四年，從聲名鵲起到走向成熟，從高高在上的企業(yè)級專屬到日漸形成落戶千萬家之勢，下一代防火墻(NGFW)伴隨著爭議成長，伴隨著低價普及。

四年過去了，下一代防火墻已成大勢，但市場中對其解讀方式卻越來越多，也愈發(fā)復雜。隨著時間的流逝，越來越多的廠商舉起了NGFW的大旗，也讓這個市場變得更加混亂。而這些混亂，一方面源自產(chǎn)品質(zhì)量的參差不齊，另一方面一個重要原因是對于Gartner經(jīng)典定義的“發(fā)揚光大”。對于NGFW中應該包括和不該包括的功能，眾廠商均持有不同意見。

今年又有幾家國內(nèi)廠商陸續(xù)發(fā)布了NGFW產(chǎn)品，至此國內(nèi)網(wǎng)絡安全廠商全面擁抱NGFW。而在之前發(fā)布NGFW的廠商，也不斷向其產(chǎn)品中添加新的功能(比如定位僵尸主機或DLP相關)。且不論其是否符合NGFW的發(fā)展方向，至少在創(chuàng)新這一點上比拉大旗扯虎皮者強得多。

便宜沒好貨?未必!

下一代防火墻的價格目前還處于居高不下的階段，主要是由于下一代防火墻的研發(fā)成本和硬件成本都較高，以某國際知名下一代防火墻提供商的產(chǎn)品為例，使用了Intel、FGPA和ASIC三種不同的硬件芯片來分攤業(yè)務處理壓力，同時國內(nèi)也有幾家知名安全廠商采用了相似的Intel搭配MIPS的混合架構模式來提升NGFW產(chǎn)品的穩(wěn)定性和處理能力，多芯片分布式處理的情況會在初期對產(chǎn)品價格有明顯的提升。因為各家廠商的銷量還不足以攤平其前期投入成本，因此現(xiàn)階段無法提供親民的價格也屬情理之中。但是也有一些NGFW產(chǎn)品采用了最新的Intel DPDK架構。采用通用處理器的優(yōu)勢就在于在前期可以有效控制研發(fā)成本，從而降低前期產(chǎn)品售價。

誠然，部分下一代防火墻由于硬件成本的問題導致價格虛高，但是也有個別廠商在使用通用芯片架構配以服務模式來提升產(chǎn)品性價比，通過向用戶收取整套服務費用的策略銷售下一代防火墻，而不是將產(chǎn)品的初期高昂成本附加到用戶頭上，打破了傳統(tǒng)“賣盒子”的模式，很大程度上降低了用戶采購成本。

當然，在實際采購過程中，用戶購買時更重要地還是看功能模塊。因此，在NGFW的功能授權方面，雖然NGFW的應用識別是與防火墻深度集成，卻不是所有的NGFW提供商在銷售產(chǎn)品時都能將應用識別的授權向用戶免費開放。因此，如果用戶采購了需要單獨付費的NGFW產(chǎn)品，那么無異于提升了其采購成本。筆者認為，應用感知和控制需要與防火墻固化，不應存在具有應用感知和不具備應用感知兩種交付形態(tài)。對于NGFW來說，根本就不應該存在這個問題，但現(xiàn)實還是被廠商搞混淆了。采購時應注意應用感知和控制功能是否需要另付費，或是打包到其他功能模塊中付費，以免產(chǎn)生不必要的投入。

Gartner定義的NGFW部署在對延遲敏感的大型企業(yè)網(wǎng)絡環(huán)境中，這是區(qū)別于用在SMB的UTM的一個因素，但是卻有個別廠商將NGFW產(chǎn)品主要定位于中小企業(yè)市場。筆者認為，若是能夠做出性價比很高的產(chǎn)品，對于價格敏感的中小企業(yè)也是個福音，還能促使NGFW更加普及，使其成為防火墻的真正替代者，而不只是部分替代。其實不論是大企業(yè)還是中小企業(yè)，都是在乎TCO的。如果NGFW能夠有效地降低部署成本，同時又可以提升安全性，那么何樂而不為呢?

漢王科技是NGFW的用戶之一，對于漢王科技這樣的上市企業(yè)，并且是創(chuàng)造高智力附加值產(chǎn)品的企業(yè)來說，保障信息系統(tǒng)安全是信息部門日常工作的第一要務。在信息安全治理方面，既要滿足監(jiān)管單位的合規(guī)性要求，又要充分識別、抵御威脅，降低信息資產(chǎn)暴漏的風險。因此他們對于網(wǎng)絡的整體安全性要求是很嚴格的。漢王科技股份有限公司信息技術部IT運維負責人李錦毅講道：“對于核心服務器區(qū)的安全防護，要求安全設備必須在保證高性能的前提下提供網(wǎng)絡攻擊防護、入侵防御、病毒防護、URL過濾等一體化的安全防御解決方案。而在互聯(lián)網(wǎng)邊界處，除了要求提供全面的安全防御以外，還要對辦公網(wǎng)用戶的外發(fā)信息做到精細、嚴格的控制，僅允許用戶向互聯(lián)網(wǎng)上的可信目標發(fā)送文件，嚴防敏感數(shù)據(jù)泄漏”。

漢王科技股份有限公司信息技術部IT運維負責人李錦毅

李錦毅補充道：“在實際測試過程中，給我們留下深刻印象的是網(wǎng)康NGFW在開啟入侵防御、病毒防護、URL過濾、數(shù)據(jù)防泄漏等安全功能后，同樣還能保證很高的數(shù)據(jù)轉(zhuǎn)發(fā)性能，這與我們先前曾使用過的UTM產(chǎn)品有著天壤之別”。

“看得見”才能更安全

“你不能保護你所不知道的”是安全圈的一句名言。但遺憾的是，雖然防火墻的功能越來越強大，但是仍然會產(chǎn)生越來越多的“不為人知”的信息。網(wǎng)康科技市場部產(chǎn)品市場經(jīng)理熊瑛談道：“在安全建設過程中，管理比技術上的控制更加重要，但是管理需要有技術手段提供強有力的支撐。幾乎所有的技術人員在面對由傳統(tǒng)安全設備輸出的單調(diào)、重復、難懂的日志和報表時，都在為如何將它們與安全風險聯(lián)系在一起而面露難色。”

網(wǎng)康科技市場部產(chǎn)品市場經(jīng)理熊瑛

NGFW完全基于應用層構建安全，可幫助網(wǎng)絡管理者深入地看到數(shù)據(jù)傳輸中人、應用和內(nèi)容的情況。此外，在對大量行為信息收集的基礎之上，可在同一頁面通過一系列的單次點擊就可以完成數(shù)據(jù)的挖掘和鉆取，并且提供了基線對比的方式，能夠以時間、流量、威脅為維度，對比出當前與同一歷史時間段的差異，幫助管理者了解網(wǎng)絡的變化趨勢，分析可疑行為。這無疑可以幫助管理員“看得更透”。

北京藍星環(huán)境工程有限公司是中國藍星(集團)總公司在北京唯一一家子公司，2005年開始大規(guī)模建設信息系統(tǒng)，到目前70%~80%的無形資產(chǎn)均以數(shù)據(jù)的形式保存在應用服務器上。該公司CIO胡振環(huán)講道：“我們也曾使用過一些安全設備，不過坦率地講，傳統(tǒng)的設備所呈現(xiàn)出的各種日志總是很難讀懂，尤其是我們并不能很好地把網(wǎng)絡語言翻譯為業(yè)務語言，將某一個攻擊事件與業(yè)務風險相掛鉤。即便有時設備報出發(fā)現(xiàn)了網(wǎng)絡攻擊行為，我們還是很難了解到攻擊事件發(fā)生的整個過程。幾個月前我們上線了一款NGFW設備，第一感覺是這款防火墻提供了非常豐富的可視化界面，有各種形式的監(jiān)控和報表直觀地呈現(xiàn)給用戶。登錄設備管理界面，我們就可以輕松地看到網(wǎng)絡中的流量構成。印象比較深刻的是還可以看到IP地址所屬的國家或地區(qū)。這些在先前我們所使用的設備中是看不到的。”胡振環(huán)還強調(diào)說：“下一代防火墻強大的可視化功能，讓我們通過直觀的查看和簡單的點擊，就能及時發(fā)現(xiàn)隱蔽性很強的攻擊，實現(xiàn)了更加主動的防御，我想這也體現(xiàn)了下一代防火墻帶給我們的變革。”

北京藍星環(huán)境工程有限公司CIO胡振環(huán)

中國自動化集團有限公司網(wǎng)絡信息化主管儲可與筆者分享了他在運維中使用NGFW的經(jīng)驗。他說：“在我們的日常辦公中，使用QQ進行溝通是非常普遍的，但根據(jù)公司的信息安全策略，使用QQ及其他即時通信軟件進行文件傳輸?shù)男袨槭遣槐辉试S的，而網(wǎng)康NGFW對QQ子功能的支持多達9種。有了如此深入的識別能力，我們就可以通過設置訪問控制策略，靈活地實現(xiàn)對QQ及其他即時通信軟件文件傳輸行為的禁止，而僅開放這些軟件文本聊天的功能。”

向復雜說再見

“由于價格和管理復雜度的問題，目前很多中小企業(yè)都處于裸奔狀態(tài)，或是只把下一代防火墻當做流控或傳統(tǒng)防火墻使用。雖然很多產(chǎn)品銷售出去了，但是卻并沒有發(fā)揮出應有的作用，這不是一件安全業(yè)界值得慶幸的事情。也就是說，目前下一代防火墻的產(chǎn)品和技術并沒有真正地為廣大需要它的客戶去服務，這是我們需要努力改進的一個方向。” 網(wǎng)康科技高級市場經(jīng)理嚴雷如是說。

網(wǎng)康科技高級市場經(jīng)理 嚴雷

傳統(tǒng)安全設備的組合，比如防火墻、IPS、AV等設備的日志信息只將其羅列出來，對于普通IT運維人員想要分析清楚，從中得到有價值的信息可謂比登天還難。傳統(tǒng)的報表型日志閱讀難度高，分析起來更加無從入手。這樣的情況下，對于多數(shù)人來說，安全還算是什么呢?

從傳統(tǒng)安全角度講，每一個設備從自己的角度出發(fā)，產(chǎn)生日志報表，可是不同設備、不同安全引擎之間并沒有聯(lián)動起來，使彼此對安全情況的認知不能交流，這就使得我們無法了解整個網(wǎng)絡安全的全貌。

NGFW改善了以往獨立IPS產(chǎn)品對于事件記錄挖掘不深，無法提供給安全運維人員友好的報表顯示等頑疾而受到了眾多IT人員的歡迎。在NGFW中，對于安全事件的深度挖掘是相當重要的?；诖罅咳罩居涗浀年P聯(lián)分析來給運維人員提出安全性建議，無疑會加快安全問題的定位和解決的速度，某種程度上還能防患于未然。

胡振環(huán)通過一個親身經(jīng)歷的攻擊事件向筆者講述了NGFW可視化體驗。他說：“NGFW設備上線后，我們通過可視化界面中的色塊顯示，發(fā)現(xiàn)網(wǎng)絡中的高風險流量占比很大，引起了我們的懷疑，通過鼠標的一系列點擊，發(fā)現(xiàn)內(nèi)網(wǎng)的一臺數(shù)據(jù)庫服務器被境外IP頻繁訪問，我們隨即調(diào)整了安全策略，切斷了所有異常連接。所有的操作都通過簡單的點擊完成，十分方便。”

可視化技術的初衷是為了提供直觀、簡單的信息，為管理策略的調(diào)整提供技術支撐。傳統(tǒng)網(wǎng)絡安全設備輸出的日志、報表，多以IP、連接、帶寬為維度，縱使統(tǒng)計全面，數(shù)據(jù)充分，但仍然很難幫助網(wǎng)絡管理者了解網(wǎng)絡的變化趨勢，只是能被少數(shù)既精通技術又了解業(yè)務的專家所讀懂。

NGFW的發(fā)展與異化

下一代防火墻把檢測的高度提升到應用層，按照目前互聯(lián)網(wǎng)發(fā)展情況看，應用層上不論攻擊還是防護，可做的事情都太多了。因此下一代防火墻給了廠商更多的機會和主動權，大家可以在下一代防火墻的經(jīng)典定義之上做更多的事情，尤其是在各自擅長的領域中能有突破性創(chuàng)新。

雖然NGFW做得越來越像UTM，但也只是貌似而已，我們?nèi)匀豢梢栽诓煌瑥S家的NGFW產(chǎn)品中看到他們本來的面貌。像網(wǎng)康這樣生于應用層的新興NGFW廠商，主打功能自然聚焦在應用層。例如能夠基于用戶的應用控制和資源分配等等。NGFW 其實并不神秘也不復雜，只是將防火墻原本的訪問控制提升到應用層面，同時固化了應用識別特性，所以才不叫下一代UTM 。

網(wǎng)康科技CEO袁沈鋼

對于產(chǎn)品的發(fā)展走向，網(wǎng)康科技CEO袁沈鋼表示：“下一代防火墻最大的特點是以人容易理解的方式展現(xiàn)出整體網(wǎng)絡活動，也就使人具有了洞察力。NGFW在很大程度上發(fā)揮了人的判斷力、理解力和知識等各方面的能力來做更多、更準確的判斷。如果是傳統(tǒng)防火墻和UTM，會把這些信息割裂，產(chǎn)生大量的碎片化信息，讓人很難理解。而NGFW則是向人來展現(xiàn)各種相關聯(lián)的信息。NGFW會展現(xiàn)風險程度，以及產(chǎn)生風險的原因，從而幫助人進行快速判斷，使人具有洞察力。因此，NGFW的發(fā)展方向?qū)⑹浅掷m(xù)地對于新生安全威脅、防護方法等知識的積累。在這個基礎之上，加入更多的數(shù)據(jù)分析和挖掘，使之變得更智能，最終使人具有更強的洞察力和識別能力。這也是網(wǎng)康下一步需要更加發(fā)力的方向。