近日發(fā)布的“第二代防火墻標(biāo)準(zhǔn)”引起了網(wǎng)絡(luò)安全市場上的一些爭議。相比市場上通常提及的下一代防火墻,第二代防火墻究竟是什么?第二代防火墻標(biāo)準(zhǔn)又是一個什么樣的標(biāo)準(zhǔn)?
一個標(biāo)準(zhǔn)在信息安全市場上引起了爭議。這個標(biāo)準(zhǔn)就是“第二代防火墻標(biāo)準(zhǔn)”。
“一個客戶問我們,現(xiàn)在已經(jīng)有了第二代防火墻,你們的產(chǎn)品怎么還是下一代防火墻?”一家國內(nèi)網(wǎng)絡(luò)安全廠商的下一代防火墻產(chǎn)品經(jīng)理告訴記者。
究竟什么是第二代防火墻?它和下一代防火墻有什么關(guān)系?“第二代防火墻”這樣的名稱是否真的給用戶造成了困擾呢?
名稱之困
眾所周知,無論國內(nèi)外,如今很多安全廠商都在進(jìn)行下一代防火墻產(chǎn)品的研發(fā)和推廣,發(fā)布了很多下一代防火墻產(chǎn)品。
在這些廠商看來,由于安全威脅的復(fù)雜化,以及向應(yīng)用層轉(zhuǎn)移,傳統(tǒng)的僅對網(wǎng)絡(luò)層進(jìn)行過濾和控制的防火墻已經(jīng)不能滿足當(dāng)前企業(yè)的網(wǎng)絡(luò)安全防護(hù)需求,所以引入了下一代防火墻概念。
最早提出下一代防火墻概念的是Gartner。早在2009年,Gartner就提出了下一代防火墻(Next Generation Firewall,NGFW)的概念,它指出下一代防火墻必須有標(biāo)準(zhǔn)的防火墻功能,如網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測、VPN等,以及企業(yè)所需要的IPS、防病毒、行為管理等功能。
也就是說,Gartner認(rèn)為,下一代防火墻是防火墻(Firewall,F(xiàn)W)的延伸。它首先要具備防火墻的功能,同時又在防火墻的基礎(chǔ)上,加入了IPS、行為管理等高級功能,來滿足企業(yè)新的安全防護(hù)需要。
那么,在“第二代防火墻標(biāo)準(zhǔn)”中的第二代防火墻又是什么呢?事實上,在該標(biāo)準(zhǔn)中明確指出了,其所指“第二代防火墻”就是市場上的下一代防火墻。
然而,根據(jù)網(wǎng)絡(luò)安全領(lǐng)域公認(rèn)的說法,防火墻(FW)的發(fā)展早已不止兩代。被公認(rèn)的第一代防火墻幾乎與路由器同期出現(xiàn),采用了包過濾技術(shù)。而早在1989年,貝爾實驗室就推出了第二代防火墻,即電路層防火墻?;趧討B(tài)包過濾技術(shù)的防火墻被稱為第四代防火墻,1994年,CheckPoint根據(jù)該技術(shù)率先開發(fā)出商業(yè)化產(chǎn)品,成為當(dāng)時防火墻領(lǐng)域的領(lǐng)跑者。歷經(jīng)演進(jìn),有人認(rèn)為,當(dāng)前的防火墻應(yīng)該算作第七代防火墻。
所以,將當(dāng)前的下一代防火墻改稱為“第二代防火墻”,確實存在爭議。這樣的做法,有可能對某些不明就里的用戶產(chǎn)生誤導(dǎo)。
有業(yè)內(nèi)人士認(rèn)為,命名上的失誤其實是個嚴(yán)重的問題,一個標(biāo)準(zhǔn)的命名猶如大樹的根基。如果根基存在問題,那么這棵樹的樹干、樹枝等細(xì)節(jié)就沒有討論的必要了。
當(dāng)然,標(biāo)準(zhǔn)應(yīng)該科學(xué)嚴(yán)謹(jǐn),使人信服。記者猜想,標(biāo)準(zhǔn)制定者之所以用“第二代防火墻”來指代下一代防火墻,可能出于“下一代”這樣的名詞不夠嚴(yán)謹(jǐn)?shù)目紤]。
然而,一些業(yè)內(nèi)人士認(rèn)為,一方面,下一代防火墻歷經(jīng)多年的發(fā)展,已經(jīng)成為了市場上的一個成熟的產(chǎn)品概念,得到了廠商和用戶的認(rèn)可;另一方面,之所以稱為“下一代”,是源自國外的直譯,國外的防火墻(FW)和下一代防火墻(NGFW)是兩種概念和產(chǎn)品形態(tài),根本就不是所謂第一代與第二代的對應(yīng)關(guān)系。
樂觀地看,命名之爭似乎也無傷大雅。既然標(biāo)準(zhǔn)已經(jīng)出臺,業(yè)內(nèi)人士和用戶只要在心中默默將這個“第二代防火墻”與市場上的下一代防火墻劃上等號即可。然而,從一個標(biāo)準(zhǔn)的命名上就折射出問題,也可能說明這個標(biāo)準(zhǔn)的制定過程存在或多或少的問題。
多少人參與其中?
2月份該標(biāo)準(zhǔn)發(fā)布會給人的感覺是,參與標(biāo)準(zhǔn)制定的只有少數(shù)幾個單位。通常,這種技術(shù)類標(biāo)準(zhǔn)的制定有業(yè)內(nèi)廠商參與很正常。問題在于,當(dāng)前下一代防火墻市場頗為火爆,參與其中的廠商眾多,幾家廠商是否能夠代表主流的行業(yè)情況?在標(biāo)準(zhǔn)的制定過程中,是否還有其他廠商參與?參與的情況如何?
資料顯示,該標(biāo)準(zhǔn)的編制早在2012年12月就已經(jīng)開始,編制過程歷經(jīng)近兩年,經(jīng)過了6輪修改和討論。然而當(dāng)記者希望就該標(biāo)準(zhǔn)編制過程詢問國內(nèi)其他下一代防火墻廠商時,有的避而不談,有的只是簡單表示標(biāo)準(zhǔn)制定的前期也參與其中,并且其產(chǎn)品完全符合該標(biāo)準(zhǔn)。還有一家企業(yè)在要求隱去名字的情況下,向記者吐露了心聲:“我們感覺,自己在這個標(biāo)準(zhǔn)制定的過程中的參與感不強(qiáng)。”
該企業(yè)相關(guān)負(fù)責(zé)人向記者坦言,在該標(biāo)準(zhǔn)發(fā)布之前,他們也參與其中,但是感覺能夠參與的不多。“很多東西都是已經(jīng)定好的,沒有商量的余地。針對標(biāo)準(zhǔn)中的一些問題,我們也進(jìn)行了正式的書面反饋,提出了修改意見。雖然有些地方也進(jìn)行了修改,但是我們感覺并沒有達(dá)到我們的預(yù)期,和目前市場上的真實情況還存在距離。”這位負(fù)責(zé)人說。
“例如標(biāo)準(zhǔn)中對于Web攻擊防護(hù)方面的表述就值得商榷。無論是國外還是國內(nèi)市場,絕大多數(shù)安全廠商都把下一代防火墻和Web應(yīng)用防火墻(Web Application Firewall,WAF)視為兩款不同的產(chǎn)品,只有極少數(shù)廠商將這兩者整合在一起。而在這個關(guān)于下一代防火墻的標(biāo)準(zhǔn)中,提及了很多Web攻擊防護(hù)方面的內(nèi)容。在我們看到的草稿中,有七條關(guān)于Web攻擊防護(hù)的指標(biāo),在最終版中縮減成了三條。”這位負(fù)責(zé)人補(bǔ)充說,“如果是七條的話,可能國內(nèi)只有極少數(shù)產(chǎn)品能夠符合標(biāo)準(zhǔn),而且它根本不符合當(dāng)前國內(nèi)外市場上主流產(chǎn)品的情況。”
標(biāo)準(zhǔn)制定的學(xué)問
通常情況下,一個技術(shù)標(biāo)準(zhǔn)的制定存在兩方面的價值。一方面,標(biāo)準(zhǔn)可以作為先進(jìn)的行業(yè)標(biāo)桿,引導(dǎo)行業(yè)內(nèi)的企業(yè)向標(biāo)準(zhǔn)的方向前進(jìn);另一方面,標(biāo)準(zhǔn)可以作為準(zhǔn)入門檻,將落后的、被市場邊緣化的產(chǎn)品擋在門外,幫助用戶選擇合適的產(chǎn)品。無論體現(xiàn)哪方面的價值,標(biāo)準(zhǔn)都應(yīng)該對產(chǎn)業(yè)發(fā)展起到促進(jìn)作用,帶動這個行業(yè)更快、更健康地發(fā)展。當(dāng)然,“第二代防火墻標(biāo)準(zhǔn)”的制定同樣出于這樣的初衷。
放眼如今的網(wǎng)絡(luò)安全市場,幾乎所有的防火墻(FW)廠商都推出了自己的下一代防火墻產(chǎn)品,而其他一些非傳統(tǒng)的網(wǎng)絡(luò)安全廠商,也紛紛推出下一代防火墻產(chǎn)品。同時,各個廠商對下一代防火墻產(chǎn)品的認(rèn)知也有所不同,并且按照自己的認(rèn)知和理解去研發(fā)產(chǎn)品,并推向市場。當(dāng)前市場上甚至存在同樣叫做下一代防火墻產(chǎn)品,但不同廠商之間的產(chǎn)品功能差異巨大的問題。
不可否認(rèn)的是,在這樣的背景下,“第二代防火墻標(biāo)準(zhǔn)”對行業(yè)的規(guī)范產(chǎn)生了積極作用。該標(biāo)準(zhǔn)指出了“第二代防火墻”除應(yīng)具備傳統(tǒng)防火墻的功能外,還應(yīng)具備應(yīng)用層訪問控制、融合多項安全功能、深度內(nèi)容檢測、高性能等特征,并且強(qiáng)調(diào)了一體化引擎、多功能開啟后性能不能大幅下降等指標(biāo),對下一代防火墻產(chǎn)品的規(guī)范具有一定的意義。
然而,標(biāo)準(zhǔn)制定確實是一門學(xué)問。如何引導(dǎo)行業(yè)的發(fā)展,如何將門檻設(shè)置得既不太高(把大部分產(chǎn)品排斥在外,不能兼顧各方的共同利益),也不太低(門檻形同虛設(shè),起不到鼓勵創(chuàng)新、淘汰落后的作用),讓標(biāo)準(zhǔn)發(fā)揮最大的價值和作用,本身就需要標(biāo)準(zhǔn)制定者具備相當(dāng)?shù)闹腔酆湍芰Α?/p>
當(dāng)然,標(biāo)準(zhǔn)起草單位只有進(jìn)行更加廣泛的調(diào)研,充分了解市場的真實情況,并將這種情況反映在標(biāo)準(zhǔn)中,讓標(biāo)準(zhǔn)符合大多數(shù)相關(guān)方的利益,才能不顧此失彼,讓標(biāo)準(zhǔn)真正起到其應(yīng)該具有的作用?;氐较乱淮阑饓?biāo)準(zhǔn)的問題上,在當(dāng)前國家對網(wǎng)絡(luò)安全高度重視的背景下,也有業(yè)內(nèi)人士認(rèn)為,應(yīng)該制定包括下一代防火墻在內(nèi)的一系列國家標(biāo)準(zhǔn),為國家和企業(yè)的信息化保駕護(hù)航,也為進(jìn)一步促進(jìn)和規(guī)范網(wǎng)絡(luò)安全市場的發(fā)展。