下一代防火墻與WAF的分合之爭
    網(wǎng)康WEB應(yīng)用防火墻（WAF），于近日發(fā)布。這樣一條普通的產(chǎn)品發(fā)布消息，在WEB安全日益火爆的今天，本來也算不上什么大事，最多就是國內(nèi)WAF陣營中又添一員悍將。然而這次發(fā)布，卻意外地在安全圈內(nèi)引起了熱烈探討。探討的主題就是——下一代防火墻和WAF究竟應(yīng)該做成一款產(chǎn)品，還是兩款產(chǎn)品。
    之所以會(huì)引起安全圈子的討論，主要原因就在于網(wǎng)康科技本屬于國內(nèi)下一代防火墻的領(lǐng)導(dǎo)廠商，現(xiàn)在又推出了一款WAF產(chǎn)品，那么很顯然，網(wǎng)康科技是屬于支持這兩款產(chǎn)品應(yīng)該獨(dú)立部署的。但是在國內(nèi)發(fā)布的另一款下一代防火墻產(chǎn)品中，又把WAF的功能融入了其中，這就使得廣大用戶乃至安全業(yè)界都不得不思考一個(gè)問題，這兩款產(chǎn)品究竟是該合還是該分？
技術(shù)角度解讀爭論
    事實(shí)上這個(gè)爭論從技術(shù)的角度來看并不復(fù)雜，下面將從三個(gè)方面展開討論。
    首先從防護(hù)對(duì)象來說，NGFW的防護(hù)對(duì)象是網(wǎng)絡(luò)中的外部應(yīng)用，例如FACEBOOK、P2P下載等。而WAF的防護(hù)對(duì)象是網(wǎng)絡(luò)內(nèi)部的WEB服務(wù)器。也就是說這兩款產(chǎn)品的保護(hù)對(duì)象是不一樣的，防護(hù)的威脅種類，安全需求都是不一樣的。從產(chǎn)品設(shè)計(jì)的角度看，針對(duì)不同問題最好采用不同的產(chǎn)品來獨(dú)立完成，強(qiáng)行放在一起，反而會(huì)使得兩方面都做不好。
    其次從部署位置來說，NGFW一般部署在整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)位置，而WAF部署在WEB服務(wù)器之前，二者的性能壓力完全不一樣。以一個(gè)高校網(wǎng)絡(luò)為例，在總體1個(gè)G的帶寬中，web訪問的流量不超過20M。假如做成一款產(chǎn)品的話，就只能把WAF也部署在網(wǎng)關(guān)，這就會(huì)帶來兩種后果，要不然是WAF處理了太多非WEB訪問流量，導(dǎo)致壓力太大而處理不了，要么就是用戶支付了不必要的成本，使得本來只需要處理幾十兆流量的WAF必須處理1個(gè)G的流量。所以從這個(gè)角度看，這兩款產(chǎn)品也不適合做在一起。
    另外從采用的技術(shù)上看，下一代防火墻采用的是包轉(zhuǎn)發(fā)技術(shù)，而WAF采用的是代理技術(shù)。這是兩種完全不同的技術(shù)手段，如果通過代理技術(shù)來做NGFW,將會(huì)極大地限制NGFW的吞吐能力，而如果采用包轉(zhuǎn)發(fā)技術(shù)來做WAF，則會(huì)嚴(yán)重影響waf的安全防護(hù)能力。所以，從技術(shù)上看這兩者也不適合放在一起。
業(yè)界的主流選擇
    那么除了網(wǎng)康科技之外，業(yè)界的其他產(chǎn)品實(shí)現(xiàn)又如何呢？
    我們首先把目光投向下一代防火墻的開山鼻祖PALOALTO，PALOALTO是全球第一臺(tái)下一代防火墻的創(chuàng)造者。在PA的產(chǎn)品實(shí)現(xiàn)中，我們并沒有發(fā)現(xiàn)WAF的設(shè)計(jì)。除了PA之外，Sonicwall、Checkpoint、梭子魚等眾多國外下一代防火墻廠商也都沒有將WAF放在他們的NGFW產(chǎn)品中�？赐炅藝�外再看國內(nèi)，今年堪稱下一代防火墻的爆發(fā)之年，先后有綠盟、啟明、山石等一大批安全廠商發(fā)布了下一代防火墻。無一例外，他們都沒有將WAF放在他們的產(chǎn)品之中。
    那么既然大家都沒有這么做，為什么市場(chǎng)上會(huì)存在著WAF與NGFW模糊不清的印象呢？關(guān)于這一點(diǎn)，下一代防火墻的定義者Gartner在最新發(fā)布的企業(yè)防火墻魔力象限報(bào)告（Magic Quadrant for Enterprise Network Firewalls）中就正式指出，導(dǎo)致這種混亂現(xiàn)象的原因主要有兩個(gè)，一個(gè)是在技術(shù)術(shù)語上，不同產(chǎn)品之間確實(shí)有重合之處（Overlapping terminology）；另一個(gè)方面則是由于廠商混淆視聽的營銷宣傳（ confusing marketing）所致。并且強(qiáng)調(diào)，下一代防火墻有其獨(dú)特的產(chǎn)品價(jià)值，與WAF(web安全防護(hù))等產(chǎn)品有著明顯的區(qū)別，當(dāng)消費(fèi)者選型時(shí)需要著重留意。
下一代防火墻與WAF的分合之爭本無必要
    道理不講不透，在從技術(shù)視角和產(chǎn)業(yè)視角分析過兩者區(qū)別之后，廣大用戶就可以清晰地認(rèn)清一個(gè)事實(shí)——這是兩款截然不同的產(chǎn)品，應(yīng)該也必須以獨(dú)立的產(chǎn)品形態(tài)呈現(xiàn)。
    同樣作為下一代安全領(lǐng)域中的領(lǐng)軍產(chǎn)品，下一代防火墻和WEB應(yīng)用防火墻完全可以分庭抗禮、各領(lǐng)風(fēng)騷，他們有著不同的使命和不同的技術(shù)DNA。任何將這兩款產(chǎn)品合二為一的做法其實(shí)都是缺乏合理性的，而且將會(huì)毀掉這兩個(gè)偉大的產(chǎn)品。
   這場(chǎng)本來沒有必要存在的爭論，到今天可以停止了！
 

標(biāo)簽： web服務(wù)器 web應(yīng)用防火墻 安全 防火墻 服務(wù)器 企業(yè) 網(wǎng)絡(luò) 問題 選擇 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。