下一代防火墙 与 Web应用防火墙的分分合合
2018-06-11 来源:
下一代防火墙与WAF的分合之争
网康WEB应用防火墙(WAF),于近日发布。这样一条普通的产品发布消息,在WEB安全日益火爆的今天,本来也算不上什么大事,最多就是国内WAF阵营中又添一员悍将。然而这次发布,却意外地在安全圈内引起了热烈探讨。探讨的主题就是——下一代防火墙和WAF究竟应该做成一款产品,还是两款产品。
之所以会引起安全圈子的讨论,主要原因就在于网康科技本属于国内下一代防火墙的领导厂商,现在又推出了一款WAF产品,那么很显然,网康科技是属于支持这两款产品应该独立部署的。但是在国内发布的另一款下一代防火墙产品中,又把WAF的功能融入了其中,这就使得广大用户乃至安全业界都不得不思考一个问题,这两款产品究竟是该合还是该分?
技术角度解读争论
事实上这个争论从技术的角度来看并不复杂,下面将从三个方面展开讨论。
首先从防护对象来说,NGFW的防护对象是网络中的外部应用,例如FACEBOOK、P2P下载等。而WAF的防护对象是网络内部的WEB服务器。也就是说这两款产品的保护对象是不一样的,防护的威胁种类,安全需求都是不一样的。从产品设计的角度看,针对不同问题最好采用不同的产品来独立完成,强行放在一起,反而会使得两方面都做不好。
其次从部署位置来说,NGFW一般部署在整个网络的网关位置,而WAF部署在WEB服务器之前,二者的性能压力完全不一样。以一个高校网络为例,在总体1个G的带宽中,web访问的流量不超过20M。假如做成一款产品的话,就只能把WAF也部署在网关,这就会带来两种后果,要不然是WAF处理了太多非WEB访问流量,导致压力太大而处理不了,要么就是用户支付了不必要的成本,使得本来只需要处理几十兆流量的WAF必须处理1个G的流量。所以从这个角度看,这两款产品也不适合做在一起。
另外从采用的技术上看,下一代防火墙采用的是包转发技术,而WAF采用的是代理技术。这是两种完全不同的技术手段,如果通过代理技术来做NGFW,将会极大地限制NGFW的吞吐能力,而如果采用包转发技术来做WAF,则会严重影响waf的安全防护能力。所以,从技术上看这两者也不适合放在一起。
业界的主流选择
那么除了网康科技之外,业界的其他产品实现又如何呢?
我们首先把目光投向下一代防火墙的开山鼻祖PALOALTO,PALOALTO是全球第一台下一代防火墙的创造者。在PA的产品实现中,我们并没有发现WAF的设计。除了PA之外,Sonicwall、Checkpoint、梭子鱼等众多国外下一代防火墙厂商也都没有将WAF放在他们的NGFW产品中。看完了国外再看国内,今年堪称下一代防火墙的爆发之年,先后有绿盟、启明、山石等一大批安全厂商发布了下一代防火墙。无一例外,他们都没有将WAF放在他们的产品之中。
那么既然大家都没有这么做,为什么市场上会存在着WAF与NGFW模糊不清的印象呢?关于这一点,下一代防火墙的定义者Gartner在最新发布的企业防火墙魔力象限报告(Magic Quadrant for Enterprise Network Firewalls)中就正式指出,导致这种混乱现象的原因主要有两个,一个是在技术术语上,不同产品之间确实有重合之处(Overlapping terminology);另一个方面则是由于厂商混淆视听的营销宣传( confusing marketing)所致。并且强调,下一代防火墙有其独特的产品价值,与WAF(web安全防护)等产品有着明显的区别,当消费者选型时需要着重留意。
下一代防火墙与WAF的分合之争本无必要
道理不讲不透,在从技术视角和产业视角分析过两者区别之后,广大用户就可以清晰地认清一个事实——这是两款截然不同的产品,应该也必须以独立的产品形态呈现。
同样作为下一代安全领域中的领军产品,下一代防火墙和WEB应用防火墙完全可以分庭抗礼、各领风骚,他们有着不同的使命和不同的技术DNA。任何将这两款产品合二为一的做法其实都是缺乏合理性的,而且将会毁掉这两个伟大的产品。
这场本来没有必要存在的争论,到今天可以停止了!
标签: web服务器 web应用防火墙 安全 防火墙 服务器 企业 网络 问题 选择 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
下一篇:2013中国网络主管论坛即将召开