下一代防火墙和普通防火墙有什么区别.pdf

下一代防火墙和普通防火墙有什么区别 前些日子，跟一个客户谈一笔防火墙生意，一切进展顺利。会议快结束时候， 随口问了一句：您为什么要选择购买下一代防火墙？在提这个问题时候，我设想 了几种客户可能会给的答案，类似性价比高，安全性高，性能强……但是客户最 终的回答却出乎我意料：既然要买防火墙，为什么不选择“下一代”防火墙呢？客 户这个反问式的回答出乎我意料，做一个简单类比就是如果你现在选择够买苹果 手机，新版iPhone SE 来了，你还会去选择买一个4S 吗？这个逻辑看似简简单明 了，但问题是如何购买一款真正下一代防火墙？ 尤其是这几年，国内很多厂商纷纷推出了自己的下一代防火墙，其中不乏“巧 借名目”和“抢占高地”者。研究这些产品资料也不难看出，此类产品与传统防火 墙相比只是换汤不换药，在其技术特性中根本读不到任何NGFW 的基因，只是 将几年前推出的传统防火墙冠以“NG”开头的名称而已。这个时候就需要我们客 户有一双慧眼，能够识别出真正的下一代防火墙，能够认清传统防火墙，UTM， 下一代防火墙之间差别。 下一代防火墙 ≠ （传统防火墙+ 应用可视） “下一代”这似乎是个饱含炒作意味的词汇，但是它代表了多功能、高性能， 也是对于传统设备软件和硬件技术的革新。顾名思义有“下一代”必然有上一代， 也就是传统防火墙。 根据Gartner 的定义，最初下一代防火墙只是强调应用识别、深度集成IPS 等基础能力，而之后一段时期则开始关注管理分析能力、性能、抗攻击逃逸能力 的提升，最近及未来一段时间内，随着以威胁情报、大数据等为代表的前沿安全 技术的成熟，则开始强调与这些外部智能系统、其他安全产品的联动协同。因此， 相较于传统防火墙，NGFW 会以全局视角解决用户网络面临的实际问题，不是简 单的功能堆砌和性能叠加，而是真正的集成，贴切网络环境与用户需求。 从Gartner 对NGFW 定义这张图看，“下一代防火墙”安全能力内涵和外延， 早已远远超过二十多年前定义“防火墙”品类时所界定的范畴，下一代防火墙应该 是边界防御领域一个新的产品品类，只是截至目前，尚未想到更好的概念名词去 描述它。因此下一代防火墙绝对不是某些厂商宣传一样，约等于传统防火墙加上 应用可视化这么简单。 更何况，近年来一些厂商将越来越炫酷的UI 界面或各类TOP 10 排名灌之以 深度可视化的名头，这是典型的将visualization 理解成了visibility。可视化不是简 单的将数据图形化呈现，不是日志信息的简单分类和归集，而是深度挖掘这些原 始数据素材之后的内在关联，以全局视角帮助网络管理者看清各种威胁，看清攻 击事件的全貌，帮助了解攻击者的真正意图和目标。 下一代防火墙 ≠UTM 另外，说到下一代防火墙和UTM 的差别，必须要澄清一个概念，“下一代防 火墙” 并不是前些年市场上流行的“统一威胁管理 （UTM）”。 UTM 诞生的时间更早，推向市场的背景是为了降低中小企业用户以及低预 算用户的总体拥有成本，所以UTM 在防火墙平台的基础上集成了尽可能多的安 全功能，可能包括上网行为管理、入侵防御、Web 攻击防护、病毒防护、垃圾 邮件过滤、URL 过滤等功能。在未来，UTM 仍然会不断的集成更多新的安全功能， 而这样的产品设计很难避免多功能堆砌的架构，这决定了UTM 性能可预测性差、 功能融合度低等技术特点。 相比而言，下一代防火墙的定义中明确指出，它并不是仅面向中小企业的“多 功能防火墙”，NGFW 必须要适应大企业环境的要求。尽管NGFW 也集成了IPS、 AV 等安全功能，但并不是以提升产品性价比为主要目的。这种集成不是功能模 块和引擎的堆砌，而是一种深度的集成，将各种安全功能融入一个独立的架构中， 而不是简单的将多个安全设备堆叠到一起，塞进叫防火墙的外壳里。这一切的主 要目的，则是为了提升安全检测效率和安全防护水平。 所以，NGFW 不是像UTM 那样简单的扩展功能模块，此外各安全模块也不 像UTM 那样各自为战，而是各安全模块间可开展有机联动，各模块产生的信息 可实现全维度关联，使NGFW 具备强大的模块间安全协同能力和威胁情报聚合 能力。举个简单类比，UTM 功能集合更像是简单的1+1=2 甚至是1+12，而NGFW 则是1+12。 大家可能都听说过一个和尚挑水喝，两个和尚抬水喝的故事，这个故事除 了告诉我们分配制度重要性以外，还有一个寓意就是1+1 可能小于2，从左图中 我们也可以看出一个和