在网络安全产品界,随着技术发展的日新月异,产品功能也日渐强大。而技术的发展也带来产品的不断融合。在这一过程中,下一代防火墙与Web应用防火墙(WAF)的分合之争也在业界引起了广泛讨论。有人认为,这是两款独立部署的产品,而同时,业内也有厂商推出了融合WAF功能的下一代防火墙产品。二者究竟应该是分是合呢?
有关安全专家认为,从技术的角度来看,这个问题并不复杂。
首先从防护对象来说,NGFW的防护对象是网络中的外部应用,例如FACEBOOK、P2P下载等。而WAF的防护对象是网络内部的WEB服务器。也就是说这两款产品的保护对象、防护的威胁种类、安全需求都是不一样的。
而从产品设计的角度看,针对不同问题最好采用不同的产品来独立完成,强行放在一起,反而会使得两方面都做不好。
其次,从部署位置来说,NGFW一般部署在整个网络的网关位置,而WAF部署在WEB服务器之前,二者的性能压力完全不一样。
以一个高校网络为例,在总体1个G的带宽中,web访问的流量不超过20M。假如将二者做成一款产品的话,就只能把WAF也部署在网关,这就会带来两种后果:要么是WAF处理了太多非WEB访问流量,导致压力太大而处理不了;要么就是用户支付了不必要的成本,使得本来只需要处理几十兆流量的WAF必须处理1个G的流量。所以,从这个角度看,这两款产品也不适合做在一起。
另外从采用的技术上看,下一代防火墙采用的是包转发技术,而WAF采用的是代理技术。这是两种完全不同的技术手段,如果通过代理技术来做NGFW,将会极大地限制NGFW的吞吐能力。而如果采用包转发技术来做WAF,则会严重影响waf的安全防护能力。所以,从技术上看这两者也不适合放在一起。
那么业界厂商的各个产品情况又是如何呢?
下一代防火墙的开山鼻祖PALOALTO是全球第一台下一代防火墙的创造者。在PA的产品实现中,我们并没有发现WAF的设计。
除了PA之外,Sonicwall、Checkpoint、梭子鱼等众多国外下一代防火墙厂商也都没有将WAF放在他们的NGFW产品中。
而在国内,今年堪称下一代防火墙的爆发之年,先后有绿盟、启明、山石等一大批安全厂商发布了下一代防火墙。但无一例外,他们都没有将WAF放在他们的产品之中。
既然众多厂商都没有将NGFW与WAF合为一体,为何市场上仍会存在着WAF与NGFW的分合之争呢?
关于这一点,下一代防火墙的定义者Gartner在最新发布的企业防火墙魔力象限报告(Magic Quadrant for Enterprise Network Firewalls)中就正式指出,导致这种混乱现象的原因主要有两个:
一个是在技术术语上,不同产品之间确实有重合之处(Overlapping terminology);另一个方面则是由于厂商混淆视听的营销宣传( confusing marketing)所致。
Gartner同时强调,下一代防火墙有其独特的产品价值,与WA等产品有着明显的区别,企业在选型时需要着重留意。