四年前,Gartner正式發(fā)文定義NGFW(下一代防火墻)�����。四年來�,眾多網(wǎng)絡(luò)和安全廠商對下一代防火墻趨之若鶩,衍生出一片繁榮景象�����。由于NGFW將安全防護上升到了應(yīng)用層,因此一些以上網(wǎng)行為管理為主�,專注于網(wǎng)絡(luò)管理和優(yōu)化的廠商也推出了下一代防火墻產(chǎn)品。也正是這些具有不同背景廠商的紛至沓來���,才給下一代防火墻市場注入了前所未有的活力����。
雖然下一代防火墻的誕生讓泛防火墻市場規(guī)模和廠商數(shù)量進一步擴大�,但不可避免地還是產(chǎn)生了產(chǎn)品趨同的情況。正因如此��,也讓UTM與NGFW之爭持續(xù)了長達數(shù)年之久��,并且至今仍未停歇����。從研究定義到細分市場再到如今的口水仗,這場產(chǎn)品形態(tài)的爭執(zhí)如今也漸進尾聲�����。很多人在辨識產(chǎn)品時都人云亦云�,也就無從評判。不論是功能還是性能�����,NGFW與UTM的差別其實不大,尤其是摩爾定律依舊不破���,硬件性能逐年上升�����。2004年UTM出世���,時隔五年NGFW誕生,到明年NGFW的定義就滿5年了��,因此從周期性考慮����,筆者大膽假設(shè):“下一代防火墻”的下一代是不是快來了?
NGFW:少爺身子跑堂命
筆者曾對NGFW產(chǎn)品的發(fā)展有著這樣的期許:NGFW 的下一代應(yīng)該是各廠商的個性化定義�,以此取代不同的單一產(chǎn)品,例如WAF����、IPS、IDS�、 流控等。
此前,業(yè)界一直關(guān)注于下一代防火墻產(chǎn)品的功能與性能���,其實還都是從產(chǎn)品角度在思考問題����,而忽視了用戶方面的真實感受��。很早以前筆者就曾明確表示用戶方面并不在乎一臺安全網(wǎng)關(guān)設(shè)備是UTM還是NGFW����,只在乎是否能夠滿足需求。
今年4月份����,Alogsec公司在歐洲信息安全展進行了一項涉及130名歐洲IT安全專業(yè)人員的調(diào)查。結(jié)果顯示�,在已經(jīng)部署了NGFW的受訪者中,大部分受訪者(57.1%)表示他們的防火墻管理過程增加了更多工作����。近70%的受訪者稱與傳統(tǒng)防火墻相比,他們必須對下一代防火墻作出更頻繁的策略調(diào)整�����。
由此可見,雖然NGFW給防火墻帶來了前所未有的可視化體驗�����,但是對于策略變更的頻度和復(fù)雜度的提升也是空前的���。但是目前看來第一代的NGFW產(chǎn)品可能并不能在簡化操作上有更多作為�����。安全功能固然重要��,用戶的使用體驗也同樣重要����。在國內(nèi)中小企業(yè)甚至一些大型企業(yè)中���,IT運維人員的技術(shù)水平與國際水平將去甚遠,連國外安全專業(yè)人士都表示NGFW管理復(fù)雜�����,就很容易理解為何在國內(nèi)很多NGWF都被當(dāng)成WAF或者流控設(shè)備來使用了��。
防火墻開啟智能時代
既然要用一個盒子來幫助人來做決策,那么簡單的基于各種日志的數(shù)據(jù)挖掘就略顯乏力了���。這時就需要機器能夠像人一樣思考���,或者接近人對數(shù)據(jù)或事件看法,那么就需要引入深度學(xué)習(xí)和機器學(xué)習(xí)來幫助防火墻模擬人腦進行分析學(xué)習(xí)來解釋數(shù)據(jù)�����。因為人的認(rèn)知是有深度且層次化遞進的�����,要想讓防火墻做到智能��,那么就要讓機器也能夠有深度地學(xué)習(xí)���,這也是深度學(xué)習(xí)算法的原始動機���。但是另一個問題又來了,深度學(xué)習(xí)明確指出不充分的深度學(xué)習(xí)是有害的���,而憑借現(xiàn)有的硬件水平不足以在防火墻中做到足夠深度的學(xué)習(xí)���。但是隨著技術(shù)的發(fā)展�����,如果防火墻真能如此智能�����,那么所謂的DPI性能也就不是問題了吧��。
下一代的NGFW產(chǎn)品�,需要提升的不僅是安全水平�����,更多需要側(cè)重于用戶使用的便捷���。正所謂不破不立���,近期的一場產(chǎn)品發(fā)布會既證實了筆者對新產(chǎn)品誕生的假設(shè)�,又將筆者帶入了對于產(chǎn)品形態(tài)的反思。從個人角度來講����,筆者很高興見到終于有人可以打破常規(guī)�����,沖破慣例推出一款讓人眼前一亮的防火墻了���。INTELLIGENT NGFW( 智能的下一代防火墻),官方名稱下一代智能防火墻�����。山石將傳統(tǒng)的安全基線進一步簡化��,通過借鑒安全軟件的“評分”理念����,對網(wǎng)絡(luò)健康狀態(tài)和用戶信譽進行“評分”,再通過一系列的技術(shù)手段讓防火墻可以進行動態(tài)策略變更�,免去了管理員相當(dāng)一部分的工作量。
在兩套評分體系的背后�,都是依靠數(shù)據(jù)挖掘技術(shù)來支撐。通過對于大量系統(tǒng)日志���、安全日志���、會話信息��、抓包文件等信息進行收集�,在利用數(shù)據(jù)挖掘技術(shù)進行關(guān)聯(lián)分析��,對用戶行為��、應(yīng)用行為��、流量模式等等進行監(jiān)控和分析�����,將檢測異常的操作與應(yīng)用和流量優(yōu)化同時進行后���,呈現(xiàn)給用戶兩個簡單的分?jǐn)?shù)��,給用戶帶來更直觀的感受�����。在使用界面上�����,更是添加了全網(wǎng)的模擬拓?fù)鋱D�,可以通過不同節(jié)點上的顏色來直接判斷該節(jié)點的“健康”狀況�,即連通、阻塞還是斷開等等���。
雖然這次的產(chǎn)品被稱為智能防火墻�����,但按照科學(xué)定義的智能還需要再進化�����。誠然��,從功能手機到智能機的跨越有一個過程�,從傳統(tǒng)防火墻到智能防火墻的演進同樣需要時間�,畢竟其把控著網(wǎng)絡(luò)的連通。如果想讓智能防火墻幫助管理員簡化網(wǎng)絡(luò)管理和做精準(zhǔn)決策�����,甚至真正成為管理員的“大腦”,那么緊靠目前應(yīng)用到防火墻中的技術(shù)還不夠�。
