站内搜索: 商品 资讯 职位 下载
产品分类
产品搜索
  • 商品分类
  •  
您现在的位置:产品首页 >> 盛世博威 >> 解决方案 >> 按产品分类 >> 安全 >> 抢滩NGFW:从拼速度走向拼实力
  • ·: 抢滩NGFW:从拼速度走向拼实力
  • 编号: BW-HJT-02
  • 浏览次数: 36

好友推荐

Gartner正式提出下一代防火墙(NGFW)概念已有4年。在这4年间,无论是IT应用环境、用户需求,还是安全厂商战略,都发生着巨大的改变。下一代防火墙的发展,正是在各种力量的综合作用下,在争议中前行。而厂商们对下一代防火墙这块领地的争夺,也从最初的抢速度逐步进入拼实力的新时代。未来,谁将执NGFW之牛耳?恐怕终究还是要拿实力来说话。

NGFW仍挑战重重

自Gartner提出下一代防火墙概念以来,国内外各大安全厂商都从不同角度进入了这一领域。但IT产业的巨大变革及随之而来的用户需求变化,让NGFW面临着新的巨大挑战。目前,市面上已有的NGFW产品良莠不齐,有的甚至被业界认为算不上严格意义上的NGFW产品,而一些能称之为NGFW的产品离用户的实际需求也还有一定差距。

从Gartner的定义看,下一代防火墙产品有四个必备功能属性:传统防火墙所有功能(如基于连接状态的访问控制、NAT、VPN等);支持与防火墙自动联动的集成化IPS(而非简单的功能叠加);应用识别、控制与可视化;智能化联动。NGFW概念已经过4年的市场洗礼,目前,业界对这一产品形态达成了基本的共识:与之前的高端防火墙、UTM不同,下一代防火墙应该是对传统防火墙的全面替代,它是基于新威胁、新应用环境、新应用习惯和新安全模式的全新安全产品,其管理逻辑和理念都有所改变,而非只是在传统防火墙增加部分新功能。与此同时,它还需要通过硬件和软件的设计来提高自身性能,使之与越来越高的业务需求相匹配,在威胁防御能力全部开启后,性能不出现大幅下滑,以确保可用性。基于此,市场上一些以NGFW冠名的产品被认为算不上真正的NGFW,它们有的只是在传统防火墙的基础上加了些简单的应用识别功能,有的NGFW产品应用识别和管控能力较强,但在安全方面的积累不足,特别是开启威胁防护后的性能显著下降,变得基本不可用。

下一代防火墙概念提出已经有4年,这4年中,IT环境发生了巨大的变革:社交化、移动化、虚拟化、云化,让移动和web应用成为安全的主战场;黑客攻击产业化使得攻击活动更密集,威胁环境更加险恶;APT让发现威胁所需的时间变得更长,恶意行为难以发现。4年间,用户需求也发生了改变,他们对NGFW的诉求普遍集中在以下问题:希望NGFW产品集中较多功能;希望能简化NGFW的策略配置;希望NGFW产品有较强的应用识别能力(本土化、细粒度)。NGFW由此面临着新的挑战:管控需要足够精准,并识别移动互联云计算等带来的新应用风险,解决新IT环境下边界失效问题;管理需要足够简单,因为NGFW增加了很多管控维度,管理配置的复杂度成倍提升;新威胁持续增长,未知攻击越来越多,面对组织化甚至国家化的黑客,防火墙需要做好网络出口的“把门人”;NGFW在运用新管控手段后,性能需要保持在一定水平,而不是开启强制性防护后性能仍然像传统UTM一样下降很多,安全功能不能沦为摆设。

重新定义NGFW

面对日益险恶的威胁环境及其对防火墙产品带来的新挑战,一些安全产品供应商开始对下一代安全进行了重新思考。

在企业级业务领域聚焦于ICT管道战略的华为,安全业务也紧紧围绕ICT管道来开展,其安全解决方案覆盖了云数据中心安全、局域网和广域网安全、移动办公安全等各个层面,在安全产品设计和规划中已将各种应用场景考虑在内。而针对现有NGFW产品在管控精度、自动化、威胁感知、防护性能各方面均存在不足的现状,华为提出了全新的NGFW理念。

在华为看来,今天,NGFW需要细粒度管控,以适应IT移动化、虚拟化、社交化趋势,除了感知应用、用户和内容外,还需要感知位置、风险和设备;NGFW需要实现智能管理,提供新管控方式下的策略建议,以及安全风险的智能分析和处理建议;NGFW需要实现全面防护,不仅识别应用还能识别应用威胁,并具备未知威胁和APT的防御机制;NGFW还需要具备高性能,不仅有“防火墙+应用识别”的基础性能,而且在全威胁防护开启时,性能下降不小于50%。

在细粒度管控方面,华为NGFW产品以"ACTUAL(App,Cantent,Time,User,Attack,Location)"全局环境感知为核心,将网络环境转换为具体的"应用+内容+时间+用户+威胁+位置"的应用层信息,可实现对移动办公、云计算等新环境下网络边界的感知,提供基于应用层的精确访问控制和动态威胁防御。华为NGFW能识别6000种应用,并可识别应用中的威胁。在智能管理配置方面,华为NGFW产品能实现多维、多级配置,将6000多种应用分为5大类、33个子类,并基于应用子类快速部署;可实现策略主动优化,通过流量分析生成调优建议,通过应用风险分析生成防护动作建议;还可实现策略冗余分析,进行策略命中率统计。威胁防护方面,华为NGFW基于云实现了对未知威胁的防御,通过沙箱模拟运行系统,生成云端特征库和云端信誉库,在此基础上快速发现未知威胁。高性能方面,华为通过重新设计NGFW硬件和软件引擎,IPS性能和全威胁防御性能均达到业界顶尖水平。

华为:不容小觑的NGFW新主角

9月初,华为将在首届企业网络大会(HENC)上正式推出全系列NGFW产品,包括10余款设备,能覆盖1G-40G应用层性能,20G全威胁防护性能。

从时间点看,华为正式推出NGFW产品相对其他国内外安全厂商而言并不算早。但实际上,从防火墙的发展历史看,华为一直是引领产业发展方向的角色。早在2008年,以华为为首的一些公司,通过自身硬件积累,采用专门的多核芯片,并采用分布式架构将防火墙的性能大幅度提升,率先推出高端防火墙产品。当时,离下一代防火墙概念的提出还有1年时间。

今年2月,Gartner发布2013年“企业防火墙魔术象限”,华为成为首位且唯一进入该象限的中国厂商;今年7月,Gartner发布2013年“UTM魔术象限”,华为再次成为首位且唯一进入该象限的中国厂商。这标志着华为已经成为全球防火墙&UTM市场的主流厂商。

那么,为何在NGFW概念出现4年后才正式推出NGFW?华为有自己的考虑。华为企业网络产品线防火墙及应用网关领域营销经理朱峰告诉记者,如果按照Gartner对NGFW的定义,华为在2011年就已经拥有符合该定义的下一代防火墙产品,但华为认为当时该产品在客户体验方面没有达到目标,还不足以从根本上解决用户面临的新问题。华为希望在NGFW产品中真正注入自己的实力后再正式发布,而不是为了迎合市场宣传而仓促推出。因此,华为对NGFW产品重新设计了硬件,改写了软件,并站在新的角度设计用户体验。

在企业领域,要做就要做最好,做不到最好就不做。这在华为NGFW领域也同样得到体现。作为一家以技术性为主导的公司,华为每年有10%的收入用于研发。这种与生俱来的技术创新基因也成为华为对NGFW底气十足的有力支撑。华为企业网络产品线安全产品总经理左文树表示,为了让NGFW产品在开启威胁防御能力后不出现性能的大幅下滑,华为早在2009年就在全球范围内招募了顶级专家,专门研究并解决威胁防御全部开启后的防火墙性能问题,在本质上实现了关键的突破,为今后赢得市场奠定了坚实的基础。

     做为华为产品的山东区域金牌代理的山东盛世博威通信技术有限公司,在GARTER 提出下一代防火墙的概念以来,盛世博威公司也一直在摸索该产品的定位,为了能给企业客户提供安全高效便利的网络安全设备,为企业提供安全防护的保障。后续也对各个厂家的不同型号的下一代防火墙进行了压力及多功能测试,华为的下一代防火墙在测试的结果数据中脱颖而出,也增加了盛世博威公司加强为企业提供安全保障的信心,在后续为企业提出的下一代防火墙的解决方案及后续安全实施中,得到了客户的一致好评。

看来,在今后的下一代防火墙竞争中,光有速度还不够,只有真正的实力派才能最终赢得用户。

    山东盛世博威通信技术有限公司