下一代防火墙你问我答
开篇:润墨网以专业的文秘视角,为您筛选了一篇下一代防火墙你问我答范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
关于概念
问:NGFW会是昙花一现的概念吗?
答:UTM概念刚提出时,市场上也曾有过类似的质疑。不过,用户用实际行动表明了对这种功能丰富、高性价比产品的认可,UTM产品的市场份额长期保持增长。同样的道理,应用识别与控制是非常实用的功能,也是目前用户最迫切需要的功能,以此为主打的NGFW产品应该会迅速得到市场认可。市场分析机构Gartner认为,目前只有不到1%的互联网连接采用NGFW来保护;到2014年年底,这个比例会增加到现有用户总量的35%,并且用户新购买的防火墙产品中将有60%是NGFW。
问:具有应用识别与控制功能的UTM与NGFW有何不同?
答:确实有一些UTM产品中提供了应用识别与控制功能,它们大多以独立的功能模块形态存在,通常在策略配置、日志/报表乃至授权许可方面都不统一,应用体验远不如目前市场上销售的NGFW产品。此外,至少我们所测试过的集成应用识别与控制功能的UTM产品中,还没有任何一款在特征库中包含Web 2.0应用,这显然不能满足互联网应用发展带来的新安全需求。最后也是最关键的一点,应用识别与控制功能对UTM性能造成的影响也许是任何人都始料未及的。我们曾经测试过一款UTM产品,只开启防火墙时可以达到几百兆的吞吐量(HTTP大页面,后同)。在此基础上开启IPS,吞吐量下降到100多兆。如果再开启应用识别与控制,吞吐量则只有几十兆。当然我们不能以偏概全,无论是UTM还是NGFW,在开启多功能部署前都应该进行仔细的测试工作。
问:NGFW的性能会随功能模块开启而大幅下降吗?
答:Gartner认为,NGFW应该是一个线速(wire-speed)网络安全处理平台,这属于基调而不是硬性规定。从目前市场上销售的NGFW产品的规格指标来看,一些产品在开启应用识别与控制功能后,性能能够达到单独开启防火墙时的60%〜80%;在此基础上再开启反恶意软件、IPS等功能,性能最高者可以达到单独开启防火墙时的50%。这样的性能下降幅度,比起大部分UTM产品来说有优势。不过,厂商给出的性能指标并不适用于所有的应用场景,用户在选型时仍然要进行充分的测试工作。
问:NGFW能否替代流控和上网行为管理产品?
答:NGFW与流控或上网行为管理产品间没有绝对的替代关系。流控产品通常会被部署在行业用户或运营商网络的边缘,用于对应用层流量进行合理的整形与优化;上网行为管理产品则基本部署在企业网络中,在阻止网络滥用行为的同时提供更丰富的行为控制与审计能力。两者都是单一功能设备,与强调一体化接入安全的NGFW没有可比较的环境。NGFW的优势在于应用识别/控制与安全业务的无缝衔接,可以完成诸如“允许MSN传输文件并对文件进行病毒过滤、但不许使用语音视频聊天”这样的综合设定。
关于部署
问:我需要马上升级到NGFW么?
答:安全威胁和IT流程总在不断变化,没有任何一款安全产品可以永久发挥作用。在更新换代到NGFW的步骤方面,我们比较认同Gartner的建议:无论用户现在使用的是防火墙、防火墙+IPS还是安全服务,都应在下一个更新周期来临时切换到NGFW。
问:中小企业需要考虑NGFW吗?
答:虽然Gartner在定义文档中将NGFW的用户群体圈定在大型企业和行业用户,但几乎所有厂商都推出了全功能的中低端产品。自防火墙普及以来,大部分中小企业用户就把它当做一个接入设备而非访问控制设备来用。如今,它们面临最严重的问题不是安全问题,而是如何保证接入质量。中小企业用户面对网络滥用行为缺乏有效的技术管理手段,常见的解决方式是使用带应用控制的路由器或上网行为管理产品:前者价格低廉但功能简单,不少产品在应用识别与控制能力上仍待加强;后者虽然功能强大但价格昂贵,用户可能要为一些很少用到的功能买单。从市场角度看,两类产品在用户覆盖上造成一个断层,中间有大量中小企业用户的需求没有被满足。而中低端NGFW产品的出现,在功能、性能上满足了此类用户的需求,又提供了安全业务的扩展能力,价格也大多维持在同规格UTM产品的水平,值得中小企业用户关注。
问:评估NGFW产品时都要注意哪些方面?
答:同为在网络边缘执行安全业务的网关,NGFW的评估方法和UTM基本类似。对于NGFW产品必须具有的应用识别与控制功能来说,特征库的本土化、特征库的更新周期和应用控制的细粒度是用户应该重点考察的因素,最好能够在实际环境中进行测试。同样要长期验证的还有用户身份的同步和策略执行的效果,安全部门在这一环节也许需要行政部门的配合。最后,许多用户开始选择以NGFW为核心的整体安全解决方案,安装在客户端的端点安全套件提供的功能也应被仔细评估。
问:哪个厂商的NGFW是目前市场上最好的产品?
答:这是几乎所有读者都问到的问题,也是无法回答的问题。再次重申:永远不存在适用于任何应用场景的所谓“最好产品”!用户必须梳理清自身的安全需求,再结合测试等手段,找到适合自己的最佳选择。