NGFW评析

NGFW评析

作者 kernelchina | 2011-02-14 21:22 | 类型 网络安全, 行业动感 | 81条用户评论 »

分享到： 新浪微博 QQ空间 开心 人人 Digg FB Twitter NGFW(Next generation firewall)是近几年出现的一类新产品，它的定义可以参考Gartner report (http://www.paloaltonetworks.com/literature/research/docloader.php?docURL=/literature/research/Gartner-NGFW-Research-Note.pdf&docName=PDF%3A+Gartner+NGFW+Report) 这类产品的始作俑者是PAN(Palo Alto Networks http://www.paloaltonetworks.com/)，我们来看看 这里面有些什么新东西。 先贴张图： (http://www.paloaltonetworks.com/images/content/sp3.gif) PAN在policy里面引入了三个元素： APP-ID：application identity，应用的类型 User-ID：用户的id Content-ID：资源或者内容ID 这些ID是什么意思哪？ APP-ID是DPI/DFI（或者AI（application identification））的结果。怎么理解哪？现在很多应用协议都可以运行在http上，http变成了一个承载协议，如果只控制http，显然是粒度太大，如果能区分出里面的QQ, p2p（emule, bt等），facebook, twitter，控制的粒度更细，对用户就越友好。 点评：这里面有几个问题我还没有搞明白 对应用识别的粒度倒底有多细？从DNS或者domain name(http协议里面)应该能区分出qq, facebook, twitter等，为什么还需要DPI？ 是不是APP-ID可以深入到QQ里面的某一个服务（比如blog，qmail之类的），假如是这样，如此细的控制粒度，管理起来是不是不太方便， app-id的库是不是太大了？如果不是深入到某个服务，那么需要DPI这么复杂的技术吗？ 为什么需要细粒度的控制，比如GFW这么粗放的服务（一扫一大片）不也在用吗，也没见有多大的抱怨：） User-ID需要和企业内部的Auth服务或者UAC/NAC服务结合起来用。用户登录以后，就会有与之绑定的ip地址，policy里面可以匹配相应的用户id。这应该不是什么新东西，很早的防火墙里面就有这个功能了。如果用户登录以后，在防火墙上会下载相应的访问控制策略，这样还有点新意，也就是说，访问控制策略是和用户动态绑定的，并不需要静态加载到防火墙上。但这需要单独的策略服务器，而且如何策略服务器失效，用户是允许访问，还是不允许访问哪？系统里面交互的部件越多，控制越复杂，出错的几率就越高。 点评：协议里面没有User-id，所以需要把User-id映射到ip地址或者mac地址。用户需要通过防火墙认证才能访问资源（防火墙本地认证， 或者远程认证，使用已有的认证体系）。如果能够一次登录（Single sign on)，处处可用，就更方便了。但不同的服务有不同的认证， 授权体系，想统一起来，难。 Content-ID顾名思义，应该是访问对象的ID。这个和APP-ID的问题是一样的，那就是粒度。Content-ID应该在DLP(data leakage prevention)里面会用到，或者是URL filtering。什么是content？是URL，还是URL指向的内容，还是更深一层的内容。 点评：细粒度的控制会增加管理的难度，如果没有好的管理工具，会很难用。 从PAN的产品来看，硬件方面基本上没有什么新意(PAN没有chassis-based的产品，也就是说，在高端的竞争力会差一点，不过PAN的目标市场是企业市场，产品应该足够用了）。不过在它的产品图里面有一个content id的卡，不知道是不是一个专用的卡，做这么一个卡的用途是什么哪？提高性能，难道说multi-core的性能不够用，还需要专门的协处理器？还是PAN有卖这个卡的想法？ PAN创新的地方在于把app-id, user-id, content-id引入policy，这应该是安全理念的创新。传统的防火墙控制的是5-tuple，粒度太粗了，对IT管理员不怎么友好。总的来说，防火墙就是一个访问控制的设备（NAT是网络功能；VPN保护数据安全，这些是防火墙的基本功能，至于UTM, IDP是另外一个话题，这里就不说了），控制source到destination的访问。如果把source换成User-ID，而把destinaton换成app-id和content-id，是不是更直观一点哪？当然是了。但是，管理简单了，所对应的底层逻辑就会很复杂。因为，不管是user-id，还是app-id，content-id最终还是要映射到packet，要做到上层的策略和底层的实现一致，这个相当难。 PAN还宣传什么single-pass的架构，这个基本上就是在恶心人。比如攻击旧防火墙的firewall policy/av policy/ policy等等，有多套，需要match多次，而PAN只需要match一次。能发现这个问题应该还是了不起的，但是新公司，新产品，总得有一点不一样的东西，传统的防火墙已经是补丁摞补丁了，要做新衣服，就比较困难；而PAN算是做件新衣服，如果还是补丁摞补丁，那才叫寒碜。 安全和易用是对立的。因为安全基本上就是在给用户上枷锁。如何让用户在可忍受范围内，实现整个业务流程的安全，是每个从事安全行业的人需要考虑的问题。比如采用三种不同的密码保护用户帐号是很安全的，但是如果登录时需要用户用三种不同的方式认证，估计会把用户搞疯掉。多重方式保护用户帐号，需要区分出主次；需要区分出用户的不同操作；需要区分出帐号的重要程度。（这个话题可以展开说，应该还有很多可以挖掘的东西）。 从这个角度来说，NGFW提升了防火墙的易用性，使防火墙与用户的业务结合更紧密。至于在实际环境中的效果如何，还需要看它能从传统防火墙哪里抢多大的蛋糕过来。 1: http://www.paloaltonetworks.com/products/ 2: http://www.paloaltonetworks.com/literature/research/docloader.php?docURL=/literature/research/Gartner-NGFW-Research-Note.pdf&docName=PDF%3A+Gartner+NGFW+Report 3: http://www.paloaltonetworks.com/literature/whitepapers/Reducing-Costs-with-NextGen-Firewalls.pdf 4: http://en.wikipedia.org/wiki/Firewall_(computing) 5: http://en.wikipedia.org/wiki/Single_sign-on 6: http://en.wikipedia.org/wiki/Data_loss_prevention_software

( 3个打分， 平均： 4.67 / 5)

工具箱
本文链接 | 邮给朋友 | 打印此页 | 81条用户评论 »

雁过留声

“NGFW评析”有81个回复

1. 陈怀临 于 2011-02-14 9:26 下午

   PAN的大founder（因为后面有一堆小founder），Nir，犹太人。聪明and 很能忽悠。。。但最近做了一件让我很难理解的事情：找了一个大家都觉得如释重负的女朋友。。。我们这些朋友是打心里为那个女孩的父母高兴（庆幸）。。。。。。

2. kevint 于 2011-02-14 9:33 下午

   一看见GFW三个字，菊花一紧。。。有升级了？

3. cc 于 2011-02-14 9:55 下午

   下一代防火墙而已，不是GFW。

   PAN我们已经开始使用了，具体怎么用的我不太清楚，network team的事情。但是，我知道的是也划分了好几个zone，然后好像可以按照user id来进行控制，控制你存取哪些resource。

4. willchen 于 2011-02-14 10:28 下午

   我也有些疑问：
   1、这些控制手段其实其他的厂家也在用。没发现新意在何处？
   2、kernelchina提到了细粒度检查的必要性问题，我感觉，能做细粒度当然好，但性能能否保证是关键。就好像所谓的match多少次的问题，理想的状态下所有的开发者当然都只想match一次，但现实的诸多环境限制（我不是开发，具体哪些限制我说不上来），导致没见到谁家是真正做到只match一次就可以的。

5. 打酱油的 于 2011-02-14 11:10 下午

   速度–跑多快
   深度–看多细
   容量–记多久
   可用–多好用
   还是用户需求决定努力方向，PAN能在几年前开始如此规划产品，已经非常了不起，估计再过几年很多安全网关要变成它的样子。

6. 冯兵 于 2011-02-14 11:58 下午

   DPI还是很必要的，不是所有应用都可以通过DNS来是别的，比如很多P2P应用，基于80的TCP连接不一定是HTTP，也可能是MSN，也可能是QQ，也可能是WEB迅雷。如果只限定端口，则无法区分限制MSN和普通网页应用，此时DPI产生价值。

7. 外行 于 2011-02-15 12:14 上午

   “对应用识别的粒度倒底有多细？从DNS或者domain name(http协议里面)应该能区分出qq, facebook, twitter等，为什么还需要DPI？ 是不是APP-ID可以深入到QQ里面的某一个服务（比如blog，qmail之类的），假如是这样，如此细的控制粒度，管理起来是不是不太方便， app-id的库是不是太大了？如果不是深入到某个服务，那么需要DPI这么复杂的技术吗？
   为什么需要细粒度的控制，比如GFW这么粗放的服务（一扫一大片）不也在用吗，也没见有多大的抱怨：）”
   DPI不复杂。做细致了，市场可能更宽。

8. 徐鹤军 于 2011-02-15 1:10 上午

   “速度–跑多快
   深度–看多细”

   这是两个最大的难点，犹如XY两轴。想通吃也可以就看实现的成本是否被市场接受了。

9. 十分八卦 于 2011-02-15 1:45 上午

   大概就这么理解PAN吧，首席(User-ID)可以用迅雷(App-ID)下载空空(Content-ID)。

   楼主点评的里面的app控制粒度上，我了解的，目前基本是控制到app的action，msg/file/video/audio之类。最近的热点是sns的控制，控制其中很多的扩展应用。

   如果说content-ID定位到DLP上，国内必然水土不服。考虑实际情况，国内要真的保密，必须从终端软硬件下手，类似的产品和解决方案已经很多。

10. kernelchina 于 2011-02-15 2:34 上午

    app-id还是要从application这个角度去理解，什么是application？ftp, http算不算application？显然不是，这只是协议，在这之上才有应用。那么app-id和url filtering又有什么区别？显然url-filtering并没有包含应用的意思，一个app-id可能对应一组url。但问题在于，应用厂商并不告诉你哪些url是一个application。感觉这个和web service api有那么相似的地方，因为一组web service api就对应一组应用，而且是比较固定的。如果只是block qq或者facebook，从ip地址上解决就足够了，就算qq,facebook有N多个地址，但这个N总有个限度，而且不可能经常变化。

11. kernelchina 于 2011-02-15 4:14 上午

    还有几个问题
    1）是第一个包match policy，还是得到app-id, resource-id, user-id之后再match policy？
    如果不是第一个包，那么就意味着要把tcp stream缓存一段，等得到这些id之后，在匹配，可问题是，要缓存多少？http header长度？缓存的包越多，需要的内存就越多，能够支持的最大session数量就越少。在得到app-id, resource-id之前，攻击系统，很可能会导致系统资源耗尽。如果是match第一个包，显然是没法实现PAN描述的功能，有懂行的给解释一下。
    2）在得到app-id, user-id, resource-id之前，packet是让通过，还是不通过。如果是不通过，资源是个问题；如果是通过，而后来又block，用户能接受这样的方式吗？（一个reset把网页给断了，不过也可以理解）
    3）DPI技术感觉更适合做内容路由，带宽管理之类的应用，做访问控制，从应用角度来看，并不是很好。在网关上做content security，有点别扭。

12. 十分八卦 于 2011-02-15 5:27 上午

    1)一般厂家都给自己画个标准，要在一个流的Top N个包内解决问题，理论上N越小当然越好。再者，匹配当然不是缓存tcp数据，是缓存一个匹配状态或者一个结尾片段即可，看起来楼主需要研读一下多模式匹配类的算法(AC WM之类)，或者是我没看懂你的问题？ 到是乱序重组会出现你说的问题，不过那个一般都设定了容忍度，超过多少就释放了。
    2) 这个问题看应用场合，如果是类似ips之类的功能，还是要hold一部分包，不然攻击闪避都会成功，如果是traffic shaping之类的目的，应该就不需要了。
    3）强烈赞成做应用路由!!!在网关上做全content的重组和检查，例如AV，的确会严重伤害性能，而且也确实不容易做到功能全面，条件限制太多。

13. 加菲猫 于 2011-02-15 4:55 下午

    NGFW? 深信服类似产品卖好几年了. 性能上应该不如PAN, 但按照国内厂商的进步速度, 赶超是早晚的事.

14. oizys 于 2011-02-15 4:55 下午

    就是一个简化版本的行为控制

15. oizys 于 2011-02-15 4:58 下午

    to 13，深信服的“NGFW”还没推出，不过也快了。

16. song 于 2011-02-15 5:02 下午

    这种产品和目前市场上的上网行为管理有什么区别呢？从文章的描述来看，功能重叠很大

17. willchen 于 2011-02-15 6:26 下午

    看了讨论感觉：
    网关是个好地方，只要把数据包抓过来，无论是做ACL、DPI、AV、URL、流控什么都可以。
    由此产生的所谓WAF、DDos等新产品类型，其实与防火墙没有本质上的差别。
    UTM的发展可以预见两个路线：
    一是越来越集成，什么功能都堆在一个设备上；
    二是从中细分单一功能，主要强调一个防护特性。
    前者针对安全威胁不大，预算有限的用户；后者适合安全等级要求高，预算充足的用户。

18. xiudong 于 2011-02-15 6:49 下午

    to:song
    上网行为管理产品还是偏向于管理的，确实如兄台所说，从功能上看是有所重复，但是目的不一样，形成的结果也不一样，按个人的理解，NGFW这种下一代防火墙是为了纯网络安全的需要进行构架和使用的，而上网行为管理说到底还是为了实现管理和上网资源合理利用，不过技术上到是有通用的地方感觉，国内貌似现在还没人做吧？

19. george 于 2011-02-15 7:29 下午

    NGFW这个概念也出来有两年了，没有多大反响。不像当年Fortinet出UTM概念时的阵势。防火墙需要发展，需要下一代，到底什么是下一代？ 我感觉PAN这个概念还没有Fortinet往FW上多加功能更切合实际。不过，到底加什么功能是值得商榷的。

20. 老韩 于 2011-02-15 11:03 下午

    NGFW定义中有些概念提的比较超前，不像当时UTM那么平民化又有需求基础，提出来马上就有燎原之势。不过听说今年国内安全媒体貌似都有NGFW的选题，不知出于什么目的。

21. george 于 2011-02-15 11:29 下午

    而且匹配一次也不一定就比匹配多次好，匹配多次可以制定出更灵活的安全策略。一条策略解决所有事情反而比较笨拙。

22. kernelchina 于 2011-02-16 4:01 上午

    能讲讲一次匹配怎么回事，多次匹配又怎么回事？一次匹配的问题在于匹配的时机，如果各个条件都准备好了，再匹配，很可能被攻击，所以前端需要一个防攻击的模块；如果是多次匹配，应该会有浪费，因为各个条件是与的关系，逐步缩小匹配的范围是很直观的，但是具体实现的时候怎么做？

23. alex 于 2011-02-16 4:11 上午

    PAN的Content-ID主要应该只是用来做IPS、Virus-scan和URL-filtering。内容是如此庞杂，不可能什么都搞。说到底这些也不是啥新鲜玩艺儿。

24. 天外有天 于 2011-02-16 4:14 上午

    感觉同学们对DPI的观念不对。
    DPI这个东西太重要了，甚至是压倒一切的重要。
    其实所有的网络数据都经过了运营商，
    不管你是google.还是tencent.
    但是运营商为啥没google值钱？因为运营商不能根据数据运营业务。

    如果用dpi检测到用户在做某个搜索，上某个网站，做某个业务。
    运营商完全可以把住入口，开放平台做业务。
    哪运营商就变成网络世界的入口点了，这个价值大去了。

25. 天外有天 于 2011-02-16 4:19 上午

    利用DPI做的NGFW,俺觉得就是瞎扯淡。。

    理论上是可以做到很精细的控制，
    问题是搞这么复杂，只做做用户控制，这不高射炮打蚊子嘛。。
    如果不搞那么复杂，又无非是url控制，ips控制，得，又掉utm的坑里面去了。

26. 打酱油的 于 2011-02-16 7:16 上午

    25楼，你掉到技术思维的坑里了，ngfw啥啥主要还是宣传概念，技术原理大多基本相通，不同概念指导下慢慢发展就有差距了。

27. 理客 于 2011-02-16 1:39 下午

    运营商通过深入拓展DPI赚钱并不容易，除了技术问题，还有法律问题：是否不经过用户同意和政府法定部门授权，就能查看和利用客户收发的信息？这个基本上是违法的。能否不经过ICP的同意，就在用户访问ICP时，主动insert广告？这个基本也是违法的。客户访问ICP，是客户自愿，ICP提供免费内容，同时也植入广告，无需客户同意。运营商要吃内容这块蛋糕，确实带刺的，看着美味，却不易入口

28. 天外有天 于 2011-02-16 5:25 下午

    25楼，你掉到技术思维的坑里了，ngfw啥啥主要还是宣传概念
    ————————————-
    嘿嘿。你这是掉到市场宣传的坑里了。。。
    概念炒作是水。核心干货是人参，
    都要有点才能煲汤。
    莫非你认为放个铁钉+炒作就煲汤了？

29. tom 于 2011-02-16 5:52 下午

    同意17楼willchen的看法，用户大概划分两类：1高端：要求功能单一强大和高性能，2中低端：整合的东西越多越好

30. george 于 2011-02-16 6:18 下午

    to 22#
    一次匹配看起来简单明了，对什么数据做什么动作。实际上用户的需求并不是这么直接，比如说对一个C类网段做URL防护，只对其中一个地址做流量限制。
    PAN是两条安全规则。
    普通安全网关是一条URL防护规则，一条流控规则。
    无论是PAN还是现在市面流行的防火墙都需要两条规则。NGFW匹配虽然少了一次，但是匹配时规则多了。

    我反而觉得把一大堆动作写到一条规则上挺笨的。

31. zeroflag 于 2011-02-16 6:29 下午

    很长时间分不清楚NGFW和UTM的区别，因为我一直是在功能上找两者的区别，还是老韩告诉我两者的区别实际上是在实现上。
    在我的角度看，NGFW纯粹是圈内人自己和自己玩的概念，很难和客户讲清楚其与UTM的区别。就算讲清楚了，客户也可能说一句，就是性能稍微好一点的UTM是吧，你就直接无语了。

32. netsitter 于 2011-02-16 6:44 下午

    UTM=FW+IPS+AV
    NGFW=FW+DPI+ID?

33. willchen 于 2011-02-16 7:54 下午

    to:理客
    事实上运营商早就已经通过DPI技术赚钱了。目前我知道的就包括广告推送、欠费提醒、用户行为分析、流量控制等。三大运营商无一例外。

34. 理客 于 2011-02-16 10:42 下午

    to willchen:
    大体怎样做广告和流控？这决定着否有法律风险，当然，国内是可以暂时不管这个风险的，但是一旦做大，及时在国内，也可能会有麻烦，毕竟知道法律的人越来越多

35. willchen 于 2011-02-17 1:24 上午

    具体的不是我部门负责。但我知道我们产品的这些功能都是应这几个用户需要提供的。

36. 天外有天 于 2011-02-17 1:45 上午

    这决定着否有法律风险
    ——————-
    英国BT做过DPI,后来因为法律原因停掉了。

    DPI的数据分析不只是做广告这么简单。
    百度就无耻的根据搜索结果推出业务，
    这种业务反应太及时，对用户把握太准确了。

37. 天外有天 于 2011-02-17 1:50 上午

    大体怎样做广告和流控
    ——————-
    比如对运营商痛恨的bt和voip,
    检测到包之后，
    设定一定的丢包比例和随机扰乱，
    使用这种业务的用户马上大比例下降。

38. 理客 于 2011-02-17 3:11 上午

    这个是违法的，在发达国家基本上不允许。当然发达国家法律也有运营商的好处，比如北欧法律上直接禁止了bt，也就不需要再费劲做bt流量的DPI了

39. antic 于 2011-02-26 8:16 上午

    防火墙的作用：
    1，网络连接，VPN访问
    2, NAT资源分配
    3，接口带宽分配
    4，限制内外非法访问
    5，限制敏感内容进出,记录用户行为活动
    6，保护内网用户机器安全，不中木马病毒
    7，防DoS类和服务类攻击
    8，防泄漏
    9，其它

    P一提出NGFW，F就笑了，不是一脱就灵的。

    不过说句公道话，之所以有些人接受这个概念，也是因为UTM太不中用了，CHANGE ，CHANGE，CHANGE ！
    但借CHANGE之名登上舞台的NGFW又开始让人失望了

    创新在哪儿？
    企业级防火墙的最终服务对象是内网众多员工机器和企业资产，不是网络管理员
    NGFW这个模糊概念带来的价值对内部员工机器和企业资产的安全都称不上创新

    很简单，创新的价值在于，
    1，产品使用成本显著下降
    2，最终客户使用方式的简便化
    3，客户需要的功能与效用，别人做不到，我能提供
    4，老的技术，运用到了新地方
    5，其它

    P的产品在安全防范方面目前实在是没有找到可称许的创新之处。
    现在很多防火墙公司的产品实在跟安全的关系不大，起作用的是安全接入和有限资源分配的功能，可能有一大堆安全控制扫描的装置，但菜鸟级hacker都能绕过。

40. tom 于 2011-02-27 7:25 下午

    antic 把防火墙的功能放的太大了，按照这个有几个能叫防火墙的？

41. kernelchina 于 2011-02-27 7:41 下午

    firewall的基本功能是访问控制，以前是基于四层的信息，现在是基于七层的信息，不过基于七层，如果漏网了，就是大问题，说明这个系统不是100%可用，这个是没法接受的。

42. Will Chie 于 2011-02-27 7:52 下午

    其实基于七层的东东早都有，也就是ALG，但过去是只能基于Port识别协议，其控制也是基于标准协议的。

    而现在是通过协议解析引擎来深度识别，深度的内容控制。

    这个其实也早都有，“所谓的NGFW”无非就是把这些自然的整合起来，而不是集成起来。

43. 陈怀临 于 2011-02-27 8:27 下午

    我的一些猜测：PAN强的是Mgt Platform。至于AppID的实现是用一个Session，还是N个session。其实不重要。重要的是：要让IT的人感觉有一App ID的policy。。。

    就像电影Matrix。让人感觉自己是个人。但其实是被营养液养着的：-）。

    所以，网络安全的本质不是安全，而是让人（IT Department）觉得安全。。。。。。

44. xiudong 于 2011-02-27 8:32 下午

    首席的思路在销售、市场的产品需求引导思路里面倒是很常见哈，个人的安全、部门的安全乃至公司信息化的安全。

45. jiaruifu 于 2011-03-01 1:12 上午

    从流量控制角度看，paloalto识别正常应用屏蔽不正常的，目前ips则是识别和屏蔽不正常的应用而让其他应用通过，两者处理方法不一样，paloalto会很不轻松啊。

46. willchen 于 2011-03-28 11:50 下午

    刚才没事儿又看了一下paloalto的彩页。号称防病毒、IPS、URL过滤并行处理？而后面的指标又没有防病毒的性能指标和具体病毒库大小。是否也为了与UTM竞争而不得不提也能防病毒？如果能做防病毒，按照现在的架构怎么做到的？很疑惑。。。

47. wolf 于 2011-03-30 8:06 下午

    UTM中基于流的病毒检测，哪位能帮忙解释一下proxy模式的检测原理。另外基于包的检测能介绍一下吗，找不到相关资料，谢谢

48. willchen 于 2011-03-31 2:04 上午

    顶楼上。每次研发说到这儿的时候都是糊弄，就没给我整明白过。前两天看了一下飞塔的网页，那高指标真是把我震撼了。但网页上也没整明白为啥这么高指标。

49. 天外有天 于 2011-03-31 3:00 上午

    基于流。基于包做病毒检测。。
    整个不可行，吹吹而已。

50. tom 于 2011-03-31 10:30 下午

    基于流做病毒检测,我记得好像是采用特征匹配,速度虽然快点,但远不如proxy效果好

51. lucifare 于 2011-04-01 12:40 上午

    基于流的监测当然可以做了，但就是有可能误判.
    难点就在要做好基于统计的数学模型

52. 十分八卦 于 2011-04-01 3:18 上午

    大家散了吧，NGFW上最好还是别放AV，否则自己找不痛快。

53. metal1011 于 2011-05-22 1:00 上午

    mark

54. 洗洗睡吧 于 2011-06-16 11:35 下午

    这篇文章对PAN的理解太浅了

    不是非要Chassis-Based的硬件才是好的硬件，企业级市场对成本压力是很大的，产品线要长而密。

    PAN的硬件还是有领先性的，控制平面、模式匹配、数据平面都有不同的硬件主体，而且还形成了小到桌面级、大到大企业级的产品线。

    不过PAN的软件能力不是他吹的那么神。做为安全网关功能方面，那是有很多能力不足的，相比Checkpoint、SonicWall还有差距。

    但是做为创业型公司，瞄准的NGFW是正确的方向，发力也很有效，营销是成功的！

55. 3问洗洗睡吧 于 2011-06-17 12:27 上午

    控制平面、数据平面有不同的硬件主体？用ASIC或FPGA了么？

    模式匹配是自己的芯片？否则何谈硬件领先性？买块芯片不就OK了？

    SonicWall？一直做低端的，够份拿出来说事么？

56. 洗洗睡吧 于 2011-06-17 1:39 上午

    PAN的做法是：x86跑控制平面、Cavium跑数据平面、NP跑路由计算、FPGA跑模式匹配（AV/IPS）

    就现在看UTM厂商，FPGA能跑AV/IPS模式匹配的厂商还是不多的，至少国内，寥寥无几。国内厂商用FPGA主要是跑FW的快速转发，例如Topsec的猎豹

    SonicWall的高端已经很出众了，他的SuperMassive E10800能实现4U高度中支持8块MIPS业务板（Cavium 12核），这个硬件在IT和CT融合领域中，已经是最高端产品了。

57. 3问洗洗睡吧 于 2011-06-17 2:21 上午

    为什么单独有x86跑MP？MP的业务量多么？如果多的话，那么必然和DP的通信量大啊？这样性能依然发挥不出来啊？难道他们把IPS或者AV交给x86处理？

    你说的那个跑路由计算的NP是神马东东？

    那个模式匹配芯片是有第三方做的，并不不需要自己设计，它的通用性很高，类似于加密芯片，不需要自己设计。IPS,AV，只要用正则表达式，都可以用这个加速芯片，没啥技术含量。

58. 老韩 于 2011-06-18 11:36 上午

    真糟糕……我的NGFW专题框架已经修改7次了，好不容易感觉稳定下来可以写了，把弯曲上关于NGFW的文章评论打开看了一遍就又动摇了

59. 理客 于 2011-06-18 2:06 下午

    做技术媒体要做好真的很难，和八卦新闻要舍得脸皮明暗黑白死缠的辛苦完全不同，你和大荣做得不易

60. willchen 于 2011-06-19 12:10 上午

    做研发的最郁闷就是，好容易做出来的性能，实际项目中不能控标。前端叫嚣着：给我更多的证书，给我更多的端口，我就能控制一切！（玩笑）

61. 理客 于 2011-06-19 1:03 上午

    能否控标，更多是销售的水平

62. netmizer 于 2011-06-21 1:37 上午

    企业级的，白菜一样的价格；有啥价值拿出来讨论。

    还是多关注运营商的需求！

63. Bob 于 2011-06-21 1:49 上午

    什么下一代防火墙，现在大多防火墙都不这样 吗？

64. sniper 于 2011-06-21 2:23 上午

    天外有天，方便的话能否留一下联系方式

65. jiji 2 洗洗睡吧 于 2011-06-22 1:25 上午

    现在的防火墙哪里不好?下一代防火墙基本上就是扯淡

66. jiji 于 2011-06-22 1:29 上午

    我错了,也许不是扯淡

    Each vendor has its own approach to building application awareness into a firewall. SearchNetworking.com asked each of the leading firewall vendors to explain how their next-generation firewalls differ from the competition. Here is what we learned.

    • Astaro uses an application signature database from its partner Vineyard Networks to deliver application awareness to its Astaro Security Gateway. Through this partnership, Astaro’s firewall can distinguish different applications running from the same website and apply Quality of Service options to prioritize and allocate bandwidth to these applications. The latest version of Astaro Security Gateway enhances the presentation of this information to the firewall administrator. It offers a network-wide view that allows administrators to quickly define security polices based on the real-time situations. The key, according to Astaro, is to enable IT to react to new threats by seeing what is happening and fine tuning the firewall quickly and easily.

    Astaro is also focused on identifying new, unknown application types as soon as new applications start hitting customer networks. Planned for an upcoming release, the system would allow administrators to opt-in and anonymously submit unknown packet types for review by Astaro engineers. The company will use the compiled data to identify these applications and add them to the signature database.

    • Check Point Software has developed the AppWiki application library, which the company claims can identify over 5,000 applications and 100,000 social networking widgets. These application signatures are pulled into the company’s Check Point Application Control and Identity Awareness Software Blades. The software also integrates with Active Directory to identity the user and endpoint, allowing administrators to customize granular security policies. Check Point also offers the ability to educate users in real time. Agent software on the user’s PC, UserCheck, will pop up a window when the user violates security policy. The window explains the violation and guides users through remediation. This software also lets users provide feedback to administrators, streamlining the process of customizing security policies in response to user needs.

    • Cisco Systems has announced plans to add new levels of application visibility into its Adaptive Security Appliance (ASA), as part of its new SecureX security architecture. Cisco claims that this new architecture will not only address application awareness, but also user and device identification, as it rolls out features throughout 2011. Details on how Cisco acquires that application visibility remain sketchy for now.

    • The application control functions of Fortinet’s FortiGate devices use protocol decoders and decryption of network traffic to identify applications. The company’s FortiGuard Labs team maintains an application signature database, adding signatures for new applications as well as updating signatures for new versions of existing applications. The application database enables Fortinet’s products to separate disparate applications from a single site, such as Facebook or Google, and allows separate policies for each. Fortinet claims that its products have a performance and integration advantage over its competitors because all of its technologies are developed in-house.

    • Juniper Networks uses a suite of software products, known as AppSecure, to deliver next-generation firewall capabilities to its SRX Services Gateway. The application-aware component, known as AppTrack, provides visibility into the network based on Juniper’s signature database as well as custom application signatures created by enterprise administrators. With AppTrack providing visibility, the AppFirewall and AppQoS components of the suite provide the policy enforcement and traffic control of the applications. Juniper also claims a high level of scalability in its platform, with the ability to deliver application protection at up to 100 Gbps speeds.

    • McAfee, recently acquired by Intel, uses its McAfee AppPrism technology for application discovery and awareness in McAfee Firewall Enterprise. AppPrism identifies thousands of applications, regardless of port or protocol, backed by application signatures developed in-house by McAfee’s own Global Threat Intelligence team, the company claims. AppPrism also provides a high level of application control, allowing administrators to disable just the riskier portions of an application. For example, administrators can use the technology to block the file sharing capabilities of an instant messaging application without blocking a user’s ability to chat. McAfee claims its next-generation firewall has an edge because its application-awareness technology is a core part of its firewall architecture and all components, including application signatures, all of which are internally developed.

    • Palo Alto Networks says it was the first vendor to deliver next-generation firewalls and the first to replace port-based traffic classification with application awareness. The company’s products are based on a classification engine known as App-ID. App-ID identifies applications using several techniques, including decryption, detection, decoding, signatures and heuristics. Individual App-IDs for a given application can rely on any combination of these techniques in a single bundle, allowing the engine to identify all versions of an application, as well as all of the platforms the application runs on. App-ID, as the core of Palo Alto’s firewalls, is always running, so it can identify when an application performs a function, such as a file transfer, and it can apply policy to that specific function. The company also notes that App-ID is extensible, so that as new techniques become available, they can be incorporated into the classification engine.

67. 洗洗睡吧 于 2011-06-23 6:57 下午

    看这份介绍，除了Cisco、PaloAlto，其他确实是扯谈。

    另外：Cisco对“new SecureX security architecture”，提到了“Cisco claims that this new architecture will not only address application awareness”

    谁能仔细讲讲SecureX还能感知什么？怎么应用的？

68. gaohl 于 2011-06-25 6:32 下午

    43楼，首席评价的太到位了吧，哈哈！

69. J20 于 2011-06-28 8:29 上午

    我提个议题，用lua来做DPI，大家说怎么样？正则表达式毕竟太过粗糙啊。

70. playmud 于 2011-06-28 10:37 上午

    有gfw的存在，运营商去做内容控制也不是不可以有啊，上面的事说不清的，传统防火墙的意义是什么？够用吗？别说有多少企业用防火墙了，就规则能配对的有多少？ngfw早晚的事。03年左右国内搞防火墙的就搞过一次，结果都搞失败了。看了上面评论多数人理解是错误的，内容控制验证不是为了对付那些懂技术的，毕竟不懂技术的人占得比例才是大头。这个盘子大的很，如果运营商来搞，比手机市场的油水也不多让。我家里有小孩，为他上网开得adsl，我只希望他访问xxxx，我自己再买个防火墙划算还是我多掏点钱从运营商那里买服务划算？PaloAlto只是不了解国情，运营商没想着赚这个钱罢了。

71. willchen 于 2011-06-28 7:35 下午

    to:playmud
    你说的对小孩的上网行为管理，国内运营商已经在做了。比如北京联通。你可以搜一下“北京联通 绿色上网”。但是推广的不好。

72. willchen 于 2011-06-28 7:36 下午

    to:playmud
    你说的对小孩的上网行为管理，国内运营商已经在做了。比如北京联通的绿色上网。但是推广的不好。

73. freshfruit 于 2011-06-29 6:30 上午

    PA-500光硬件就要5万RMB，还不包含license（也就是ips,av,web filer等业务午饭实用），小包性能500M，UTM性能250Mbps。
    PA-4000/5000估计要四五十万。

74. freshfruit 于 2011-06-29 6:32 上午

    to 72：据说俄罗斯也在推绿色上网，我觉得这东西集成到360里面比较好。DPI引擎每次查询都要到远程服务器请求（当然本地有cache）。

75. dat 于 2011-06-29 5:55 下午

    to 74，DPI引擎每次查询到远程服务器请求是指什么，那DPI到底是在运营商做还是在本地电脑做，怎么做。。搞不懂

76. willchen 于 2011-06-29 8:03 下午

    to:freshfruit
    这东西360是不会做的。如果做了，就好像绿坝，孩子总会想办法删除或者屏蔽。对于360来说不值得。

    to：dat
    DPI引擎每次查询远程服务器，74楼的意思可能是指远程要有一个规则库，如URL分类库等。这个库随时更新，DPI引擎每次接到新的连接请求就要和库匹配。
    一般来说，这个库都比较大，而且更新频率高。所以无论是放在运营商还是在本地电脑，都不会在本地放这个库。都是有个链接去实时查询的。

77. dat 于 2011-06-29 10:12 下午

    willchen，多谢，不过如果真是这样做的话DPI引擎需要放到接入层还是核心网一层，相对应的要在metro switch还是core router上（或之前）加个防火墙么，而且这么大带宽的检测对于目前的防火墙来说是否处理的过来，另外每个用户对规则库的需要可能是不同的，不能一刀切，这样管理起来又很困难，所以个人觉得技术上实现比较困难，运营商估计也不会花这样的代价投资。

78. willchen 于 2011-06-29 11:03 下午

    to：dat
    一般的做法是在接入层做，先引流再做分析。运营商层面，这么大流量都不是用防火墙做了。这种产品能做到的确实很少，我知道单台设备可以处理的最大流量是40G。至于品牌和怎么做到的，限于商业秘密，和广告之嫌，就不说了。

79. zengliang.bao 于 2011-07-29 1:55 上午

    深信服的NGFW就是新一带的fw,可以基于应用进行控制，相对于传统的上网行为管理更是添加了waf+ips这样的强大功能。

80. Chicane 于 2011-07-30 5:36 上午

    to 79：深信服有NGFW么。。。深信服的行为管理就是UTM做了一半，改造的，新出的AF依然是UTM，而且性能不咋地。深信服可取之处在于思路“针对应用”，至于产品本身，确实都不怎么样。

81. 有点不懂 于 2011-07-30 4:45 下午

    深信服为何把waf放在这产品，网关和服务器前端市场通吃？