Gartner在《2013 企業(yè)防火墻魔術(shù)象限》中對(duì)NGFW的市場(chǎng)發(fā)展做出預(yù)測(cè):到2014年底,將有35%的企業(yè)采用NGFW,其中新采購項(xiàng)目將有60%采用下一代防火墻。同時(shí),在華為的一項(xiàng)對(duì)2013年的全球安全網(wǎng)關(guān)項(xiàng)目信息進(jìn)行的統(tǒng)計(jì)顯示,93%的項(xiàng)目招標(biāo)要求中對(duì)訪問控制、應(yīng)用識(shí)別、IPS、AV等功能提出了要求。華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線 NGFW營銷經(jīng)理任平認(rèn)為,“用戶對(duì)應(yīng)用層管控能力和應(yīng)用層防護(hù)性能要求的越來越高,這是市場(chǎng)對(duì)NGFW需求的一個(gè)強(qiáng)烈信號(hào)。”
▲華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線 NGFW營銷經(jīng)理任平
從市場(chǎng)來看,無論是國內(nèi)還是海外,幾乎所有的傳統(tǒng)FW和UTM廠商紛紛向NGFW轉(zhuǎn)型,爭(zhēng)相推出NGFW產(chǎn)品。更重要的是,用戶對(duì)NGFW概念的認(rèn)可度也越來越高。這一切都在說明,無論在產(chǎn)品能力還是市場(chǎng)需求上,各類安全網(wǎng)關(guān)正在向NGFW靠攏,NGFW將成為未來承載用戶諸多邊界防護(hù)需求的最佳產(chǎn)品形態(tài)。
任平表示,用戶對(duì)NGFW最根本的訴求是精細(xì)的管控能力,足以支撐企業(yè)在ICT發(fā)展趨勢(shì)和威脅發(fā)展變化下的網(wǎng)絡(luò)邊界防護(hù)需求。其次,高性能的防護(hù)和簡(jiǎn)單的管理也是用戶最為關(guān)注的,畢竟NGFW的部署不能給業(yè)務(wù)的使用和管理帶來額外的負(fù)擔(dān)。
一款優(yōu)秀的NGFW至少應(yīng)包括三個(gè)方面的功能,一是精細(xì)化的管控能力,必須不斷適配對(duì)移動(dòng)環(huán)境、應(yīng)用環(huán)境和威脅環(huán)境的不斷變化,通過感知能力構(gòu)建業(yè)務(wù)模型,提供多維度的控制手段,如應(yīng)用、用戶、內(nèi)容、位置、威脅等,同時(shí)對(duì)應(yīng)用的識(shí)別種類越多,越細(xì)致越好。二是應(yīng)用層高性能,即在FW+應(yīng)用識(shí)別7層流量的基礎(chǔ)上,開啟全威脅防護(hù)后的性能表現(xiàn),這個(gè)表現(xiàn)必須要有量化指標(biāo),性能衰減的越小越好。第三是用戶體驗(yàn),這個(gè)體驗(yàn)最直接的反應(yīng)就是管理能力,越簡(jiǎn)單的管理越好,最好是能基于用戶業(yè)務(wù)環(huán)境的流量分析,提供自動(dòng)化的策略管理,并可不斷優(yōu)化調(diào)整。
在新的ICT環(huán)境和威脅發(fā)展趨勢(shì)下,NGFW不斷適配網(wǎng)絡(luò)環(huán)境,保障企業(yè)在信息化基礎(chǔ)設(shè)施變遷過程中網(wǎng)絡(luò)安全,這是以往產(chǎn)品無法做到的。NGFW實(shí)現(xiàn)了管理方式的改變,通過環(huán)境感知,讓企業(yè)傳統(tǒng)基于網(wǎng)絡(luò)的管控轉(zhuǎn)變?yōu)榛跇I(yè)務(wù)環(huán)境的管控,并且更準(zhǔn)確,更智能,更簡(jiǎn)單,有效降低管理成本。同時(shí),使得企業(yè)IT應(yīng)用層性能大幅提升,可以滿足不同規(guī)模企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)中心邊界的全威脅防護(hù)能力,提供全面的應(yīng)用層安全。
目前,企業(yè)基于NGFW的選型也趨于成熟,不再輕信NGFW概念的宣傳,而對(duì)NGFW各個(gè)方面的功能和性能提出了具體的要求。首先性能方面NGFW的性能基礎(chǔ)是“FW+應(yīng)用識(shí)別”的7層性能,因此要用應(yīng)用層吞吐率替代傳統(tǒng)防火墻和UTM的網(wǎng)絡(luò)層吞吐率進(jìn)行靠,安全性能則需要在應(yīng)用層基礎(chǔ)上開啟所有威脅防護(hù)能力,性能下降越小越好;其次是管控能力考察,支持管控的維度越多越好,應(yīng)用識(shí)別的數(shù)量越多約精細(xì)越好。三是對(duì)管理能力考察,具備基于業(yè)務(wù)環(huán)境的自動(dòng)化管理手段,并不斷優(yōu)化來降低管理成本。
NGFW未來發(fā)展趨勢(shì)
伴隨ICT環(huán)境與威脅的不斷發(fā)展,未來的NGFW發(fā)展必然繼續(xù)圍繞面向業(yè)務(wù)內(nèi)容進(jìn)行入侵攻擊的防御、面向數(shù)據(jù)內(nèi)容的管控,同時(shí)仍然對(duì)于設(shè)備的可用性有很高的要求,包括性能和管理。
1、首先,未來的入侵攻擊竊取性、躲避性、目的性會(huì)越發(fā)明顯,傳統(tǒng)的IPS方式可能會(huì)抵御不足,對(duì)于文件惡意代碼的分析和行為的組合分析會(huì)成為未來每個(gè)企業(yè)客戶網(wǎng)安建設(shè)的必備工具,NGFW將是成就客戶這一愿望的最重要產(chǎn)品。
2、BYOD趨勢(shì)使得企業(yè)對(duì)于IT的管控越來越復(fù)雜,而未來NGFW感知移動(dòng)終端設(shè)備ID和操作系統(tǒng)的管控方式會(huì)是基本要求。
3、對(duì)加密數(shù)據(jù),隱藏?cái)?shù)據(jù)的感知和管控也會(huì)是重要應(yīng)用。
4、NGFW性能將進(jìn)一步大幅提升,會(huì)以滿足大型數(shù)據(jù)中心、運(yùn)營商網(wǎng)絡(luò)環(huán)境性能要求,具備百G級(jí)別的應(yīng)用層威脅防護(hù)為目標(biāo)。
5、NGFW面臨的威脅會(huì)越來越復(fù)雜,但NGFW不會(huì)越來越難用,用戶體驗(yàn)將是未來NGFW的重頭戲,自動(dòng)化管理會(huì)進(jìn)一步細(xì)化,提高準(zhǔn)確的和及時(shí)性,同時(shí)設(shè)備、管理中心將與用戶的IT管理系統(tǒng)深度融合,通過管理系統(tǒng),直接提供面向業(yè)務(wù)的管理機(jī)制。