安全硬件：次世代防火墙具备六功能

随着虚拟化和云端的大趋势开始起跑，其实次世代防火墙也必须要有能力支援未来这样的新架构。Juniper香港／台湾区技术总监游源滨表示，这代表NGFW在硬件功能上必须要能够有些新的变化，比如说每秒用户连线能力、横向扩充能力、虚拟化架构的防护、硬件资源的分配等，都会是云端运算架构中需要面对的问题。

他接着指出，NGFW必须要有能力承受更高的每秒用户连线能力，而不光只是支援更高的同时在线人数。游源滨说：“光有很高的同时在线人数，就像你虽然有一个大水池，可是却只能让水慢慢的流进去，否则水池就会垮掉。”而在云端架构的基础下，企业根本没有办法限制用户的连线数。

除此之外，虚拟化的防护，也会是NGFW需要面对的重点问题，如何让防火墙能够与虚拟层沟通，进而能够针对每一台虚拟机器的流量做扫描与阻挡，而不会将之视为单一的实件服务器，这会是NGFW必须拥有的能力。事实上，现在虚拟化平台厂商如VMware，就有VMsafe这样的合作计划，让资讯安全设备能够透过与虚拟层的沟通，做到前述的能力。

其他诸如横向扩充与硬件资源灵活分配的能力，我们已经在功能2谈过，就现在来看，NGFW在这一块技术的发展，将会以自身设备的虚拟化来达成。设备的虚拟化，将让NGFW的硬件资源，能够依照不同功能负载量的状况动态分配，这也能够满足云端的需求，例如防火墙需要更多的硬件资源，就分更多给这项功能；QoS需要更多的硬件资源，就分享更多的资源给它。这和传统模组各自独立，硬件资源无法共用的状况完全不同，也会是NGFW的一个重要特色。

目前像是Juniper SRX的作法，就是以单台虚拟为多台，让设备的硬件资源能够灵活分配的作法，减少管理难度与扩充的问题。而据了解，未来Fortinet很有可能推出的作法，则将会是以多台设备虚拟为一台的方式，来达到类似的效果，降低横向扩充的难度。

Fortinet台湾区技术顾问刘乙认为，支援云端架构，将会是NGFW的一个重要功能特色。而只有更灵活与更弹性的设计，搭配设备本身虚拟化的技术，才有可能达成这一点。事实上，思科的ISR G2，虽然主要还是以路由器为主要功能，但根据台湾思科业务开发经理张志渊的说法，未来也会提供原本Iron Port的许多功能，强化其安全上的能力。而其新设计的硬件模组概念，就是要符合NGFW更灵活与更弹性架构的想法。

功能5：能与不同装置共同联防

谈到安全设备间的联防，很多人的直觉是想到类似NAC的架构，甚至在贩售产品的经销商，都有人有这种想法，然后因为NAC不容易实现，赚不了钱，所以避而不谈区域联防这种概念。不过事实上，这是以偏概全的想法，区域联防并不是这么一回事。

NAC只是安全设备联防的一种形式而已，而NGFW概念中的区域联防，则又是另一种形式的想法。我们甚至可以这么说，NGFW必须要具备与其他安全设备沟通的能力，这才是未来发展合理的走向。在现在的网络架构上，就算你拥有一台宛如超级英雄般的无敌安全设备，也不能确保企业的网络架构能够安全无虞，因为不可能所有的流量，都流经单台设备。

在这样的状况下，NGFW势必必须拥有与其他设备的联防的能力，举例来说，若能与其他设备，或自己设备中的网站过滤功能沟通，那么当使用者连结上到含有恶意连结的网站，或者是违反企业安全政策的网站时，NGFW就能扮演阻断流量的角色，把威胁的可能性在发生前就截断，防患于未然。

其他诸如IDP等功能，如果能与NGFW互通，也同样能够发挥类似的效果。目前来看，市面上有能力做到这样联防的设备还不多，多数还以拥有众多产品线的大型公司为主，如Juniper。而NGFW也能透过与其他设备的互通，做到部份NAC的功能。如与和身分辨识的AD架构、RADIUS等设备沟通，取得使用者身分的资讯，然后辅以应用辨识的能力，将不合企业内安全政策与可能的恶意威胁流量阻断，并且能够快速的辨识出使用者位在何方。

总而言之，在威胁日益增多的现在，过去单一设备铜墙铁壁的想法已经行不通了，也因此我们在思考NGFW这样的概念时，不能落入这样的陷阱。这也是为什么与其他设备联防，会被视作NGFW重要能力的原因。

功能6：整合更多强化的功能

前面的几个必备功能，我们比较着重在整件架构面的观察。而NGFW其实还有一个能力不能不提，那就是必需整合更多强化的功能。

过去UTM这样类型的安全设备，由于硬件技术的不足，当功能全开的时候，往往会有效能大幅降低的状况发生。不过随着硬件技术的发展，处理器现在运算能力甚至不会比不可程序化的ASIC差到哪里去，这也使得单一安全设备整合多功能的可行性越来越高。而NGFW也因此可以预见，未来一定能够整合更多传统防火墙所没有的功能。

我们拿安全训练与研究机构SANS（SysAdmin、Audit、Network、Security）协会，所定义的NGFW来看，就会发现NGFW除了该具备传统防火墙功能外，还必须要能提供包括基础DLP、NAC（Network Access Control）、IDP、防蠕虫、防中介软件、网站过滤、VPN、SSL Proxy、QoS等功能。

不但拥有更多功能，NGFW的功能也还要更为深入，例如NGFW的IDP功能，应该要能够透过不同技术辨识流量，如Header-based、Pattern matching、Protocol-based、Heuristic-based、Anomaly-based等。并且有能力提供客制化的过滤器。而在防蠕虫的功能上，则必须做到减轻试图直接瘫痪攻击的影响程度，以及不让蠕虫的扩散。并且要有能力针对电子邮件去设定阻挡政策。此外，还必须要拥有部份路由和交换等功能，QoS能力也应该要具备，并且要能够和辨识不同应用程序流量的功能结合，针对不同的流量做出不同管理。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友