下一代防火墙究竟是谁的菜
前几天一个高校老师来电话,提到在即将进行的网络出口改造项目中,不少安全厂商开始引导他关注NGFW。然后老师自己对NGFW发表了一通看法,总结完其实就是一句话:不能做应用识别、线速、引流的防火墙不是好路由器。
大量恶意软件不能被检测到
这句话至少说明了两个问题:第一,老师的需求,就是字面上的意思;第二,用户有自己的评估方式,任你厂商包装得如何花团锦簇,用户只从自身需求的角度看产品。在价格合理的前提下,产品对用户需求的满足度越高,用户的接受程度(至少是兴趣)自然也就越高。
请大家一起看看在业务模型的角度,用户是不是能接受NGFW。
先圈定范围。Gartner认为NGFW的潜在用户是Enterprise,本土化的翻译叫做行业用户。运营商可以算作一类行业用户,但中小企业不行,其需求和资金投入决定了NGFW不是它们的菜。
然后来看应用场景。目前NGFW的应用场景主要分两大类,一类是以南北向流量为主的互联网出口,另一类是以东西向流量为主的数据中心(特指以虚拟化技术为基础的大型数据中心)。这基本等同于传统防火墙的应用场景,所以Gartner一直把NGFW的数据放到EnterpriseFirewall里合并统计。
互联网出口——运营商、教育和IDC
虽然所有行业用户都会有自己的互联网出口,但其需求却有很大差异。如果是带有运营性质的网络,运营者不必对安全负责,所以此类用户对边缘网关的需求主要体现在网络层面。
先看运营商。城域网及以上层面基本没有安全网关的位置,除非IPv4地址不够,才会考虑引入安全产品做NAT(4/4、4/6)。这点需求,傻快傻快的传统防火墙显然更合适。对二三线运营商和小区宽带来说,NAT(4/4及审计)、多链路负载均衡、流控、基于应用的引流是刚需,NGFW比传统防火墙有优势,但对愈发强大的专业流控产品来说可能稍显劣势。
再看教育行业。高校网络中心或市、区级信息中心其实等同于中小运营商,对边缘网关的刚需自然也大同小异——NAT(4/4、4/6及审计)、多链路负载均衡、流控、基于应用的引流。不过他们多少要考虑安全问题,否则出了事头疼的还是自己,所以对IPS、AV都有比较明显的需求(不过不是刚需)。此外,教育行业用户对审计的需求相当强,不少用户在交流中都提到过关键字级别的过滤与审计(刚需)。如果能在合理的价格区间内,在性能满足需求的前提下提供有效的安全保障,并且有足够强的审计功能,NGFW会体现出一些优势。
最后提一下IDC,因为它有运营性质,理论上安全也不是刚需。不过现在IDC运营者必须考虑DDoS攻击防范,NGFW目前只能做在线式的抗DDoS,无法从根本上解决问题,很难得到用户信任。至于安全服务化、增值化,国内IDC业者似乎很早以前就开始推,但一直也没形成气候。
互联网出口——其他行业
除了运营商、教育和IDC,其他行业用户的互联网出口对安全网关的需求又有所不同,应该说更关注安全。
除了NAT(4/4及审计)、多链路负载均衡、流控和基于应用的引流,VPN也成为刚需的一部分。这类用户对IPS和AV的需求更加旺盛,但仍构不成刚需。此外,虽然一些NGFW产品已经具有一定的上网行为管理和DLP功能,但对于大型行业用户来说仍不够专业,因此难以取代单独功能的设备。
不过,部分用户在交流中也坦言被NGFW的一些新特性所吸引,产生了摸着石头过河的意愿。比如健全的用户身份系统,能让配置和运维更简单高效,报表功能更强大全面。再比如最基础的应用识别功能,有让管理运维思路走向白名单化的趋势,如果识别率够高、误识别率够低,无疑能让网络运行效率更高,也更安全。
在许多行业专网中,安全网关本身就已经有取代路由器的趋势。如果NGFW在动态路由方面支持比较完善,那么对于传统防火墙和路由器来说更具竞争力。这个市场很大,有待国内安全厂商充分挖掘。
最后,NGFW对于此类用户还有一个比较现实的问题,就是管理权的归属。这个问题处理不好,恐怕会对NGFW的普及造成负面影响。刚刚又有用户和笔者讨论过这个问题,他们集团之前采购了上网行为管理设备做流控和审计,但安全运维部门和网络运维部门在设备的管理权上产生纠纷,最后只用它来做审计,同时又采购了一台流控设备交给网络运维部门使用,完全就是重复浪费。安全功能的集成化是大势,用户的IT组织架构必须适应这种融合的趋势,进行适当的调整。
数据中心
说完行业,再来看数据中心。对于以东西向流量为主的大型数据中心而言,安全防护的重点在内部。出口也不是不重要,但最多当做一个独立的安全域去看待就够了。其对安全网关的刚需比起互联网出口有了不小的变化,主要包括2-4层访问控制、服务器负载均衡、IPS和WAF/防篡改。
写到这里不由感叹,深圳某公司的眼光真毒,其类NGFW产品应该也是国内销售额最高的,应该给产品规划人员加薪。
NGFW的一个切入点在于应用识别和基于应用的白名单控制,这虽然还不算刚需,但可以给数据中心的安全保障提供额外的技术手段。海外已经有了比较成熟的部署模型,甚至进入到行业规范;国内也有行业用户开始尝试,思路在之前大连电子政务外网的案例中有过详细阐述。
不过,对于NGFW在数据中心内部的应用,目前运营者还不是很看好。其实,大部分运营者对数据中心内部安全防护尚无清晰的解决思路,流量到底是牵出来给一个高大强的设备处理,还是通过VM版本的安全设备处理,还没有个主流意见。但流量不管是迁出还是在内部消化,现有NGFW产品都面临性能和成本方面的瓶颈。像BTAS麾下的商业数据中心,内部流量动辄百G起步,NGFW的部署成本太高,方案也太复杂。
数据中心出口面临的另一个严重的安全威胁是DDoS,刚才分析IDC的时候已经说了,目前的NGFW产品很难赢得用户信任。
对于VM形式交付的NGFW方案,未来倒是值得谨慎看好。大型行业用户如果将业务从本地向云端(尤其是公有云)迁移,多样化的安全需求只能靠自己解决。在这方面,行业巨擘已经给出了非常全面的方案。
总结:高举低打才能成就NGFW
基本上把行业用户的主要需求总结了一遍,NGFW能否被用户接受,人人心里都应该有数了。
可以看到,未来NGFW的主战场还是以南北向流量为主的互联网出口,用户长期以来的刚性需求其实就是高性能NAT,这也是大部分场景中传统防火墙能取代路由器的主要原因。今天,残酷的现实令应用识别、流控和基于应用的引流成为新的刚需,善于此道的NGFW也就有了足够的群众基础,甚至让业界产生了“下一代的精髓就是流控”的判断。
这绝对是中国特色。海外用户普遍认为IPS及智能联动才是NGFW的精髓,国内用户却把优先级排到应用识别、流控和基于应用的引流后面。想在国内市场有所斩获的NGFW厂商,除了必须充分认识到这一点、在功能上有所侧重外,行销上还要高举低打,直击用户痛点。不过,纵观目前市售NGFW产品,能做到这一步的还不多。在专业流控产品和单一功能安全产品的夹击下,NGFW的普及之路仍然漫长。