[不一样的NGFW.docxVIP

不一样的NGFW下一代防火墙，即NGFW（Next-Generation Firewall），2009年由全球著名分析机构Gartner定义，至此在硬件安全网关市场引起了一场“工业革命”。国内外主流安全网关厂商纷纷向NGFW定义看齐，争先恐后将自有产品升级到NGFW或推出全新的NGFW系列产品，NGFW已成为硬件安全市场最为闪耀的一颗新星。至今，NGFW的概念已产生五年，按照ICT的发展速度，五年基本是一代产品的更换周期。在这五年里，Garter并未对NGFW进行重新定义，于是各个安全厂商纷纷拉起了一场重新定义NGFW风潮，希望对它赋予更高的能力要求，满足ICT技术与网络威胁的快速发展。本文将追溯到重新定义NGFW的源头，悉数NGFW面临的诸多挑战来看NGFW的发展方向。环境的挑战移动化、社交化、云和大数据是ICT发展的四大趋势。根据Facebook 2013年Q1财报，Facebook月活跃用户达11.1亿人，其中移动端占据7.51亿，比去年同期增长了54%，全球1/6人口在使用社交应用。 根据Dimensional Research的调查结果显示，55％以上的受访企业认为移动安全是当前的TOP安全问题，其中71％的受访企业认为移动设备增加了安全事件，47％的受访企业有大量客户数据存储在移动设备上。随着企业数字化需求的增加，ICT业务日益增多，特别是软件定义网络（Software Defined Network, SDN ）技术的成熟，网络与策略的改变会频发发生。而NGFW作为企业网络重要的安全守卫，必须能够适配网络环境的不断变化，才能尽忠职守，提供精确的安全防护。BYOD让网络边界日渐模糊，企业环境更加开放，社交应用为信息的传递提供了更便捷的途径，云和虚拟化正在改变企业的信息化使用方式。这一系列的变化仅仅依靠NGFW定义中的“应用+用户”识别很难支撑。感知能力将是NGFW在新环境下的最大挑战，防护的精准程度，直接取决于感知的准确能力。如何进行移动终端的访问控制？如何感知用户漂移？如何管控移动应用的每一个动作？如何适配虚拟环境的迁移？这些都是NGFW需要新ICT环境和技术下需要考虑的问题。威胁的挑战经济利益、商业对抗正驱动网络攻击由单兵作战转向集团作战。APT(Advanced Persistent Threat)攻击是一种来自于不同区域，有组织、有特定目标、隐蔽性强、破坏力大、持续时间长的新型攻击，是当前最有代表性的一类攻击形式。APT的最显著特点是：攻击特征难于提取；单点隐藏能力强；攻击渠道多样化；攻击持续时间长。APT攻击的如上特点，使传统以特征匹配、实时检测与阻断的防御方式基本失效。对于此类攻击的防护要求，NGFW定义本身提及甚少，如果NGFW继续沿用特征匹配的单一防护方式，将导致边界防护的彻底失效。那么如何对抗APT？NGFW需要不断调整思路，采取多样化检测与控制手段，以应对挑战。APT只是新型攻击方式的一种，随着经济利益的诱惑，攻防能力的博弈，各种新型攻击随时有可能产生，是否能拿出一套具备实时响应能力的动态防御体系，应对各种新型的攻击模式，形成有效的功放机制，这是NGFW在当前威胁环境下面临的主要挑战。管理的挑战传统防火墙工作于网络层，基于端口进行管控。被管控的端口比较固定，数量通常少于100个。NGFW的概念让FW的管理从网络层上升到了应用层，将面向应用数以千计的应用和数以万计的用户，管理复杂度增长最少2个数量级。另一方面，在NGFW上，安全防御复杂度提升，除了传统防火墙功能外，入侵防御、防病毒、URL过滤、数据防泄露等一系列功能的融合让管理的复杂度提升。而客户的需求始终是希望在产品的升级换代过程中，能同时保持客户体验的提升。Gartner的报告指出：“锁定目标攻击正不断渗透标准的安全管控，让安全管控一成不变的企业蒙受巨大的商业损失…”，面对日益恶劣的安全环境，企业必须遵循最小授权原则，不断调整安全策略才能保证安全，如何有效地做到这一点，对NGFW的管理和使用提出了新的挑战。Greg Young，Gartner公司研究副总裁讲到：“防火墙规则总是到处泛滥，但是入侵防御和应用控制使问题更加复杂。现在正是使用下一代防火墙降低复杂性的时机，但是如果实施不当，则可能会适得其反。”NGFW只有在管理能力方面不断超越，才能发挥赋予它的防护职责。性能的挑战作为“网络出口，直连部署”的特殊场景需求，FW对性能的追求从未停止过，业内T比特防火墙都已产生。但当多项安全功能叠加后，FW在性能上是否还能表现优异？UTM（Unified Threat Management）的产生在带来成本降低、部署简单的同时，性能骤降70%~90%让企业（尤其是大型企业）望而却步。自2004年UTM被定义至今，已近10个年头，UTM依然无法解决性能低的