2006年前,提及網絡安全設備,相信大多數用戶首先想到的便是“防火牆”。然而隨時間的遷移,近年來諸如UTM、USG、Web安全網關、上網行爲管理之類的新名詞逐漸佔據了用戶的眼球。在快餐文化盛行的年代,這種層出不斷的新名詞或許並不讓人意外,但畢竟安全還是講求實事求是的。我們不禁要問,是防火牆真的過時了?還是以UTM/USG爲代表的新安全網關確實勝人一籌?
防火牆真的落伍了嗎?
從第一代防火牆的出現到今天,防火牆已經歷了二十餘年的技術演變。這二十多年裏,防火牆從簡單的包過濾技術,逐漸發展成爲具備動態包檢測、網絡狀態監控以及應用層過濾等功能的綜合性安全網關。
防火牆的演變也映射出用戶需求的轉變。從過去單純的網絡流量過濾到全方位立體的安全防禦需求,用戶愈發複雜的應用環境,促使深度包檢測、URL過濾、×××、身份認證、流量管理、協議識別等技術迅速興起。
也許正是看到了用戶需求的改變,以Fortinet爲代表的新型安全廠商紛紛打出了UTM/USG的王牌。然而,令人遺憾的是不論UTM宣傳的如何精彩,其本質並沒有與防火牆有所異同,歸根結底都是依託ACL(訪問控制列表)技術,而ACL技術正是防火牆賴以生存的根本。
那麼防火牆是否確不如UTM般擁有豐富安全防護功能?其實不然。早在2005年,業界就曾有過“胖瘦防火牆”的爭論,當時的爭論的焦點正是防火牆所承載的各種安全防護功能。坦率的講如今的UTM和胖防火牆就技術而言並無二樣,基礎架構精良的模塊化防火牆甚至可以實現比UTM更多的更有效的安全防護。
由此可見,單從功能實現方面,防火牆並不落伍。但是對於用戶的需求而言,未來的防火牆必定要成爲邊界安全防護的精品。爲此,不論防火牆也好,還是UTM/USG也好,都必須腳踏實地的推動技術創新。
概念VS實力
正如筆者前面所言,如今主流的防火牆與UTM/USG並無本質差別,二者所面臨的挑戰也是等同的,也許唯一的不同要數市場對於UTM/USG的宣傳炒作遠遠大於防火牆的聲音。由此讓用戶對於防火牆產生些許誤解也不足爲奇。
近年來,國家對於信息安全極力提倡“自主、可控”,顯然只有概念上炒作並不是國家所期望的。信息安全行業內的競爭,應該是核心自主產權技術的創新,是服務模式的創新,而非概念的熱炒。當然,安全也是一個敏感的字眼,當今天的安全涉及到國家政治、經濟與社會穩定時,實事求是、爲用戶負責便顯得格外重要。
雖然IDC率先提出了UTM的概念,然而坦率的說,目前可實現高性能、高可用性以及高可擴展性的UTM產品寥寥無幾。更爲嚴重的是,UTM始終缺乏可信賴的測試標準。某業內人士曾向筆者指出,UTM與防火牆設備的測試標準幾乎相同。
信息化建設速度的加快,我國政府和企業對於安全網關的採購需求正在逐漸增加。通過OEM其他國外廠商的UTM產品,又堂而皇之的出現在敏感行業採購清單中的情況必須從根本上杜絕。
安全行業是需要創新的,但創新必須能夠爲用戶帶來更加有效的安全保護。當前困擾安全網關的核心問題仍然是性能。不可否認,多核、NP等架構對於系統性能的提升確有幫助,但要充分挖掘系統性能完善、高效的軟件架構必不可少。還是那句話,安全產品應該靠實力去取勝,因爲我們需要爲用戶負責。
安全網關需以人爲本
雖然UTM/USG仍存在很多不足,但有一點卻已經得到了業界與用戶的共識,綜合安全網關的發展趨勢已不可動搖。愈發複雜的用戶業務系統讓獨立安全產品與技術顯得捉襟見肘,對於安全網關而言,新的挑戰和機遇已經來臨。如何更有效的從邊界斬斷威脅,如何打造更高效的模塊化操作系統,都已成爲當前網絡安全廠商不得不思考的問題。
毋庸置疑,更有效的安全網關,需要更合理的安全體系架構。天融信安全專家就曾指出,新一代安全網關應該可以靈活的滿足用戶不同的安全需求。即可以滿足用戶細粒度的安全威脅控制需求,又可以幫助用戶實現更加完整的安全體系,最終爲用戶實現實時動態的安全審計。
用戶的需求、專家的期盼以及軟硬件技術的快速發展,防火牆全面升級的時代已經到來,下一代安全網關必將是可按需定製的綜合安全網關,即X-FIREWALL。
用戶的需求、專家的期盼以及軟硬件技術的快速發展,防火牆全面升級的時代已經到來,下一代安全網關必將是可按需定製的綜合安全網關,即X-FIREWALL。
最後,我們還要再次強調安全是一門嚴謹的學問,新一代安全網關面臨的挑戰還有很多,滿足用戶高性能、高可用性以及高可擴展性需求,纔是贏得的用戶信賴的根本。