站列入Web信誉库，以阻止对挂马网站的访问请求，实现对终端用户的安全保护。 4.大量数据中心的新建及扩容将会带来巨大的成本压力 新一代数据中心的建设必然会涉及到网络的不断升级扩容及资源的不断增加，而购买了传统防火墙产品以后，软硬件无法进行对应的升级及扩充，特别是应用层面的检测防护无法升级，必须部署专业的应用层面的软硬件安全设备，这样必然会导致资源的大量浪费及用户采购成本的大量增加，而下一代防火墙需要更加弹性的软硬件架构来降低用户的采购及升级换代成本。 总之，纵观网络安全的发展史我们发现，任何一次IT信息技术的变革，必然会给安全产品带来新的需求及产品方向。下一代防火墙诞生的时候正是处于云计算、WEB2.0等IT新技术革新的时代，我们有理由相信，只要能够准确把握用户需求，不断地进行技术创新，下一代防火墙必然能够在未来走得更远。 四、结束语 任何一个新的产品从诞生到成熟必然会经历一个过程，同样下一代防火墙作为一个革新性的产品也将会面临技术和市场等多方面的挑战。 从技术角度来看，下一代防火墙强调一体化引擎和安全功能融合的技术理念无疑是领先的，然而领先的技术理念能否转化为具有核心竞争力的产品从而真正满足用户的安全需求，还需要接受时间的检验。 从市场的角度来看，下一代防火墙定位于传统防火墙、UTM、IPS等网关类产品的替代者，在其进入市场后必然会受到后者的前后夹击，如何找准自己的定位，并且在传统网关市场这一红海中成功杀出重围，将会是下一代防火墙将要面临的首要问题。 第 8 页 共 8 页