下一代防火墻你問我答

關于概念

問：NGFW會是曇花一現的概念嗎？

答：UTM概念剛提出時，市場上也曾有過類似的質疑。不過，用戶用實際行動表明了對這種功能豐富、高性價比產品的認可，UTM產品的市場份額長期保持增長。同樣的道理，應用識別與控制是非常實用的功能，也是目前用戶最迫切需要的功能，以此為主打的NGFW產品應該會迅速得到市場認可。市場分析機構Gartner認為，目前只有不到1%的互聯網連接采用NGFW來保護；到2014年年底，這個比例會增加到現有用戶總量的35%，并且用戶新購買的防火墻產品中將有60%是NGFW。

問：具有應用識別與控制功能的UTM與NGFW有何不同？

答：確實有一些UTM產品中提供了應用識別與控制功能，它們大多以獨立的功能模塊形態存在，通常在策略配置、日志/報表乃至授權許可方面都不統一，應用體驗遠不如目前市場上銷售的NGFW產品。此外，至少我們所測試過的集成應用識別與控制功能的UTM產品中，還沒有任何一款在特征庫中包含Web 2.0應用，這顯然不能滿足互聯網應用發展帶來的新安全需求。最后也是最關鍵的一點，應用識別與控制功能對UTM性能造成的影響也許是任何人都始料未及的。我們曾經測試過一款UTM產品，只開啟防火墻時可以達到幾百兆的吞吐量（HTTP大頁面，后同）。在此基礎上開啟IPS，吞吐量下降到100多兆。如果再開啟應用識別與控制，吞吐量則只有幾十兆。當然我們不能以偏概全，無論是UTM還是NGFW，在開啟多功能部署前都應該進行仔細的測試工作。

問：NGFW的性能會隨功能模塊開啟而大幅下降嗎？

答：Gartner認為，NGFW應該是一個線速（wire-speed）網絡安全處理平臺，這屬于基調而不是硬性規定。從目前市場上銷售的NGFW產品的規格指標來看，一些產品在開啟應用識別與控制功能后，性能能夠達到單獨開啟防火墻時的60%#12316;80%；在此基礎上再開啟反惡意軟件、IPS等功能，性能最高者可以達到單獨開啟防火墻時的50%。這樣的性能下降幅度，比起大部分UTM產品來說有優勢。不過，廠商給出的性能指標并不適用于所有的應用場景，用戶在選型時仍然要進行充分的測試工作。

問：NGFW能否替代流控和上網行為管理產品？

答：NGFW與流控或上網行為管理產品間沒有絕對的替代關系。流控產品通常會被部署在行業用戶或運營商網絡的邊緣，用于對應用層流量進行合理的整形與優化；上網行為管理產品則基本部署在企業網絡中，在阻止網絡濫用行為的同時提供更豐富的行為控制與審計能力。兩者都是單一功能設備，與強調一體化接入安全的NGFW沒有可比較的環境。NGFW的優勢在于應用識別/控制與安全業務的無縫銜接，可以完成諸如“允許MSN傳輸文件并對文件進行病毒過濾、但不許使用語音視頻聊天”這樣的綜合設定。

關于部署

問：我需要馬上升級到NGFW么？

答：安全威脅和IT流程總在不斷變化，沒有任何一款安全產品可以永久發揮作用。在更新換代到NGFW的步驟方面，我們比較認同Gartner的建議：無論用戶現在使用的是防火墻、防火墻+IPS還是安全服務，都應在下一個更新周期來臨時切換到NGFW。

問：中小企業需要考慮NGFW嗎？

答：雖然Gartner在定義文檔中將NGFW的用戶群體圈定在大型企業和行業用戶，但幾乎所有廠商都推出了全功能的中低端產品。自防火墻普及以來，大部分中小企業用戶就把它當做一個接入設備而非訪問控制設備來用。如今，它們面臨最嚴重的問題不是安全問題，而是如何保證接入質量。中小企業用戶面對網絡濫用行為缺乏有效的技術管理手段，常見的解決方式是使用帶應用控制的路由器或上網行為管理產品：前者價格低廉但功能簡單，不少產品在應用識別與控制能力上仍待加強；后者雖然功能強大但價格昂貴，用戶可能要為一些很少用到的功能買單。從市場角度看，兩類產品在用戶覆蓋上造成一個斷層，中間有大量中小企業用戶的需求沒有被滿足。而中低端NGFW產品的出現，在功能、性能上滿足了此類用戶的需求，又提供了安全業務的擴展能力，價格也大多維持在同規格UTM產品的水平，值得中小企業用戶關注。

問：評估NGFW產品時都要注意哪些方面？

答：同為在網絡邊緣執行安全業務的網關，NGFW的評估方法和UTM基本類似。對于NGFW產品必須具有的應用識別與控制功能來說，特征庫的本土化、特征庫的更新周期和應用控制的細粒度是用戶應該重點考察的因素，最好能夠在實際環境中進行測試。同樣要長期驗證的還有用戶身份的同步和策略執行的效果，安全部門在這一環節也許需要行政部門的配合。最后，許多用戶開始選擇以NGFW為核心的整體安全解決方案，安裝在客戶端的端點安全套件提供的功能也應被仔細評估。

問：哪個廠商的NGFW是目前市場上最好的產品？

答：這是幾乎所有讀者都問到的問題，也是無法回答的問題。再次重申：永遠不存在適用于任何應用場景的所謂“最好產品”！用戶必須梳理清自身的安全需求，再結合測試等手段，找到適合自己的最佳選擇。