2006年前,提及网络安全设备,相信大多数用户首先想到的便是“防火墙“。然而随时间的迁移,近年来诸如UTM、USG、Web安全网关、上网行为管理之类的新名词逐渐占据了用户的眼球。在快餐文化盛行的年代,这种层出不穷的新名词或许并不让人意外,但毕竟安全还是讲求实事求是的。我们不禁要问,是防火墙真的过时了?还是以UTM/USG为代表的新安全网关确实略胜一筹?
防火墙真的落伍了吗?
从第一代防火墙的出现到今天,防火墙已经历了二十余年的技术演变。这二十多年里,防火墙从简单的包过滤技术,逐渐发展成为具备动态包检测、网络状态监控以及应用层过滤等功能的综合性安全网关。
防火墙的演变也映射出用户需求的转变。从过去单纯的网络流量过滤到全方位立体的安全防御需求,用户愈发复杂的应用环境,促使深度包检测、URL过滤、VPN、身份认证、流量管理、协议识别等技术迅速兴起。
也许正是看到了用户需求的改变,以Fortinet为代表的新型安全厂商纷纷打出了UTM/USG的王牌。然而,令人遗憾的是不论UTM宣传的如何精彩,其本质并没有与防火墙有所异同,归根结底都是依托ACL(访问控制列表)技术,而ACL技术正是防火墙赖以生存的根本。
那么防火墙是否的确不如UTM般拥有丰富安全防护功能?其实不然。早在2005年,业界就曾有过“胖瘦防火墙“的争论,当时的争论的焦点正是防火墙所承载的各种安全防护功能。坦率的讲如今的UTM和胖防火墙就技术而言并无二样,基础架构精良的模块化防火墙甚至可以实现比UTM更多的更有效的安全防护。
由此可见,单从功能实现方面,防火墙并不落伍。但是对于用户的需求而言,未来的防火墙必定要成为边界安全防护的精品。为此,不论防火墙也好,还是UTM/USG也好,都必须脚踏实地的推动技术创新。
概念VS实力
正如笔者前面所言,如今主流的防火墙与UTM/USG并无本质差别,二者所面临的挑战也是等同的,也许唯一的不同要数市场对于UTM/USG的宣传炒作远远大于防火墙的声音。由此让用户对于防火墙产生些许误解也不足为奇。
近年来,国家对于信息安全极力提倡“自主、可控“,显然只有概念上炒作并不是国家所期望的。信息安全行业内的竞争,应该是核心自主产权技术的创新,是服务模式的创新,而非概念的热炒。当然,安全也是一个敏感的字眼,当今天的安全涉及到国家政治、经济与社会稳定时,实事求是、为用户负责便显得格外重要。
虽然IDC率先提出了UTM的概念,然而坦率的说,目前可实现高性能、高可用性以及高可扩展性的UTM产品寥寥无几。更为严重的是,UTM始终缺乏可信赖的测试标准。某业内人士曾向笔者指出,UTM与防火墙设备的测试标准几乎相同。
信息化建设速度的加快,我国政府和企业对于安全网关的采购需求正在逐渐增加。通过OEM其他国外厂商的UTM产品,又堂而皇之的出现在敏感行业采购清单中的情况必须从根本上杜绝。
安全行业是需要创新的,但创新必须能够为用户带来更加有效的安全保护。当前困扰安全网关的核心问题仍然是性能。不可否认,多核、NP等架构对于系统性能的提升确有帮助,但要充分挖掘系统性能完善、高效的软件架构必不可少。
还是那句话,安全产品应该靠实力去取胜,因为我们需要为用户负责。
安全网关需以人为本
虽然UTM/USG仍存在很多不足,但有一点却已经得到了业界与用户的共识,综合安全网关的发展趋势已不可动摇。愈发复杂的用户业务系统让独立安全产品与技术显得捉襟见肘,对于安全网关而言,新的挑战和机遇已经来临。如何更有效的从边界斩断威胁,如何打造更高效的模块化操作系统,都已成为当前网络安全厂商不得不思考的问题。
毋庸置疑,更有效的安全网关,需要更合理的安全体系架构。天融信安全专家就曾指出,新一代安全网关应该可以灵活的满足用户不同的安全需求。即可以满足用户细粒度的安全威胁控制需求,又可以帮助用户实现更加完整的安全体系,最终为用户实现实时动态的安全审计。
用户的需求、专家的期盼以及软硬件技术的快速发展,防火墙全面升级的时代已经到来,下一代安全网关必将是可按需定制的综合安全网关,即X-Firewall。
最后,我们还要再次强调安全是一门严谨的学问,新一代安全网关面临的挑战还有很多,满足用户高性能、高可用性以及高可扩展性需求,才是赢得的用户信赖的根本。