(迈克菲中国区网关安全产品总监郭伟)下一代防火墙在设计之前就已经考虑到未来安全的需求变化,软硬件架构采用了分离栈的设计思路,不同的应用防护,不同的功能集成项分别设置分离的TCP/IP栈结构,充分利用了目前硬件的多CPU、多核的硬件体系,所以在全部功能加载运行后不会像UTM产品那样,虽然功能比较全,但实际应用场景中性能指标无法满足,而最终导致很多UTM功能成为摆设。 NGFW的软硬件架构设计非常类似于我们今天在城市建设中看到的楼宇的建造,从一开始框架架构已经搭建完成,所要做的后续工作只是在所需的各个功能项添砖加瓦,扩充,增加内外部墙面,装饰等辅助工程。
传统的互联网安全架构模型是从桌面->网络->边界的三级防护。还是那句话:应用为王,面对目前互联网基于Web2.0理念层出不穷的应用,传统防护已经无法满足企业对网络信息安全的深入的管控,迈克菲重新定义了全新的网络安全架构模式即桌面<->网络<->应用安全,内容安全<->边界安全<->云安全。这个模型中每个单元都不是孤立的,而是横向:互联互通,彼此协调工作的;纵向的通过统一网关平台实现统一管控,有效地优化了网络安全的纵深保护,并且极大的降低了运营维护成本。迈克菲公司的各种安全解决方案中都可以充分体现出这一理念。
实施NGFW,企业无须为原先的网络安全架构的前沿做根本性的改变,任何一种新技术的变革都必须考虑前期投资的持续性,需要一个平滑渐进的过程。所以这就要求NGFW从功能上必须向下兼容承载传统网络防火墙和UTM产品的全部特性,包括:功能,实施方案拓扑机构等,而后才能谈到逐步改进,平滑过渡并且增加其扩充的功能。
NGFW能否替代FW、IPS、UTM
迈克菲中国区网关安全产品总监郭伟认为,NGFW是否替代网络防火墙要视实际应用场景而定,。对于企业的核心业务网络:关键应用、计费中心、Web服务器、数据库、ERP系统等,NGFW是必须的也是其终极保护措施,因为NGFW更加专注于应用保护、身份确认、主动性、可预见性和实时防护,能够避免由于核心业务受到影响而导致企业的重大损失。除此之外,对于一些安全要求比较低的网络环境比如说企业的访客网络,非核心业务网络等,传统网络防火墙还是有其应用需求的,并且可以和NGFW实现梯次配置,混搭,实现差异化分层防护。
IPS产品是主要应用于网络边缘关注于网络层面的设备,主要是通过其高性能的硬件,以及预设置的签名对网络流量进行模式匹配,检索已知网络威胁,防止DDos攻击等。其产品的优势在于利用签名技术对网络流量进行快速、无时延的检索,要求其有高转发率特性,因而与NGFW相比有各自不同的关注重点。我们认为NGFW和IPS产品在网络部署的节点,层面是不同的,两者应该成为必要和有益的相互补充。
UTM产品本身是传统网络防火墙和NGFW的过渡产品。凡是UTM能够部署的地方, NGFW都可以无缝替换,更加之UTM一直存在性能瓶颈,所以UTM产品最终会为NGFW所取代。
NGFW最终成为网络安全防护重点需求
企业的网络安全需求在前期的定位往往是模糊的,这就需要专业的网络安全咨询人员通过与客户不断的沟通,了解到企业目前的网络安全现状是怎样,目前的确切需求和关注的重点在哪些方面,今后2~3年或者更长一段时间内会有什么样新的网络安全管控设想和架构。迈克菲一直认为安全项目最根本的目的是帮助客户真正实现网络安全管控的战略规划,避免重复性投资,优化网络安全架构,以期帮助企业实现网络安全的短期和长期愿景的统一和逐步过渡。
NGFW产品是最终网络安全需求的深入和目前时刻面临的多变的基于应用和内容网络安全威胁而诞生的,有其广泛的需求空间。虽然存在不同的机构和企业规模的差异对NGFW所要求实现的功能有着这样或者那样的粒度管控要求,但是,我们认为企业网络安全的终极目标是一致的,即做到最大程度的网络安全保护和管控,保证核心支撑业务免受利用恶意代码、病毒、蠕虫、钓鱼软件、木马僵尸工具的攻击,保证企业网络的合规性要求,防止企业敏感信息泄密等。 这些都会最终归结到对一个科学有效的网络安全解决方案的诉求,而NGFW真是整个安全解决方案中不可或缺的一环。 因此我们认为NGFW将会最终成为所有行业许多企业的网络安全防护的重点需求。
融合网络、安全多功能设备趋势
1) 目前企业网络安全所面临的问题主要集中在:大量的人力,财力年复一年的投入到企业网络安全建设当中,企业的CIO和CSO仍然感觉到目前网络安全问题还是处在“头疼医头,脚疼医脚”的阶段。走了这家安全厂商,来了那家安全厂商,但是其产品都不能完全帮助企业解决一揽子的网络安全问题。企业需要一个长效的,全面的网络安全解决方案,或者是全功能,更加深入细化的安全管控的产品的出现。
2) 独立的单一功能的设备在企业网内不断的植入配置,单点故障导致全网业务受影响,多重设备的叠加导致企业网性能的显着下降。
3) 大规模网络设备虚拟化的趋势是另一佐证。基于单一功能的传统网络防火墙亦或是UTM的市场份额在一段时间内会保持其一定的占有率,但是已经失去了快速爆发性增长的空间,而NGFW的市场份额将会在不久的将来出现显着的增长。整个网络信息安全领域中,在今后3~5年的市场中将会是NGFW、信息安全管控-数据防泄密、以及移动终端应用安全解决方案等占据主导地位。
一个成熟的NGFW产品的诞生不是一蹴而就的。从产品架构设计、软硬件的实现都需要相当长的时间,另外,NGFW的几个关键性技术的积累和系统整合也需要花费大量的时间,比如说云安全平台的搭建、其数学模型的合理性研究分析、数据的采集、挖掘和积累;上百种基于Web2.0理念的应用,需要通过代码实现的应用安全代理;嵌入式应用的识别;反病毒、防恶意代码以及IPS签名的系统的置入,这些亦或是普通厂商需要通过自主研发,或者是通过OEM捆绑花费相当长的时间才可以实现的。McAfee在这些方面具有天然的优势,我们的全球威胁智能感知系统(GTI-Global Threat Intelligence ) 的云安全平台已经有长达15年的数据积累,反病毒、反恶意代码、垃圾邮件防护,以及IPS签名,这些都是作为业界技术领先者的McAfee被公认的优秀产品。
