应用安全涅槃下一代防火墙呼啸而至

发布时间:2011-05-24 08:55 作者:张齐来源:中关村在线点击:加载中...次

Gartner统计表明高达3/4的网络威胁是基于应用层而非网络层的，在这一发展趋势下，基于网络层的传统防火墙显得日益先天不足和力不从心。这就需要一种全新的网络安全产品出现，虽然集成多种安全功能的UTM已经面世许久，可是其令人生畏的低下效率实在难以满足客户的需要。

涅槃一词为来自古印度，在各古印度宗教里一般指一种从痛苦中解脱出来的状态，现在的应用安全一直处在水深火热之中，而解救它们的正是“下一代防火墙”。这里所谓的下一代防火墙并不代表还未出现的概念产品，这个下一代是具备全新应用安全管控的智能型防火墙。

Gartner将网络防火墙定义为在线安全控制措施，即：可实时在各受信级网络间执行网络安全策略。“下一代防火墙”这一术语以应对目前业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。

应用管控效率当先

下一代防火墙需要有三大要素：第一，下一代防火墙是基于角色和应用的管理设备；第二，它具有传统防火墙的所有功能；第三，具备智能的流量管理控制和策略配合。最近很多知名的网络安全厂商纷纷发布自己的下一代防火墙设备，虽然各家厂商对于下一代防火墙都有自己的理解，但高效率的提供应用安全保护这一宗旨都相同。

无论是在国外还是国内，企业对于应用性的要求越来越高，形式越来越复杂，现在的安全问题从网络层已经转到4-7层，在传统应用下，防火墙基于传统的端口/协议类安全策略来进行防范，但随着私人或移动设备的企业网络接入等变化，使得更多的通讯量仅通过少数端口和协议进行。

对于传统防火墙而言，80端口是可以禁止的，但不可以进一步识别。比如公司网管希望用户不要在工作时间上某些特定网站，但工作需要还要能够浏览网页，这对于传统防火墙来说是个挑战，因为应用流识别不了。下一代防火墙将管控功能加入，将特定网站加入到黑名单，就可以实现客户的需求了。打个通俗一点的比方，安全防护好比玩麻将，以前的防火墙看不到牌，只能摸，如果你不敢保证摸的牌100%正确，就只有放弃这张牌，现在利用下一代防火墙，可以清清楚楚看到是什么牌，就可以做到切实的选择了。

也许你会说UTM也可以做到，众所周知，UTM虽然提出了广泛的融合理念，但是在应用效率上却一直被人诟病，全部功能开启将会让设备的运行效率大打折扣，得不偿失。而不用这些功能则让其成为了摆设，浪费资源。与之不同的是：下一代防火墙的一个重要标签是高性能，通过芯片的加强和模块的扩展，让吞吐量和并发性能有了质的飞跃，管理功能不再是花架子，而是真真正正能帮助用户解决实际问题的手段。

缜密布局决战云端

据Gartner对500强企业IT技术关注度调查表明，2010年排在前两位的技术分别为云计算和虚拟化，表明这两项技术将会面临大规模的应用，从而对基础网络设施的建设提出的新的要求。下一代防火墙自然不能脱离云海。事实上，数据中心将会成为企业的核心竞争力要素，其在企业中的地位举足轻重。

与此同时，更多的信息安全专家也都认识到传统的防火墙已经不能满足企业数据中心的安全需求，如何防范企业信息泄露，有效阻止针对企业信息系统的攻击，确保数据中心安全生产成为企业信息系统首要关心的重点。随着数据中心大集中以及节能减排绿色IT成为不可阻挡的趋势，云安全显然已经成为了重要话题。

云的出现除了让资源更加扁平化，还有一个重要效果就是将数据交互变得高效化。如果布局在云端、或者说企业云的安全产品效率低下，将会抹杀云的一切优势。传统防火墙的带宽论已经跟不上云中庞大的数据中心，智能化、流控化的下一代防火墙将成为主角。

下一代防火墙将控制更多应用要素

事实上，这也是众多安全厂商搭上云快车的一次重要机会，一直以来，云安全、安全云的概念不绝于耳，可惜的是受到传统解决方案的影响，很多厂商所提出的概念雷声大雨点小，创新性不足。这些问题让人不禁思考是不是安全厂商在云的切入点上没有一针见血。

划时代的技术需要划时代的产品，下一代防火墙从短期说是对应用安全的一次改进，从长远说是对云计算和虚拟化的协同随行，没有人愿意淹没在茫茫的云海中，而高效的下一代防火墙很显然有更多的机会。

蓄势待发持续发力

用户当前的安全系统已经趋于平稳，为什么一定要更换下一代防火墙呢？这就好比温水煮青蛙，需求点不是迫在眉睫，也许今天是内网安全问题，明天是流量管理问题，直到有一天所有的应用问题全部出现，企业才意识到需要升级设备了。

下一代防火墙产品

未来的3-5年无疑是下一代防火墙大展拳脚的最好时机。除了明确对用户需求的判定，更需要在市场上进行新一轮的宣传。毕竟下一代防火墙不再是简单的带宽升级产物。对于下一代防火墙的出现是否会对目前WEB应用防火墙等相关产品造成冲击，我们可以肯定的是：下一代防火墙是一个分界点，因为这已经不单纯是4-7层的应用安全，而是网络层+应用层的安全保护，WEB应用防火墙主要用于主机的保护，所以相互之间不排斥，毕竟产品面向对象不同，并且在综合安全中同样需要更专业的设备。

另一方面，新鲜事物的价格总是那么居高临下。下一代防火墙在开始阶段会保持相对较高的价格，这与产能有直接关系。但如果在用户接受的范围内，满足用户需求，产品的销售同样不会受挫。

对于下一代防火墙替代目前的产品应该说是大势所趋，随着业务模型的变化，网络边界也悄然发生变化。过去，人们着力于在网络的物理边界严防死守。而今天，人和业务交织，早已突破了物理边界。可以说，有人的地方就有网络边界。

伴随着用户应用安全需求的增多，下一代防火墙将面临更广阔的前景，安全市场规模不大，若是搭上云快车，并切实解决用户的问题，相信未来的防火墙产品还会是一颗常青藤。

(责任编辑：)