如何證明你就是下一代防火牆而不是其他?
【PConline 雜談】當“下一代防火牆”幾個字樣出現在眼前時,你是如何理解的?或者說,你能分清其與防火牆以及統一威脅管理(UTM)之間到底是何關係嗎?那麼,當三者同時出現時,你如何證明它就是下一代防火牆而不是其他?
如今,我們所面臨的網路威脅呈現出多樣化、複合化的趨勢,且數量龐大,因此,“下一代防火牆”應時而生。從最早的包過濾防火牆到現在,防火牆已經歷了五代的演進,每一個時代的進化都向防火牆注入了新技術與新活力。
我們說,傳統防火牆具有資料包過濾、網路地址轉換(NAT)、協議狀態檢查以及VPN功能等功能,但下一代防火牆的檢測則更加精細化。此外,傳統防火牆採用埠和IP協議進行控制的固有缺陷明顯已經落伍,對於利用殭屍網路作為傳輸方法的威脅,基本無法探測到。
根據Gartner的定義,下一代防火牆除了要具備基本防火牆功能外,還要擁有更高的效能、更智慧、視覺化應用識別,以及整合式入侵防禦。顯然,在應對網路中的新型威脅時,傳統防火牆與安全閘道器的效能越發捉襟見肘,甚至無法滿足企業使用者的安全需求。
不僅如此,傳統防火牆更多的通訊量都只是通過少數幾個埠和採用有限的幾個協議進行,這意味著基於埠/協議類安全策略的關聯性與效率都越來越低。深層資料包檢查入侵防禦系統(IPS)可根據已知攻擊對作業系統與漏失部署補丁的軟體進行檢查,但卻不能有效的識別與阻止應用程式的濫用,更不用說對於應用程式中的具體特性的保護了。
那麼,下一代防火牆與傳統防火牆以及統一威脅管理(UTM)之間,究竟有何不同?
首先, 下一代防火牆並不是簡單的在傳統防火牆的基礎上加入應用視覺化 。隨著以威脅情報、大資料等為代表的前沿安全技術日漸成熟,下一代防火牆也從最初的強調應用識別、深度整合IPS等這些基礎能力,向關注管理分析能力、效能、抗攻擊逃逸能力方面提升,更注重與這些外部智慧系統、其他安全產品的聯動協同。
顯然,下一代防火牆早已超過二十多年前定義防火牆品類時所界定的範疇,前者是邊界防禦領域的一個新產品類。因此,下一代防火牆絕不是一些廠商口中宣傳的約等於傳統防火牆加上應用視覺化這麼簡單。
接下來,我們再說說下一代防火牆與統一威脅管理(UTM)之間有何區別。需要說明的是,下一代防火牆並不是之前市場上流行的統一威脅管理(UTM)。實際上,UTM誕生的時間更早,目的是為了降低中小企業以及低預算使用者的擁有成本。因此,UTM在防火牆平臺的基礎上集成了儘可能多的安全功能,如上網行為管理、入侵防禦、Web攻擊防護、病毒防護、垃圾郵件過濾、URL過濾等等,而下一代防火牆則必須適應大企業環境。
儘管下一代防火牆也集成了IPS、AV等等這些安全功能,但其並不是以提升產品價效比為主要目的,而下一代防火牆則是更深層次的整合,將各類安全功能融入一個獨立的架構中,而非簡單的功能堆疊,後者的主要目的是為了提升安全檢測效率和安全防護水平。
總結一下就是,下一代防火牆是各類安全模組間可開展有機聯動,各模組產生的資訊可實現全維度關聯,使得下一代防火牆擁有強大的模組間安全協同與威脅情報聚合能力,可以理解為1+1>2的效果。
當然,光有理論知識還不夠,真正的問題在於如何選擇一款真正的下一代防火牆。這裡,我們建議大家可以基於應用層構建安全、主動防禦、多威脅檢測機制智慧融合這幾個產品比較顯著的標籤入手。與這些標籤相對應的引數或標準,則主要包括了應用識別的廣度和深度,與本土使用者使用習慣的契合度,視覺化和智慧分析的能力、操作體驗,功能全開啟後的效能和效能衰減趨勢這些方面。
具體而言,就是下一代防火牆的應用識別能力,既要廣度又要有深度,可以說識別的廣度和深度是應用識別最重要的指標,也是下一代防火牆區別於傳統防火牆的重要特徵;同時還要兼顧功能與效能,且功能完備性不能以顯著的效能衰減為代價;最後,還應具備良好的視覺化和智慧分析能力,幫助我們看得清網路中的潛在威脅,防住攻擊。看清看全看透,才能讓安全可見。