關(guān)于下一代防火墻的幾個思考

NGFW（下一代防火墻）出來有些日子了，這3年多來眾多主流廠家也都推出了各自的下一代墻。然而熱鬧之后，下一代墻并沒有像廠家盼望的那樣，對傳統(tǒng)墻形成替代的燎原之勢。與此同時，UTM也開始演進(jìn)，逐漸和NGFW越來越?jīng)]有區(qū)別。此外，虛擬化的興起，對防火墻也提出了新的要求，不管是傳統(tǒng)墻還是下一代墻，在虛擬化面前，不但擺放的位置需要重新定義，甚至對于東西向流量如何去適應(yīng)也成了需要重新思考的問題。最后，態(tài)勢感知、安全大數(shù)據(jù)在今年成為了國內(nèi)安全屆的熱門，下一代防火墻應(yīng)該在新的體系下充當(dāng)什么角色，等等這些，都需要逐一重新思考，并判斷出新的定位。

1、 下一代和防火墻vs傳統(tǒng)防火墻/UTM：核心區(qū)別在于識別能力

下一代防火墻，按照公安部起草的標(biāo)準(zhǔn)，統(tǒng)一叫做第二代防火墻（GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》），并將國際通用說法“下一代防火墻”正式更名為“第二代防火墻”。

綜觀國內(nèi)外各個不同機(jī)構(gòu)的定義，總的來說認(rèn)為二代墻和傳統(tǒng)防火墻的最大區(qū)別是 可視化和高性能這幾塊，另外是有ips，av，url之類的但是我認(rèn)為不是本質(zhì)。比如PaloAlto就說 app Id、user Id + 高性能就是他們的核心技術(shù)，其實(shí)說的就是用戶可視、應(yīng)用可視，高性能。

另外，說到下一代防火墻和UTM的差別，一般是詬病UTM性能這塊。具體到技術(shù)上，一般會說UTM是上一代技術(shù)，采用包一次通過每一個引擎處理，采用的是串糖葫蘆方式，開啟安全功能后性能會急劇下降；下一代防火墻是采用分離式引擎，一次性并行掃描處理所以性能會很高云云。實(shí)際上這是個偽命題，難道UTM不發(fā)展了嗎？技術(shù)層面的問題都是可以解決的。

所以，在選擇的時候人會暈。那么到底區(qū)別在哪里呢？

其實(shí)Palo是對的，從安全專業(yè)角度有句話，叫做“每個層面的安全問題，需要在那個層面來解決”。通俗的來說，先要看見賊，才抓的住賊，可視化這一塊在傳統(tǒng)火墻的粒度是較粗的，無法在3層來解決如今的7層應(yīng)用安全問題，因?yàn)椤翱床灰姟薄６阅苓@個，隨著硬件的提升，其實(shí)也不存在什么解決不了的問題。至于在NGFW里面加入IPS，waf，行為管理，av，url…理論上廠商可以加入任何他認(rèn)為有用的模塊進(jìn)去，這些我認(rèn)為不構(gòu)成本質(zhì)區(qū)別。

另外，“可視”這個事兒解決好了，相關(guān)的Qos，策略執(zhí)行，病毒掃描等等，都可以用較為精準(zhǔn)的細(xì)粒度方式，基于“應(yīng)用/用戶”進(jìn)行。也就是說，“可視”為精細(xì)化精準(zhǔn)管理奠定了一個基礎(chǔ)，這個是傳統(tǒng)防火墻基于五元組這種粗放式的管理所做不到的。

最后，性能這塊，現(xiàn)在確實(shí)比以前有很大提高，但主要還是基于硬件的提升，這個不構(gòu)成本質(zhì)區(qū)別。所謂的“快”，我認(rèn)為還是應(yīng)該有前提的，如果是你裸奔，我滿載，你我比快有何用？

客觀公正的說，下一代防火墻  ≈ （傳統(tǒng)防火墻+應(yīng)用可視） ≈   UTM                               [≈ :約等于]

2、 下一代和防火墻市場份額：沒有想象的大

實(shí)事求是的講，NGFW沒有對傳統(tǒng)防火墻和UTM形成摧枯拉朽式的顛覆。實(shí)際情況是，大部分客戶的需求傳統(tǒng)防火墻基本能夠滿足，特別是渠道等中小客戶。而且，這個因素把下一代墻的價格拉的也比較低。UTM繼續(xù)在他的勢力范圍內(nèi)銷售，并且也越來越接近下一代防火墻。當(dāng)然，下一代墻也有了自己一定的市場份額，畢竟有下一代墻的廠家，基本會主推這個來替代傳統(tǒng)防火墻的銷售。防火墻/下一代防火墻的市場邊界已模糊，基本還是在原有市場份額里面混戰(zhàn)。池子，并沒有刨得很大。

下一代防火墻的特點(diǎn)是相對比較融合性的一個產(chǎn)品，比如具有傳統(tǒng)火墻的NAT、PPPOE、VLAN、IPSEC/SSL ×××、ACL、Qos等功能，同時也有行為管理、***檢測、WAF、反病毒、審計(jì)/行為管理、URL過濾等各種應(yīng)用安全的功能。這個特點(diǎn)也容易讓他四處樹敵，比如搖身一變，可以變身為×××；再一變，可以變?yōu)閷徲?jì)產(chǎn)品；再搖身一變，又可以變身為防毒墻、網(wǎng)頁防火墻……事實(shí)上，各個廠家研發(fā)的下一代墻功能，也正是把自己的優(yōu)勢產(chǎn)品往里面去集成。下一代防火墻出來好幾年了，很多客戶還是搞不清楚下代墻的區(qū)別是啥。這讓下一代墻的定位有些尷尬，既是萬金油，同時也失去了自己的特點(diǎn)。比如，既然下一代防火墻里面有了IPS，客戶為社么還要買單獨(dú)的IPS？ 防火墻里面有了***，客戶為什么還要買專業(yè)的***？這都需要廠商好好自問一下類似的問題。

3、 新的挑戰(zhàn)：下一代墻還需發(fā)展、突破

云技術(shù)這兩年發(fā)展很快，已經(jīng)不限于論文研究，全國各地陸續(xù)開始有越來越多云的建設(shè)項(xiàng)目。在云計(jì)算場景下，防火墻需要重新考慮他的位置和作用。

比如，在網(wǎng)絡(luò)虛擬化的場景下，流量的進(jìn)、出，不再采用傳統(tǒng)硬件基于port、vlan等方式，而采用類似vSwitch的軟路由方式導(dǎo)入；在私有云的場景，流量會分成虛擬機(jī)內(nèi)部和外部流量情況，即“南北向”、“東西向”流量。這兩種流量，需要防護(hù)的需求是不一樣的，需要區(qū)別對待。南北向流量，主要是來自外部的流量，原有下一代墻的需求，本身就可以很好的進(jìn)行防護(hù)；而東西向流量，主要是虛擬機(jī)之間的流量。虛擬機(jī)之間的隔離，本身就可以用虛擬交換機(jī)的策略來進(jìn)行限制，那么需要防護(hù)的，主要是虛擬機(jī)之間的流量，比如審計(jì)、識別、數(shù)據(jù)庫防護(hù)等，是它的主要需求。已有廠家對此進(jìn)行了研究，比如山石，就很好的把這兩種流量的防護(hù)，用“云界”、“云格”兩個產(chǎn)品來區(qū)分，名字也很貼切。而傳統(tǒng)硬件防火墻，只考慮了外部***的防護(hù)，對虛擬機(jī)內(nèi)部，子虛擬機(jī)之間的流量還沒辦法直接防護(hù)。

另外，虛擬化形態(tài)（虛擬機(jī)）的防火墻也開始有了需求。公有云的提供者目前已經(jīng)開始嘗試，將傳統(tǒng)硬件防護(hù)設(shè)備，統(tǒng)統(tǒng)變成平臺上的虛擬機(jī)形態(tài)，通過平臺商店，以產(chǎn)品和服務(wù)的形式銷售。

最后，安全大數(shù)據(jù)在今年興起，如利用安全大數(shù)據(jù)進(jìn)行 安全態(tài)勢感知、安全事件關(guān)聯(lián)分析、安全預(yù)警等，也對防火墻提出了新的要求，要求防火墻能夠具有流量監(jiān)控和上報數(shù)據(jù)的能力，并能根據(jù)安全中心下發(fā)的規(guī)則，使得安全問題閉環(huán)。

綜上，雖然下一代墻出來時間沒多久，但是市場的變化，已經(jīng)要求下一代墻盡快跟上新的變化了。將來不論是下一代墻的硬件形態(tài)、部署位置，還是下一代墻的防護(hù)內(nèi)容，都尚需要不斷發(fā)展，甚至突破。

4、 下一代墻的發(fā)展預(yù)測

• 形態(tài)的變化

隨著云計(jì)算、虛擬化的發(fā)展，下一代防火墻的形態(tài)將逐漸趨軟件化，變得軟硬不分，硬件只是軟件形態(tài)的防火墻的宿主而已。

下一代墻可以靈活的部署在任何地方，比如物理網(wǎng)絡(luò)邊界、虛擬機(jī)內(nèi)部、云的內(nèi)部/外部，或者作為傳感器插放在任何需要流量檢測的位置。

• 功能的變化

內(nèi)外兼修是基本功——從傳統(tǒng)防火墻的部署位置看，位于內(nèi)外網(wǎng)的邊界，一邊是外，一邊是內(nèi)。因此，邊界防御依然還是永恒的話題。對于外部，主要的需求來自于安全防御，因此ips，waf，抗D等等依然會有很強(qiáng)的需求；對內(nèi)，主要的需求是管控，特別是對于流量、言論內(nèi)容的管控。因此，對外防御，對內(nèi)管控，這是一個內(nèi)外兼修的下一代墻，需要做到的基本功。

萬金油2.0—— 傳統(tǒng)的ips、waf、審計(jì)、行為管理、***，以及新的功能，會繼續(xù)不斷地增加進(jìn)來。當(dāng)然，范圍還是會圍繞“流量處理”這一特點(diǎn)來疊加。隨著功能的疊加，下一代墻會采用新的靈活的插件機(jī)制，通過授權(quán)的方式，靈活的增加功能模塊，用戶按照授權(quán)數(shù)付費(fèi)；基本防火墻的功能，將會以一個很低的基礎(chǔ)價格銷售，大頭還是付費(fèi)模塊，這樣也很好的解決了和傳統(tǒng)墻的價格糾纏不清的問題。

識別能力的持續(xù)加強(qiáng)——上面說到，下一代墻最本質(zhì)區(qū)別就是識別能力，即：對應(yīng)用的識別，對安全問題的識別，對用戶的識別，對業(yè)務(wù)的識別。要防護(hù)應(yīng)用問題，必須要拋棄傳統(tǒng)x元組的粗放式防護(hù)，必須要持續(xù)的強(qiáng)化識別能力，強(qiáng)化dpi/dfi，并盡可能的利用數(shù)學(xué)建模、大數(shù)據(jù)、機(jī)器智能等方式，來解決靠人手工去識別協(xié)議的原始方式?？床灰娰\就抓不到賊，這是應(yīng)用爆炸帶來的內(nèi)在需求動力。

軟件化、瘦化——除了強(qiáng)化的識別能力，下一代墻其他的能力會弱化，而更多的向傳感器、瘦盒子方向演化。比如，L3、L2功能，在云環(huán)境下，可以不需要，僅需要保留對流的識別和控制這個核心功能。不管是什么方式部署，流進(jìn)來，處理，再決定下一跳的轉(zhuǎn)發(fā)，這個基本的模式不會變。隨著安全大數(shù)據(jù)化，不論硬件形式還是軟件形式的墻，數(shù)量會越來越多，而核心功能收縮為數(shù)據(jù)識別和處理+日志上報。云端通過成熟的數(shù)據(jù)處理能力，對各種信息進(jìn)行加工分析，進(jìn)行態(tài)勢感知、關(guān)聯(lián)分析挖掘等功能運(yùn)算，并將運(yùn)算形成的結(jié)論，以ACL的方式下發(fā)給防火墻，形成閉環(huán)。在數(shù)據(jù)搜集方面，墻是最有利的一個位置，因?yàn)樗看蟆?/span>

另外，隨著移動辦公的發(fā)展，防火墻的物理邊界也有著虛擬延伸的需要。因此，BYOD會持續(xù)發(fā)展，依靠下一代墻數(shù)據(jù)鏈路的加密能力，并配合終端數(shù)據(jù)加密，形成全程數(shù)據(jù)不落地的安全解決方案。

結(jié)束語

現(xiàn)實(shí)的生活中總是充滿了機(jī)遇和困惑，做產(chǎn)品也一樣會面對這些問題。面對不斷變化的市場需求，唯有堅(jiān)持圍繞價值，擁抱變化，把產(chǎn)品最主要幾個層面做好，才有生存下來的可能。