四年前�����,Gartner正式發(fā)文定義NGFW(下一代防火墻)�。四年來�,眾多網絡和安全廠商對下一代防火墻趨之若鶩,衍生出一片繁榮景象�。由于NGFW將安全防護上升到了應用層,因此一些以上網行為管理為主�����,專注于網絡管理和優(yōu)化的廠商也推出了下一代防火墻產品���。也正是這些具有不同背景廠商的紛至沓來���,才給下一代防火墻市場注入了前所未有的活力。
雖然下一代防火墻的誕生讓泛防火墻市場規(guī)模和廠商數量進一步擴大��,但不可避免地還是產生了產品趨同的情況�����。正因如此,也讓UTM與NGFW之爭持續(xù)了長達數年之久�,并且至今仍未停歇。從研究定義到細分市場再到如今的口水仗���,這場產品形態(tài)的爭執(zhí)如今也漸進尾聲�。很多人在辨識產品時都人云亦云�,也就無從評判。不論是功能還是性能�����,NGFW與UTM的差別其實不大����,尤其是摩爾定律依舊不破,硬件性能逐年上升��。2004年UTM出世��,時隔五年NGFW誕生�,到明年NGFW的定義就滿5年了,因此從周期性考慮����,筆者大膽假設:“下一代防火墻”的下一代是不是快來了?
NGFW:少爺身子跑堂命
筆者曾對NGFW產品的發(fā)展有著這樣的期許:NGFW 的下一代應該是各廠商的個性化定義�,以此取代不同的單一產品�����,例如WAF�、IPS、IDS����、 流控等�����。
此前��,業(yè)界一直關注于下一代防火墻產品的功能與性能�,其實還都是從產品角度在思考問題,而忽視了用戶方面的真實感受���。很早以前筆者就曾明確表示用戶方面并不在乎一臺安全網關設備是UTM還是NGFW���,只在乎是否能夠滿足需求。
今年4月份�����,Alogsec公司在歐洲信息安全展進行了一項涉及130名歐洲IT安全專業(yè)人員的調查。結果顯示���,在已經部署了NGFW的受訪者中���,大部分受訪者(57.1%)表示他們的防火墻管理過程增加了更多工作。近70%的受訪者稱與傳統(tǒng)防火墻相比����,他們必須對下一代防火墻作出更頻繁的策略調整。
由此可見����,雖然NGFW給防火墻帶來了前所未有的可視化體驗,但是對于策略變更的頻度和復雜度的提升也是空前的���。但是目前看來第一代的NGFW產品可能并不能在簡化操作上有更多作為�����。安全功能固然重要����,用戶的使用體驗也同樣重要。在國內中小企業(yè)甚至一些大型企業(yè)中��,IT運維人員的技術水平與國際水平將去甚遠���,連國外安全專業(yè)人士都表示NGFW管理復雜�,就很容易理解為何在國內很多NGWF都被當成WAF或者流控設備來使用了�。
防火墻開啟智能時代
既然要用一個盒子來幫助人來做決策,那么簡單的基于各種日志的數據挖掘就略顯乏力了��。這時就需要機器能夠像人一樣思考�,或者接近人對數據或事件看法��,那么就需要引入深度學習和機器學習來幫助防火墻模擬人腦進行分析學習來解釋數據�。因為人的認知是有深度且層次化遞進的,要想讓防火墻做到智能��,那么就要讓機器也能夠有深度地學習�,這也是深度學習算法的原始動機。但是另一個問題又來了��,深度學習明確指出不充分的深度學習是有害的��,而憑借現有的硬件水平不足以在防火墻中做到足夠深度的學習���。但是隨著技術的發(fā)展�,如果防火墻真能如此智能,那么所謂的DPI性能也就不是問題了吧�。
下一代的NGFW產品,需要提升的不僅是安全水平�,更多需要側重于用戶使用的便捷。正所謂不破不立����,近期的一場產品發(fā)布會既證實了筆者對新產品誕生的假設,又將筆者帶入了對于產品形態(tài)的反思����。從個人角度來講,筆者很高興見到終于有人可以打破常規(guī)��,沖破慣例推出一款讓人眼前一亮的防火墻了����。INTELLIGENT NGFW( 智能的下一代防火墻),官方名稱下一代智能防火墻��。山石將傳統(tǒng)的安全基線進一步簡化����,通過借鑒安全軟件的“評分”理念���,對網絡健康狀態(tài)和用戶信譽進行“評分”,再通過一系列的技術手段讓防火墻可以進行動態(tài)策略變更���,免去了管理員相當一部分的工作量�����。
在兩套評分體系的背后���,都是依靠數據挖掘技術來支撐。通過對于大量系統(tǒng)日志�、安全日志、會話信息����、抓包文件等信息進行收集��,在利用數據挖掘技術進行關聯分析��,對用戶行為��、應用行為、流量模式等等進行監(jiān)控和分析�,將檢測異常的操作與應用和流量優(yōu)化同時進行后,呈現給用戶兩個簡單的分數�����,給用戶帶來更直觀的感受���。在使用界面上�,更是添加了全網的模擬拓撲圖�����,可以通過不同節(jié)點上的顏色來直接判斷該節(jié)點的“健康”狀況�,即連通、阻塞還是斷開等等����。
雖然這次的產品被稱為智能防火墻,但按照科學定義的智能還需要再進化��。誠然���,從功能手機到智能機的跨越有一個過程��,從傳統(tǒng)防火墻到智能防火墻的演進同樣需要時間��,畢竟其把控著網絡的連通���。如果想讓智能防火墻幫助管理員簡化網絡管理和做精準決策��,甚至真正成為管理員的“大腦”����,那么緊靠目前應用到防火墻中的技術還不夠��。
