竞速下一代防火墙
原文发于《计算机世界》。由于版面及内容形式等因素限制,文章在报纸上分3期共10个版进行连载。本文是在连载结束后,重新调整了内容框架,修正、更新了一部分文字而成,看起来更像是一个完整的内容专题。尤其是对13家厂商的采访部分,除了错别字和极个别不妥当的措辞或叙述外,未再做其他修改。
文章撰写过程中,得到了许多来自咨询机构、厂商、学术界的朋友的大力支持,在此表示感谢。同时也要感谢我的同事,是她们的努力使得专题内容得以按时发布。最后,我必须感谢一下我的太太,她为专题做了许多资料翻译工作,并在撰写过程中为我创造了良好的工作环境。
水平所限,文中多有待商榷之处,请不吝赐教。希望这一专题内容能抛砖引玉,引发更多有价值的讨论。
=====================================================================
自出现之日起,下一代防火墙(Next-Generation Firewall,以下简称NGFW)就一直在争议中前行。究其原因,还是概念提出得比较超前,产品跟进却相对缓慢。不久前,梭子鱼与深信服科技在国内先后发布了各自的NGFW产品,加上产品已经正式在售的SonicWALL、Check Point和Palo Alto,市场上俨然一副山雨欲来风满楼的景象。那么,NGFW究竟是如何定义的?它与传统防火墙、UTM又有哪些不同?其产品与市场前景究竟如何?用户部署NGFW又需从哪些角度考虑?请随我们一起走进NGFW的神奇世界,共同领略这类新产品的价值所在。
何谓NGFW
什么是下一代防火墙?这一代、上一代防火墙指的又是什么?在讨论NGFW之前,我们必须先正确认识“防火墙”这个概念。在经历了多次技术变革后,防火墙的概念正在变得模糊,在不同语境中有着不同的含义。在描述具体产品时,防火墙大部分指代的是采用状态检测机制、集成IPSec VPN、支持桥/路由/NAT工作模式的作用在2-4层的访问控制设备;而宏观意义上的防火墙,实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备(Gateway)。国内的厂商、用户习惯将前者称为“传统防火墙”,国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念,其包含了传统防火墙、IPS、UTM及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加,广义的防火墙必然将集成更多的安全特性,著名市场分析咨询机构Gartner所定义的NGFW就是很好的例证。
得益于许多厂商市场部门行之有效的推广工作,我们在市场上可以看到不少针对NGFW概念的宣导(即便其中可能存在着完全不同的理解)。而业内普遍认同的关于NGFW的定义,则来自Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文档。该公司注意到,在应用模式、业务流程和安全威胁不断变化的今天,传统防火墙已经无法满足用户的需求。即便在此基础上再加入IPS,也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下,Gartner定义了NGFW这个术语来形容防火墙的必然发展阶段,以应对攻击行为和业务流程使用IT方式的变化。
在Gartner看来,NGFW应该是一个线速(wire-speed)网络安全处理平台,定位于企业网络防火墙(Enterprise Network Firewall,Firewall指宏观意义上的防火墙)市场。这里的企业指的是大型企业,国内很大一部分都归为行业用户范畴。NGFW在功能上至少应当具备以下几个属性:
- **传统防火墙:**NGFW必须拥有传统防火墙所提供的所有功能,如基于连接状态的访问控制、NAT、VPN等等。虽然我们总是在说传统防火墙已经不能满足需求,但它仍然是一种无可替代的基础性访问控制手段。
- **支持与防火墙自动联动的集成化IPS:**在同一硬件内集成IPS功能是必须的,但这不是Gartner想表达的重点。该公司认为NGFW内置的防火墙与IPS之间应该具有联动的功能,例如IPS检测到某个IP地址不断地发送恶意流量,可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是由NGFW自动完成的,而不再需要管理员介入。比起前些年流行的传统防火墙/IDS间的联动机制,这次升级并不是一个特别高深的技术进步,但我们必须承认它能让管理和安全业务处理变得更简单、高效。
- **应用识别、控制与可视化:**NGFW必须具有与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性,但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。
- **智能化联动:**获取来自“防火墙外面”的信息,作出更合理的访问控制,例如从域控制器上获取用户身份信息,将权限与访问控制策略联系起来,或是来自URL Filter判定的恶意地址的流量直接由防火墙去阻挡,而不再浪费IPS的资源去判定。我们理解这个“外面”也可以是NGFW本体内的其他安全业务,它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系,实现自动联动的效果(如思科的“云火墙”解决方案)。
除此之外,文档中也提到了NGFW在部署、升级方面的一些规定,但并未做更多的强制性约束。正如文档作者、Gartner研究副总裁Greg Young在接受我们采访时强调的那样,集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动就是NGFW要具备的四大基本要素。
发现用户需求及产品形态变化的并不只Gartner一家,国际著名第三方安全产品评测机构NSSLabs也在今年正式开始了NGFW产品的公开测试工作。从官方发布的信息来看,该机构基本认同Gartner对NGFW的定义,只是在智能化联动方面并未做过多的强制性要求,但突出了对用户/用户组的控制能力。从测试的角度出发,相信NSSLabs的工程师对产品配置的复杂度和易用性都有很深刻的了解,他们的观点可以代表许多用户。此外,该机构还认为企业并没有准备在数据中心中用任何方案替代掉独立的IPS设备,所以NGFW集成的IPS模块应该提供对客户端保护(主要在特征库方面体现)在内的完整方案,并且将针对于此的配置归纳到预定义策略模版中去。
NGFW****与UTM:竞合或补充 但非竞争
需要注意的是,不同机构对NGFW做出的定义都是最小化的功能集合。站在厂商的角度,势必要根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异,同时更像一个大而全的集中化解决方案,给用户造成了很混乱的印象。我们在采访中听到用户最多也是最经典的反问就是:NGFW不就是一个加强型的UTM么?
实际上,这里提到的NGFW和UTM都是对厂商包装后的产品的认知,已经脱离了最原始的定义。市场分析咨询机构IDC曾经这样定义UTM:这是一类集成了常用安全功能的设备,必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能,并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开,但是这些功能必须集成在一个硬件中。IDC对UTM的定义无疑是非常聪明的,它简单明了,让人易于接受并容易做出判断。“所有功能不一定要打开”这句话,除了说明安全业务要由用户需求决定外,也考虑了早年间硬件平台的实际处理能力。而安全业务的集成化,也确实符合当时的市场需求。有了这样一个宽泛的准入条件,UTM的概念一经推出便受到厂商与用户到一致认同,市场份额迅速扩大,成长为目前安全市场上的主流产品。
与IDC的宽松态度不同,Gartner在其市场分析报告中对UTM产品形态则有着更为细致的描述。该机构在调研后认为,除了传统防火墙与IPS,UTM至少还应该具有VPN、URL过滤和内容过滤的能力,并且将网关防病毒的要求扩大至反恶意软件(包括病毒、木马、间谍软件等)范畴。另一方面,Gartner对UTM的用户群体有着自己的看法,认为该产品主要面对的是中小企业或分支机构(1000人以下,Gartner的划分方式)。这类用户通常对性能没有太高要求,看中的是产品的易用性和集成安全业务乃至网络特性(如无线规格、无线管理、广域网加速)的丰富度。实际上,Gartner之前一直使用SMB多功能防火墙(SMB Multifunction Firewalls,这里的Firewall也指宏观意义上的防火墙)来描述这类产品,只是因为UTM这个概念被市场普遍接受,才在2010年的分析报告中修改了称谓。该机构认为UTM与NGFW集成安全功能的差异主要体现在时延敏感性上——作为边缘网关,NGFW必须满足时延敏感型应用的需求,与之有悖的功能不适合出现在NGFW上。而从Gartner针对其他产品市场的分析报告中可以推断,安全Web网关(Secure Web Gateway)似乎是该机构认为的NGFW联合部署的理想对象,此外独立的WAF、反垃圾邮件产品也应被考虑。
通过上面的分析,我们可以得出明确的结论:至少在Gartner看来,UTM和NGFW只是针对不同级别用户的需求,对宏观意义上的防火墙的功能进行了更有针对性的归纳总结,是互为补充的关系。无论从产品与技术发展角度还是市场角度看,它们与IDC定义的UTM一样,都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述,其出发点就是用户需求变化产生的牵引力。对此,Fortinet创始人、首席技术长官、工程副总裁谢华在接受我们采访时有着非常精辟的总结:“UTM的概念在不断的进化,包含了越来越多的安全功能。但像500强那样的大企业对UTM的接纳相对保守,不过他们也开始从独立的安全设备开始转向集成化的道路,其关注重点就是Gartner定义的以传统防火墙与IPS为基础元素的NGFW——UTM进化中的一个细化分支。无论如何,我们将看见安全功能整合的革命将继续进行下去。”Fortinet提供的产品技术也已覆盖了网络,内容和应用三个层面,应用识别与控制就是其中的扩展模块之一,NGFW的定义在可扩展化的UTM系统中得到充分的体现。
应用识别与控制:全能杀手锏
对于NGFW这种新生的产品形态,市场上也不乏质疑声。在多功能安全网关领域,有XTM做前车之鉴,不少人认为NGFW也将是昙花一现的概念。不过UTM概念刚被提出时,市场上也有过类似的质疑声,但用户用实际行动表明了对这种功能丰富、性价比高的产品的认可,其市场份额长期保持乐观增长。IDC预计,国内UTM市场2011年增长率为38.2%,市场规模将达到1.741亿美金;2010到2015年的复合增长率为33.6%,市场规模在2015年将达到5.353亿美金。为什么UTM比XTM成功得多?我们认为关键在于前者在适当的时候集成了用户需求最迫切的功能,后者却试图引导用户,以一些相对小众的特性为卖点。而对于NGFW来说,其最大的亮点在于应用识别与控制功能,这恰恰也是目前用户最迫切需要的功能,有着很大的潜在用户群体。Gartner表示,目前只有不到1%的互联网连接采用NGFW来保护。而到2014年年底,这个比例会增加到现有用户总量的35%,并且新购买的防火墙中将有60%是NGFW。该机构还建议,无论用户现在使用的是防火墙、防火墙+IPS还是安全服务,都应在下一个更新周期来临时切换到NGFW。
作为NGFW定义中明确要求具备的特性,应用识别、控制与可视化可以解决给企业用户带来极大压力的网络滥用问题,同时对业务流量进行优化,受到了所有受访用户的关注。而5家推出NGFW产品的厂商均表示,该功能已经成为各自产品中的标准配置,也就是说,即便用户在购买时不包含其他任何安全功能的使用许可,也会得到一个“应用防火墙”形态的产品,我们认为这也将成为未来NGFW产品商业模式方面的常态。但多数受访厂商也希望用户认识到,NGFW产品只能提供上网行为管理产品和专业流控产品中最基本的一部分功能,且应用场景和功能侧重都有很大差异,并不存在完全的取代关系。流控产品通常会被部署在行业用户或运营商网络的边缘,用于对应用层流量进行合理的整形与优化;上网行为管理产品则基本部署在企业网络中,在阻止网络滥用行为的同时提供更丰富的行为控制与审计能力。二者都是单一功能设备,与强调一体化接入安全的NGFW没有可比较的环境。NGFW的优势在于应用识别/控制与安全业务的无缝衔接,可以完成诸如“允许MSN传输文件并对文件进行病毒过滤,但不许使用语音视频聊天”这样的综合访问控制策略。
除了上网行为管理产品和流控产品,部分市售的UTM产品也带有应用识别与控制功能,令人感觉与NGFW十分相似。不过该功能大多以独立的功能模块形态存在,通常在策略配置、日志/报表乃至授权许可方面都不统一,应用体验与NGFW存在一定差距。此外,至少我们所测试过的集成应用识别与控制功能的UTM产品中,还没有任何一款在特征库中包含Web 2.0应用,显然不能满足互联网应用发展带来的新安全需求。最后也是最关键的一点,部分没有采用统一处理引擎的UTM产品在性能上的衰减也许是任何人都始料未及的。我们曾经测试过这样一款产品,只开启防火墙时可以达到几百兆的吞吐量(HTTP大页面,后同);在此基础上开启IPS,吞吐量下降到一百多兆;如果再开启应用识别与控制,吞吐量则只有几十兆。而NGFW被Gartner定义为线速(wire-speed)网络安全处理平台,虽然在启用多种功能时性能也会有所降低,但从目前市场上销售的NGFW产品的规格指标来看,部分产品在开启应用识别与控制功能后,性能能够达到单独开启防火墙时的60%-80%;在此基础上再开启反恶意软件、IPS等功能,性能最高者可以达到单独开启防火墙时的50%。当然我们不能以偏概全,无论是UTM还是NGFW,在开启多功能部署前都应进行细致的测试工作。
在稍后的产品分析中可以看到,虽然Gartner在定义文档中将NGFW的用户群体圈定在大型企业和行业用户,但5家厂商都推出了全功能的中低端产品。实际上,中小企业对应用识别与控制功能的需求,要远远高于其他任何安全特性。自防火墙普及以来,大部分中小企业用户就把它当做一个接入设备而非访问控制设备来用。如今,他们面临最严重的问题不是安全问题,而是如何限制网络滥用行为,保证接入质量。微博上最近流传的笑话就很说明问题:某小公司内上网体验十分恶劣,经常连网页都无法完整打开,领导对此也无可奈何。唯有每月财务人员在公司QQ群内喊一句“都停下,我要发工资”,网络访问才会短暂地恢复正常。这个例子很生动地表明,目前许多中小企业用户面对网络滥用行为缺乏有效的技术管理手段,导致网络陷入完全失控的局面。
目前常见的解决方式是使用带应用控制功能的路由器或上网行为管理产品,前者价格低廉但功能简单,不少产品在应用识别与控制能力上仍待加强;后者虽然功能强大但价格昂贵,中小企业或许要为一些很少用到的功能买单。从市场角度看,两类产品在用户覆盖上造成一个断层,中间有大量用户的需求没有被满足。而中低端NGFW产品的出现,在功能、性能上满足了此类用户的需求(多数产品的基本配置都是带应用识别与控制功能的“应用防火墙”),又提供了安全业务的扩展能力,价格也基本维持在同规格UTM产品的水平,值得所有中小企业用户关注。
如何评估NGFW产品
NGFW属于新生产品,目前业界对其还没有一个公认的测试标准,甚至独立的测试报告都寥寥无几。NSSLabs曾经在几个月前发布了针对Check Point Power-1 11065的单品测试报告,这也是该机构第一次发布NGFW类别的测试报告。我们从中可以看出,NSSLabs针对NGFW产品的测试方法可以看作是在传统防火墙和IPS测试的基础上,补充了针对用户/应用的识别与控制能力的测试。不过,我们注意到应用识别与控制测试中使用的样本多为欧美地区流行的应用,国内用户应当重点考察NGFW产品对迅雷、新浪微博、开心网等本土热门应用的识别与控制能力。采访中有些用户就抱怨说,目前使用的国外某UTM产品在IPS模块中虽然也集成了对应用的识别控制功能,但扩充及更新速度太慢,以至于上线不久就失去了对迅雷等频繁更新应用的控制能力。
此外,应用对于网络的使用模型趋于多元化,NGFW产品在应用控制方面的细粒度也应被重点关注。对于传统的网络应用,以迅雷为例,可以考察产品是否能够在允许常规HTTP、FTP下载的前提下,屏蔽一切P2P或Cache加速下载行为或进行限速处理;而对于开心网这样的互联网/移动互联网应用来说,可以考察设备是否能够对基于Web 2.0平台的小应用(如开心农场、开心城市)进行单独的屏蔽。即便不能做到这一点,NGFW产品也应该能够通过URL-Filter特征库中的分类或手动设定策略的方式进行屏蔽。
除了应用特征库包含的协议种类与特征更新速度,管理界面的易用性也是不容忽视的评估要素。虽然用户识别/控制和统一的策略框架不是Gartner的NGFW定义中的强制功能,但我们发现目前市场上的产品都有提供,并且厂商纷纷在该领域做着更加深入的尝试。用户应当考察NGFW产品是否可以通过获取域控制器信息或Web认证等手段,做到IP与用户身份的绑定,再通过统一的策略框架进行更加直观、简单的权限定义,以达到“允许市场部门的所有员工从任何位置访问新浪微博“、“只允许IT部门员工从特定位置使用SSH、Telnet、远程桌面应用”等以用户、应用为核心元素的访问控制策略配置模式。易用性的另一个重要体现是设备是否提供中文的WebUI、报表系统、端点套件和集中管理系统。英文界面无疑会增加NGFW产品的配置管理难度,对IT管理效率造成不可忽视的影响。
性能测试方面,许多用户都知道针对传统防火墙有RFC2544、RFC3511、GB/T 20281-2006这样公认的测试规范。这类产品的业务模型比较单一,有经验的测试人员/管理员根据依照规范测得的结果,甚至可以凭经验去预估防火墙在某个特定场景中的性能衰减幅度。而当网关设备使用的访问控制技术走进DPI时代开始,实验室环境中进行的标准化测试就失去了普世的指导意义。即便是IPS,部署在数据中心出口时与部署在企业出口时的性能也会有很大差异。而NGFW产品在进行性能评估时会更复杂,用户必须根据自身的业务需求,抽象出与之吻合的流量模型,进行细致的、有针对性的测试工作,才能得到有价值的评估依据。并且在测试过程中,应时刻以“寻找最差性能”的目标,方可在未来的实际使用中规避性能瓶颈。
经历了实验室环境中的考验,用户也不应忽视产品在实际环境中的测试工作。比起UTM,功能更加丰富的NGFW产品需要更长的测试周期以证明设备的稳定性和在用户业务、管理方面的兼容性。同样要长期验证的还有身份(ID)的同步和策略执行的效果,安全部门在这一环节也许需要行政部门的配合(Gartner和NSSLabs都曾或多或少地提到过这个环节存在的难度,或者说是“管理矛盾”)。途牛旅游网的资深网络工程师吴康在采访中就谈到这样的体会:该公司在明确自身安全需求后,选择了NGFW产品取代UTM搭配上网行为管理的方案保护包括订单系统在内的在线OA平台。经过长达半年的上线测试,途牛旅游网的IT团队才以用户身份关联为基础逐步实现了策略的统一配置,验证了产品性能与稳定性,在满足需求的同时大幅提升了管理效率。由此可见,充分的测试是NGFW产品部署前必不可少的环节,鉴于大部分用户都会同时启用NGFW多种安全功能,我们建议无论是否进行实验室测试,都要在实际环境中进行至少3个月以上的、结合自身业务需求的测试,尽可能地与原有信息系统磨合,排除潜在隐患。
无论如何,用户未来在选购NGFW产品时肯定会感到更多的困惑(比如,许多用户在采访中都问到“哪个厂商的NGFW是目前市场上最好的产品”)。一方面,UTM和NGFW短期内不存在取代关系,经过包装推广的产品在形态上会越来越相似。另一方面,NGFW必然还会加入更多的安全特性,从著名信息安全培训机构SANS的专家结合现有产品和用户需求,给出的未来NGFW产品将需集成的功能列表来看,目前市场上所有主流安全技术都被涵盖在内。乱花渐欲迷人眼,用户(尤其是中小企业用户)难免会像几年前刚接触UTM那样,产生一种不理智的选购心态。所以,用户在选型前必须先明确自己的需求是什么,再利用NGFW体系结构上的集成化优势对未来部署做出合理性的规划,避免造成过犹不及的负面效果。
NGFW****产品现状
目前可以确定共有5个厂商在国内正式发售了NGFW产品,其中4个国外厂商均在Gartner最新一期的《企业网络防火墙魔力象限报告》(Magic Quadrant for Enterprise Network Firewalls,2010)中占有一席之地;深信服科技是唯一发布了NGFW产品的本土厂商,我们相信会有越来越多的本土厂商杀入这一领域。
...
