辨别下一代防火墙的“李逵”与“李鬼”

今年最热门的安全硬件产品，非“下一代防火墙（NGFW）”莫属。从Gartner白皮书中的定义到成型的产品，不过短短四年，市场中已经出现了数十种被称作“下一代防火墙”的产品。但无论从产品形态还是产品功能来看，各种“下一代防火墙”相去甚远，难免让人出现雾里看花的困惑。

从令人眼花缭乱的NGFW产品中，企业用户又该如何分辨呢？如果仅参考Gartner对NGFW的定义，企业很可能会因为有限的认知而采购到在技术上有局限性的产品。在2009年，Gartner的定义只是认为传统防火墙（FW）应该进行一次全面升级，以适应互联网带来的新的安全威胁。但当时，整个安全业界对云计算、Web2.0、移动互联网等新技术的认知还远远不够，从新技术变革的角度来看，仅做到“升级”显然不足。

误读产品定义：挂羊头 卖狗肉

在三十余年的发展史中，防火墙类产品经历了从最初的软件形态的防火墙到基于ASIC专业硬件的防火墙，再到将各种安全防护和管理功能融合的UTM类防火墙，直至采用多核芯片、分布式架构实现百G甚至TB级吞吐量防火墙的变革。传统防火墙的每一次演进，几乎都可以通过硬件平台的更新和功能的叠加来实现，只有NGFW对传统防火墙的管理机制提出了全新挑战。

Gartner之所以提出NGFW定义，主要是因为移动互联网时代的到来正在让传统防火墙的管理机制变得无法胜任新的网络变化。Gartner认为，NGFW必须基于“用户+应用+内容”的管控基础才能彻底解决这个问题。如果将这样的需求展开，可以看到NGFW首先依旧需要具备防火墙的基本功能，如NAT、VPN等还是NGFW的立足之本，而应用识别能力则将成为NGFW的最核心的本质特性，此外还需要NGFW与IPS功能深度集成，而不能再像过去那样进行简单的功能叠加。当然，Gartner还在其定义中要求NGFW提供智能联动、智能分析等辅助功能，这些功能对评判NGFW类产品的总体价值也很有意义。

目前，在市场中可以看到的一些产品显然并不符合这样的定义。部分厂商误读了“应用识别能力”在NGFW中的核心价值，依旧在采用传统防火墙的“功能叠加法”制造“下一代防火墙”，比如一些加入简单的应用识别功能、威胁防控功能的产品也被命名为“下一防火墙”，甚至还有一些厂商在基于DLP产品做NGFW。当前可以看到的普遍问题是：一些在传统防火墙技术领域颇具实力的厂商，虽然已开始在其NGFW产品中支持应用管控，也具备了一定的威胁防护能力，但应用识别的数量还相当有限；而一些在上网行为管理技术方面颇具实力的厂商，虽然能让其产品具备较强的应用识别和管控能力，但安全防护能力却偏弱，部分产品在开启威胁防护功能后甚至会出现基本不可用的现象。

万变不离其宗：有原则 有挑战

NGFW可以被看作是一个更精准的访问控制防火墙。尽管定义发生了变化，但是NGFW依旧有万变不离其宗的演进规律。华为企业网络产品线的安全产品总经理左文树指出，判断真假NGFW，首先要了解相关产品是否具备访问控制能力，是否具备威胁防护能力以及其性能是否足以支撑企业未来的业务运行。“从最初的简单访问控制到基于会话的管控，再到基于应用、用户和内容的管控，防火墙的演进都是为了实现更有效、更精确的访问控制；从最初为了将网络隔离成一个个可独立管理的网段到后来逐渐增加了DDoS防护、入侵检测等威胁防护功能，防护功能不断整合到防火墙的平台上都是为了借助更多的威胁防护手段，不断扩大防护范围；用户的业务需求也在不断提升，不断需要防火墙提升性能以支持这种需要，这往往需要硬件和软件平台的双重改造来实现，不可能仅通过软件升级来实现。”左文树表示。

Gartner的定义只描述了NGFW的雏形，面对发展得如火如荼的BYOD、云计算、社交网络等应用及未来随时可能出现的新应用，它并没有给出明确的定义以指导NGFW去应对暗藏其中的风险。所以，如何识别更新的应用，如何在应用过程中识别风险，如何解决新IT环境下边界失效的问题，如何重新建立网络边界的有效管控机制……才是NGFW面临的真正挑战。

左文树认为，除了解决上述的问题，NGFW在管理上也必须“足够简单”。因为管控维度的变化，将让基于应用的管理配置的复杂度成倍提升，面对数以千计的应用选择，哪些应用应该打开、哪些不应该打开，哪些应用是对工作有用的、哪些是没有用的，有用的应用是否需要进一步控制，这一系列问题必然会让运维人员无所适从。此外，来自互联网的安全威胁和未知的攻击暴增，作为网络出口的“把门人”，防火墙应该以何种机制应对这些威胁也是个亟待解决的问题。与此同时，管控维度的增加和处理网络威胁的需求，又会要求NGFW的平台提供更强大的性能支撑。左文树特别强调，NGFW如果不想重蹈覆辙，除产品功能特性的要求，还应该设置性能方面的门槛，以免NGFW在真实的网络环境下定义的特性不可用，最终沦为摆设。华为的“下一代防火墙”正是针对上述问题对症下药进行设计的：其具备六维管控视角，6000多种应用的识别能力及过滤8500万网页的能力，可实现应用层的全威胁防御；借助云和沙箱技术，提供全面的威胁防护能力；通过主流流量学习、自动策略建议等智能分析功能，提供极简单的管理配置方案；硬件平台可支撑万兆流量，高达20G的全威胁防护能力，足以保障业务安全运行。