【强叔侃墙第二季】02 神功大成出江湖,一战成名天下知

[复制链接]
发表于 : 2015-7-1 16:01:37 最新回复:2019-08-19 13:42:43
11927 14
强叔侃墙
强叔侃墙 官方号

NGFW的主要功能

Gartner正式定义NGFW到现在,6年了,NGFW的概念已经深入人心,你要是没有NGFW你都不好意思跟人家打招呼。但是Gartner在定义中只约束了NGFW的必备能力(归纳起来就是4各方面:集成传统防火墙、集成IPS、集成外部智能、应用感知和可视化),不同的安全厂商对NGFW的理解略有不同,并且产品化的路径通常是基于现有的产品来发展,这就使得不同厂商的NGFW功能各不相同。

同时,随着移动化、社交化、云和大数据的发展,ICT网络环境持续变化,NGFW要适应这些变化,需要更多的能力。在这个背景下,不同的安全厂商都在试图重新定义NGFW

华为对NGFW产品的功能,除了Gartner提到传统防火墙特性(状态检测、NATVPN等)、应用感知和应用控制、IPS,主要体现在以下几个方面。

 

l  全面的威胁防护。华为不仅实现了防火墙和IPS的深度集成,还将网关防病毒(AVAnti-Virus)、反垃圾邮件(ASAnti-Spam)、URL过滤、数据防泄露(DLP)等功能也集成到了NGFW中。在APT防御场景下,这些功能可以有效地帮助斩断Kill Chain――当然这都是后话了,我们留到第三季再讲,如果还有第三季的话。

 

l  多维度管控。传统状态检测防火墙主要是基于五元组来实现策略控制。华为NGFW除了支持基于应用的管控,还支持跟第三方认证服务器配合,实现基于用户的管控。并且,还可以根据位置信息和终端类型制定策略。这样,全方位立体化的管控策略就诞生了。我们来看一张表。

管控维度

支持的能力

举例

Who

用户/用户组

张三丰

When

时间段

Worktime

Where

安全区域

Trust

地区

武当山

地址/地址组

192.168.10.3

终端设备

Honor 6 Plus

What

服务/服务组

imap

应用/应用组

电驴

How

接入方式

无线802.1x

 

l  简化管理。管控能力的增强,同时也意味着管理复杂度的提高。华为创新的Smart Policy技术,让NGFW更加智能。安全管理员可以使用系统默认的基础模板,实现策略的快速部署;NGFW根据网络流量分析,给出安全策略的优化建议;此外,还可以识别冗余和失效的安全策略,帮助精简策略,简化管理。

 

l  提升网络体验。一方面,通过带宽管理功能,可以限制低价值流量,保证关键业务带宽,优先转发时延敏感流量;通过用户配额管理功能,可以限制用户每日/每月上网流量总额或者每日上网时长。另一方面,通过智能选路技术,不仅可以根据运营商地址库选路、智能DNS、透明DNS选择最合适的ISP出口,还可以根据链路质量、带宽、权重、优先级等属性选择最佳链路,实现负载均衡――而且,支持根据IPSec隧道质量选路。

NGFW vs UTM

熟悉UTM的同学都知道,在IDC的定义中,UTM也是在传统状态检测防火墙的基础上,集成了AVIPSAS等功能。既然都是用一台设备来提供IPSAV等多种安全功能,NGFWUTM有什么不同呢?

如前所述,应用感知和可视化是NGFW的核心诉求,而UTM通常是没有应用感知能力的。另外一个关键点是产品定位和性能的问题。Gartner认为NGFW是面向大中型企业的安全产品,而UTM面向的是SMB市场,仅适用于1000人以下的中小企业和分支机构――他们追求的是功能丰富和易用,而对性能要求不高。

UTM产品的表现来看,很多产品启用IPSAV之后性能下降非常严重,有些甚至低至启用之前的20%。性能上不去,功能再丰富也是白搭。IDC在定义UTM的时候,也是很隐晦地说,UTM需要在一个盒子中集成这个那个功能,但是并不一定全部启用。至于NGFW,启用IPSAV后性能下降不能超过50%

NGFW怎么做到的呢?引擎和检测方式是两个关键点。

先说引擎。UTM是把以前多个盒子的功能,放在了一个盒子里面。物理上,盒子少了;但是逻辑上仍然是全串行处理,一个盒子里面还是多个盒子的处理流程,每一个安全检测都由一个单独的引擎来处理,每一个报文流都要经过多次检测,每一次检测都必然增加了网络延迟。

华为为NGFW产品全新研发了高性能的智能感知引擎(Intelligent Awareness Engine ,简称IAE),实现一体化检测,一体化处理。对于上送的流量,IAE引擎首先识别出准确的协议和应用,然后由对应的协议解码模块深度解码,并把解码以后的字段和内容分类检测。不同类型的内容,检测项也不尽相同,但是多种检测是并行的,速度更快。

【强叔侃墙第二季】02 神功大成出江湖,一战成名天下知-1337921-1
 

当然,NGFW性能的提升离不开硬件平台的支持。IAE引擎内置了硬件卸载的能力,将占用大量CPU计算资源的操作,提交给华为独有的硬件平台来处理,减轻CPU负担,提升这些操作的性能。

 

再说检测方式。很多UTM产品的文件检测仍然是基于文件的,比如病毒检查,设备要先接收并缓存文档,再扫描。这种方式很大程度上是沿用了PC机上的处理机制,并不适用于防火墙这样的网关产品。缓存需要耗内存,并带来延迟。同时因为难以缓存大文件,只能放过,大文件的安全检测是一个无法弥补的安全漏洞。

华为NGFW产品采用了基于流的文件处理机制,能够接收文件片段并执行安全检测。前面说过,IAE引擎的安全检测是并行的,这样,文件传输时延小,整体性能更高,用户体验也比较好。

【强叔侃墙第二季】02 神功大成出江湖,一战成名天下知-1337921-2

 

对于很多UTM产品来说,当网络流量超过防火墙处理能力时,文件流检测可能就被放过了,也就是内容安全检测被bypass了。要性能,就得承担风险。要安全,性能就会下降。企业管理员要在安全与性能之间去平衡。有些企业购买UTM后并没能够启用其中的很多功能,就是因为无法忍受性能的下降。

防火墙的性能下降影响时延敏感业务和协同类应用的客户感知,进而影响企业的服务水平和生产力。现在,大型企业对安全和性能的需求是同等重要的。企业不能容忍传统防火墙安全能力的落后,也无法忍受NGFW性能低下成为网络瓶颈。NGFW的使命,就是弥补传统防火墙在应用感知等方面的不足,并提供足够的性能。

 

 

 

返回至汇总贴

 

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
zytilove
zytilove   发表于 2015-7-28 15:16:19 已赞(0) 赞(0)

从UTM产品的表现来看,很多产品启用IPS和AV之后性能下降非常严重,有些甚至低至启用之前的20%。性能上不去,功能再丰富也是白搭。IDC在定义UTM的时候,也是很隐晦地说,UTM需要在一个盒子中集成这个那个功能,但是并不一定全部启用。至于NGFW,启用IPS和AV后性能下降不能超过50%。


这部分内容不太明确啊,为什么UTM低至20%不能接受,但是NGFW不能超过50%都算合理?

是不是应该结合UTM和NGFW各自的性能说一下?为什么NGFW不超过50%都算合理?即使性能下架50%仍然比UTM性能强劲?

  • x
  • 常规:

点评 回复

xiebinsx
xiebinsx   发表于 2015-8-11 16:36:33 已赞(0) 赞(0)

回复 5 楼

一个是“降至20%”,也就是损失80%的性能;一个是“不超过50%”,性能仍然能达到50%以上。
  • x
  • 常规:

点评 回复

zytilove
zytilove   发表于 2015-8-11 16:44:34 已赞(0) 赞(0)

回复 6 楼

噢噢噢噢。。。

看成降低20%了。。

多谢
  • x
  • 常规:

点评 回复

transflew
transflew   发表于 2015-7-1 16:21:25 已赞(0) 赞(0)

 写的很好,支持

  • x
  • 常规:

点评 回复

Demon.Huang
Demon.Huang  导师 发表于 2015-7-2 11:49:30 已赞(0) 赞(0)

各种支持、写的非常好!
  • x
  • 常规:

点评 回复

bjxiaofeng
bjxiaofeng   发表于 2015-7-2 23:23:05 已赞(0) 赞(0)

UTM发展十几年了,技术上已经非常成熟了,一般的中小型企业的企业网,UTM来应付绰绰有余!NGFW的客户群如果是针对对性能要求更高的行业大客户的话,那么这个市场空间非常的小,大企业毕竟是少数。
  • x
  • 常规:

点评 回复

黄诗海
黄诗海   发表于 2016-4-11 16:01:58 已赞(0) 赞(0)

其实一直有个问题,这里说的也挺“隐晦”:华为NGFW产品采用了基于流的文件处理机制,能够接收文件片段并执行安全检测。前面说过,IAE引擎的安全检测是并行的,这样,文件传输时延小,整体性能更高,用户体验也比较好。

不是能理解基于流的文件处理机制是怎么做到像缓存整个文件一样的进行全部检查的?

能着重介绍一下吗?

  • x
  • 常规:

点评 回复

li yue
li yue   发表于 2016-4-11 17:04:38 已赞(0) 赞(0)

学习了,谢谢

  • x
  • 常规:

点评 回复

技术强者
技术强者   发表于 2016-4-11 21:41:08 已赞(0) 赞(0)

学习了,非常好
  • x
  • 常规:

点评 回复

12
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录