關于下一代防火墻的幾個思考

NGFW（下一代防火墻）出來有些日子了，這3年多來眾多主流廠家也都推出了各自的下一代墻。然而熱鬧之后，下一代墻并沒有像廠家盼望的那樣，對傳統墻形成替代的燎原之勢。與此同時，UTM也開始演進，逐漸和NGFW越來越沒有區別。此外，虛擬化的興起，對防火墻也提出了新的要求，不管是傳統墻還是下一代墻，在虛擬化面前，不但擺放的位置需要重新定義，甚至對于東西向流量如何去適應也成了需要重新思考的問題。最后，態勢感知、安全大數據在今年成為了國內安全屆的熱門，下一代防火墻應該在新的體系下充當什么角色，等等這些，都需要逐一重新思考，并判斷出新的定位。

1、 下一代和防火墻vs傳統防火墻/UTM：核心區別在于識別能力

下一代防火墻，按照公安部起草的標準，統一叫做第二代防火墻（GA/T1177-2014《信息安全技術 第二代防火墻安全技術要求》），并將國際通用說法“下一代防火墻”正式更名為“第二代防火墻”。

綜觀國內外各個不同機構的定義，總的來說認為二代墻和傳統防火墻的最大區別是 可視化和高性能這幾塊，另外是有ips，av，url之類的但是我認為不是本質。比如PaloAlto就說 app Id、user Id + 高性能就是他們的核心技術，其實說的就是用戶可視、應用可視，高性能。

另外，說到下一代防火墻和UTM的差別，一般是詬病UTM性能這塊。具體到技術上，一般會說UTM是上一代技術，采用包一次通過每一個引擎處理，采用的是串糖葫蘆方式，開啟安全功能后性能會急劇下降；下一代防火墻是采用分離式引擎，一次性并行掃描處理所以性能會很高云云。實際上這是個偽命題，難道UTM不發展了嗎？技術層面的問題都是可以解決的。

所以，在選擇的時候人會暈。那么到底區別在哪里呢？

其實Palo是對的，從安全專業角度有句話，叫做“每個層面的安全問題，需要在那個層面來解決”。通俗的來說，先要看見賊，才抓的住賊，可視化這一塊在傳統火墻的粒度是較粗的，無法在3層來解決如今的7層應用安全問題，因為“看不見”。而性能這個，隨著硬件的提升，其實也不存在什么解決不了的問題。至于在NGFW里面加入IPS，waf，行為管理，av，url…理論上廠商可以加入任何他認為有用的模塊進去，這些我認為不構成本質區別。

另外，“可視”這個事兒解決好了，相關的Qos，策略執行，病毒掃描等等，都可以用較為精準的細粒度方式，基于“應用/用戶”進行。也就是說，“可視”為精細化精準管理奠定了一個基礎，這個是傳統防火墻基于五元組這種粗放式的管理所做不到的。

最后，性能這塊，現在確實比以前有很大提高，但主要還是基于硬件的提升，這個不構成本質區別。所謂的“快”，我認為還是應該有前提的，如果是你裸奔，我滿載，你我比快有何用？

客觀公正的說，下一代防火墻  ≈ （傳統防火墻+應用可視） ≈   UTM                               [≈ :約等于]

2、 下一代和防火墻市場份額：沒有想象的大

實事求是的講，NGFW沒有對傳統防火墻和UTM形成摧枯拉朽式的顛覆。實際情況是，大部分客戶的需求傳統防火墻基本能夠滿足，特別是渠道等中小客戶。而且，這個因素把下一代墻的價格拉的也比較低。UTM繼續在他的勢力范圍內銷售，并且也越來越接近下一代防火墻。當然，下一代墻也有了自己一定的市場份額，畢竟有下一代墻的廠家，基本會主推這個來替代傳統防火墻的銷售。防火墻/下一代防火墻的市場邊界已模糊，基本還是在原有市場份額里面混戰。池子，并沒有刨得很大。

下一代防火墻的特點是相對比較融合性的一個產品，比如具有傳統火墻的NAT、PPPOE、VLAN、IPSEC/SSL ×××、ACL、Qos等功能，同時也有行為管理、***檢測、WAF、反病毒、審計/行為管理、URL過濾等各種應用安全的功能。這個特點也容易讓他四處樹敵，比如搖身一變，可以變身為×××；再一變，可以變為審計產品；再搖身一變，又可以變身為防毒墻、網頁防火墻……事實上，各個廠家研發的下一代墻功能，也正是把自己的優勢產品往里面去集成。下一代防火墻出來好幾年了，很多客戶還是搞不清楚下代墻的區別是啥。這讓下一代墻的定位有些尷尬，既是萬金油，同時也失去了自己的特點。比如，既然下一代防火墻里面有了IPS，客戶為社么還要買單獨的IPS？ 防火墻里面有了***，客戶為什么還要買專業的***？這都需要廠商好好自問一下類似的問題。

3、 新的挑戰：下一代墻還需發展、突破

云技術這兩年發展很快，已經不限于論文研究，全國各地陸續開始有越來越多云的建設項目。在云計算場景下，防火墻需要重新考慮他的位置和作用。

比如，在網絡虛擬化的場景下，流量的進、出，不再采用傳統硬件基于port、vlan等方式，而采用類似vSwitch的軟路由方式導入；在私有云的場景，流量會分成虛擬機內部和外部流量情況，即“南北向”、“東西向”流量。這兩種流量，需要防護的需求是不一樣的，需要區別對待。南北向流量，主要是來自外部的流量，原有下一代墻的需求，本身就可以很好的進行防護；而東西向流量，主要是虛擬機之間的流量。虛擬機之間的隔離，本身就可以用虛擬交換機的策略來進行限制，那么需要防護的，主要是虛擬機之間的流量，比如審計、識別、數據庫防護等，是它的主要需求。已有廠家對此進行了研究，比如山石，就很好的把這兩種流量的防護，用“云界”、“云格”兩個產品來區分，名字也很貼切。而傳統硬件防火墻，只考慮了外部***的防護，對虛擬機內部，子虛擬機之間的流量還沒辦法直接防護。

另外，虛擬化形態（虛擬機）的防火墻也開始有了需求。公有云的提供者目前已經開始嘗試，將傳統硬件防護設備，統統變成平臺上的虛擬機形態，通過平臺商店，以產品和服務的形式銷售。

最后，安全大數據在今年興起，如利用安全大數據進行 安全態勢感知、安全事件關聯分析、安全預警等，也對防火墻提出了新的要求，要求防火墻能夠具有流量監控和上報數據的能力，并能根據安全中心下發的規則，使得安全問題閉環。

綜上，雖然下一代墻出來時間沒多久，但是市場的變化，已經要求下一代墻盡快跟上新的變化了。將來不論是下一代墻的硬件形態、部署位置，還是下一代墻的防護內容，都尚需要不斷發展，甚至突破。

4、 下一代墻的發展預測

• 形態的變化

隨著云計算、虛擬化的發展，下一代防火墻的形態將逐漸趨軟件化，變得軟硬不分，硬件只是軟件形態的防火墻的宿主而已。

下一代墻可以靈活的部署在任何地方，比如物理網絡邊界、虛擬機內部、云的內部/外部，或者作為傳感器插放在任何需要流量檢測的位置。

• 功能的變化

內外兼修是基本功——從傳統防火墻的部署位置看，位于內外網的邊界，一邊是外，一邊是內。因此，邊界防御依然還是永恒的話題。對于外部，主要的需求來自于安全防御，因此ips，waf，抗D等等依然會有很強的需求；對內，主要的需求是管控，特別是對于流量、言論內容的管控。因此，對外防御，對內管控，這是一個內外兼修的下一代墻，需要做到的基本功。

萬金油2.0—— 傳統的ips、waf、審計、行為管理、***，以及新的功能，會繼續不斷地增加進來。當然，范圍還是會圍繞“流量處理”這一特點來疊加。隨著功能的疊加，下一代墻會采用新的靈活的插件機制，通過授權的方式，靈活的增加功能模塊，用戶按照授權數付費；基本防火墻的功能，將會以一個很低的基礎價格銷售，大頭還是付費模塊，這樣也很好的解決了和傳統墻的價格糾纏不清的問題。

識別能力的持續加強——上面說到，下一代墻最本質區別就是識別能力，即：對應用的識別，對安全問題的識別，對用戶的識別，對業務的識別。要防護應用問題，必須要拋棄傳統x元組的粗放式防護，必須要持續的強化識別能力，強化dpi/dfi，并盡可能的利用數學建模、大數據、機器智能等方式，來解決靠人手工去識別協議的原始方式。看不見賊就抓不到賊，這是應用爆炸帶來的內在需求動力。

軟件化、瘦化——除了強化的識別能力，下一代墻其他的能力會弱化，而更多的向傳感器、瘦盒子方向演化。比如，L3、L2功能，在云環境下，可以不需要，僅需要保留對流的識別和控制這個核心功能。不管是什么方式部署，流進來，處理，再決定下一跳的轉發，這個基本的模式不會變。隨著安全大數據化，不論硬件形式還是軟件形式的墻，數量會越來越多，而核心功能收縮為數據識別和處理+日志上報。云端通過成熟的數據處理能力，對各種信息進行加工分析，進行態勢感知、關聯分析挖掘等功能運算，并將運算形成的結論，以ACL的方式下發給防火墻，形成閉環。在數據搜集方面，墻是最有利的一個位置，因為它量大。

另外，隨著移動辦公的發展，防火墻的物理邊界也有著虛擬延伸的需要。因此，BYOD會持續發展，依靠下一代墻數據鏈路的加密能力，并配合終端數據加密，形成全程數據不落地的安全解決方案。

結束語

現實的生活中總是充滿了機遇和困惑，做產品也一樣會面對這些問題。面對不斷變化的市場需求，唯有堅持圍繞價值，擁抱變化，把產品最主要幾個層面做好，才有生存下來的可能。