下一代防火墙 与 Web应用防火墙的分分合合

日期: 2013-07-11 来源:TechTarget中国

  下一代防火墙与WAF的分合之争

  网康WEB应用防火墙(WAF),于近日发布。这样一条普通的产品发布消息,在WEB安全日益火爆的今天,本来也算不上什么大事,最多就是国内WAF阵营中又添一员悍将。然而这次发布,却意外地在安全圈内引起了热烈探讨。探讨的主题就是——下一代防火墙和WAF究竟应该做成一款产品,还是两款产品。

  之所以会引起安全圈子的讨论,主要原因就在于网康科技本属于国内下一代防火墙的领导厂商,现在又推出了一款WAF产品,那么很显然,网康科技是属于支持这两款产品应该独立部署的。但是在国内发布的另一款下一代防火墙产品中,又把WAF的功能融入了其中,这就使得广大用户乃至安全业界都不得不思考一个问题,这两款产品究竟是该合还是该分?

  技术角度解读争论

  事实上这个争论从技术的角度来看并不复杂,下面将从三个方面展开讨论。

  首先从防护对象来说,NGFW的防护对象是网络中的外部应用,例如FACEBOOK、P2P下载等。而WAF的防护对象是网络内部的WEB服务器。也就是说这两款产品的保护对象是不一样的,防护的威胁种类,安全需求都是不一样的。从产品设计的角度看,针对不同问题最好采用不同的产品来独立完成,强行放在一起,反而会使得两方面都做不好。

  其次从部署位置来说,NGFW一般部署在整个网络的网关位置,而WAF部署在WEB服务器之前,二者的性能压力完全不一样。以一个高校网络为例,在总体1个G的带宽中,web访问的流量不超过20M。假如做成一款产品的话,就只能把WAF也部署在网关,这就会带来两种后果,要不然是WAF处理了太多非WEB访问流量,导致压力太大而处理不了,要么就是用户支付了不必要的成本,使得本来只需要处理几十兆流量的WAF必须处理1个G的流量。所以从这个角度看,这两款产品也不适合做在一起。

  另外从采用的技术上看,下一代防火墙采用的是包转发技术,而WAF采用的是代理技术。这是两种完全不同的技术手段,如果通过代理技术来做NGFW,将会极大地限制NGFW的吞吐能力,而如果采用包转发技术来做WAF,则会严重影响waf的安全防护能力。所以,从技术上看这两者也不适合放在一起。

  业界的主流选择

  那么除了网康科技之外,业界的其他产品实现又如何呢?

  我们首先把目光投向下一代防火墙的开山鼻祖PALOALTO,PALOALTO是全球第一台下一代防火墙的创造者。在PA的产品实现中,我们并没有发现WAF的设计。除了PA之外,Sonicwall、Checkpoint、梭子鱼等众多国外下一代防火墙厂商也都没有将WAF放在他们的NGFW产品中。看完了国外再看国内,今年堪称下一代防火墙的爆发之年,先后有绿盟、启明、山石等一大批安全厂商发布了下一代防火墙。无一例外,他们都没有将WAF放在他们的产品之中。

  那么既然大家都没有这么做,为什么市场上会存在着WAF与NGFW模糊不清的印象呢?关于这一点,下一代防火墙的定义者Gartner在最新发布的企业防火墙魔力象限报告(Magic Quadrant for Enterprise Network Firewalls)中就正式指出,导致这种混乱现象的原因主要有两个,一个是在技术术语上,不同产品之间确实有重合之处(Overlapping terminology);另一个方面则是由于厂商混淆视听的营销宣传( confusing marketing)所致。并且强调,下一代防火墙有其独特的产品价值,与WAF(web安全防护)等产品有着明显的区别,当消费者选型时需要着重留意。

  下一代防火墙与WAF的分合之争本无必要

  道理不讲不透,在从技术视角和产业视角分析过两者区别之后,广大用户就可以清晰地认清一个事实——这是两款截然不同的产品,应该也必须以独立的产品形态呈现。

  同样作为下一代安全领域中的领军产品,下一代防火墙和WEB应用防火墙完全可以分庭抗礼、各领风骚,他们有着不同的使命和不同的技术DNA。任何将这两款产品合二为一的做法其实都是缺乏合理性的,而且将会毁掉这两个伟大的产品。

  这场本来没有必要存在的争论,到今天可以停止了!

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐