导语

        随着Web2.0的网络环境、IPV6地址、云服务、数据中心等的出现和发展,企业IT应用越来越多样化,由此产生的网络安全威胁呈现出新型化、复杂化、混合化的趋势;与此同时,黑客、病毒等威胁的攻击方式也从单一攻击转向集团冲锋,攻击方向从网络层转到应用层。这些都令安全问题面临前所未有的挑战。传统防火墙因为只依靠简单的端口和IP协议进行控制和防范,安全策略和防御方式明显存在不足,已经不能适应当下的安全需求。

       下一代防火墙应安全局势和市场需求而生,可以对应用、业务和用户完全识别并加以控制、可以帮助企业降低管理难度、减少运维成本,在安全技术和管理策略方面具有明显的优势,已经赢得业界的很多认可,毫无疑问,这一智能化的新型防火墙已经迎来了属于它的时代!
安全新局势

         面对Web2.0的网络环境变化,企业IT应用越来越多样化,远程办公、云服务、数据中心等业务逐渐发展,应用层安全威胁明显;随着IPV6时代的迁移,恶意软件和病毒集团开始适应新环境,从单一攻击转向集团冲锋,不断制造出各类新型威胁。

 

 
传统防火墙固有缺陷
        传统防火墙采用端口和IP协议进行控制和防范的安全策略和防御方式落伍,对业务应用和用户身份识别等应用层攻击无力应对,并且对应用环境下的多变威胁也无力招架。传统防火墙在功能、管理、技术等方面所固有的缺陷和不足凸显。
 
 

 
安全的刚性需求强烈
        企业出于安全管理效率和运维成本的考虑,迫切需要对应用、业务和用户完全识别并加以控制、具有足够扩展性、可以实行智能流量管控的新型防火墙。企业需要更精准的IT控制能力,需要构筑网络层与应用层全面的安全防护体系。
 

 
下一代防火墙应运而生
       下一代防火墙针对隐藏在应用层数据流中的攻击有一系列的检测和控制技术及手段,可执行应用型安全策略;采用云安全的相关技术,可利用云计算加强和加速防御;是集合多种防御功能的一体化产品、是基于决策的应用级管理软件、是智能化的新型防火墙。
 

 
传统防火墙 VS 下一代防火墙

  

传统防火墙:在企业网络边界出口位置设置,用以来判断、阻断、控制内外流量的设备,是一个位于计算机与它所连接的网络之间的软件和硬件的结合。传统防火墙的基本管理模式是按照IP地址和端口进行配置

1、基于端口和IP协议的策略

2、网络层防火墙
3、采用包过滤技术
 
 
下一代防火墙(NGFW):Gartner最先提出,业界没有统一的定义。普遍认为其是对传统防火墙的升级,是网络层和应用层安全兼顾的防火墙。拥有多功能安全防御和基于身份的应用控制在内的智能化防火墙。
1、拥有独立的基于应用程序的策略
2、应用层防火墙,
3、采用云安全相关技术
 
 
防火墙面面观
业界声音
安全厂商:下一代防火墙何时会普及?

目前安全厂商已经认识到将多用途企业安全应用整合在一起的需求将会上升。与普通的防火墙相比,NGFW是在应用控制方面进行工作,因此对于大多数客户来说这是一种新技术。

Gartner:应用安全涅槃 下一代防火墙..

下一代防火墙是一个分界点,因为这已经不单纯是4-7层的应用安全,而是网络层+应用层的安全保护,WEB应用防火墙主要用于主机的保护,所以相互之间不排斥,毕竟产品面向对象..

山石网科:高性能数据中心防火墙兴起

伴随着“云”的兴起,作为实现“云”技术基础设施之一的数据中心也正承受着巨大的压力,对数据中心安全防护设备的表现提出了更高的要求。
    业界声音
    网御星云:下一代防火墙“九宫八阵图..

    当前防火墙技术也有一些新的发展趋势。这主要可以从分级过滤技术、防火墙体系结构两方面来体现。防火墙,虽然也经过了几代的发展,从软件到硬件、从百兆到千兆以及万兆,..

    思科:下一代防火墙将“云”中不知归去

    反观安全防护技术,却迟迟未能见到革命性的进展。以企业应用中最为常见的安全防护产品——防火墙来说,虽然也经过了几代的发展,从软件到硬件、从单核到多核,但其根本的..

    梭子鱼:安全趋势印证下一代防火墙

    传统的防火墙大多端点防护,是一种对于网关的防护,而在当今整个网点全网络的安全趋势下,传统防火墙包括UTM已经做不到安全防护了,而下一代防火墙的提出,基于云计算的模..
      主流安全产品方案一览表
      厂商名称          方案产品特色
      Palo Alto Networks1、是第一个推出下一代防火墙的厂商,并且是第一个用应用感知代替端口式流量分类的厂商。
      2、采用“App-ID”的分类引擎技术,可通过解密,检测,解码,签名以及试探等多种技术,用引擎来识别该应用的所有版本以及该应用运行的所有平台,还具有可扩展性,只要新的技术可用,就可以源源不断的加到分类引擎中。
      思科CISCO1、使用云安全相关技术,自称“云火墙”,实现全球IPS联动云检测、SSL VPN云接入、是一款唯一支持Netflow实现了NOC和SOC二合一的防火墙;
      2、提供全球安全威胁实时视图和电子邮件的“信用报告服务”,还能敏感监控僵尸网络的动态,所更新的信息同步到所有云火墙。
      McAfee迈克菲

      1、契合当前Web 2.0 环境下的多种应用需求,能够发现和识别数千种应用并执行相应的安全策略;
      2、采用云安全相关技术,实时全球威胁智能感知系统可提供更详细的内、外部威胁和漏洞信息,降低法规遵从和运营成本;
      3、可解决虚拟化的安全为题,有助于企业利用虚拟化技术来保证安全性的同时降低成本,提高灵活性。
      4、是第一个、也是唯一使用全球信誉技术的防火墙解决方案

      SonicWALL1、采用大规模多核架构,具备大规模的可扩展性;
      2、“应用智能和控制”技术提供了对应用层流量的全面保护、管理和控制;
      3、集成应用智能与入侵防御及恶意软件拦截组件,形成了一个功能强大的网络安全平台。
      Check Point1、已通NSS Labs的评测且评测结果显示其100%通过传统防火墙评测、应用识别和控制评测、用户和组群身份识别评测、“回避式攻击”评测等;识别并阻止使用回避或模糊手段隐瞒的攻击
      2、check point应用控制和识别感知软件刀片采用智能检查技术—INSPECT,将网络层和应用层保护集成在一起,可以方便地扩展支持新的应用程序和应用协议。可根据用户的需求自定义安全策略
      塞克铁门1、其高端安全网关设备则采用“NP +多核+分布式”架构,具备优异的防火墙性能;
      2、具备完善的VPN性能。
      东软NetEye1、同时获得应用代理和包过滤最新防火墙国家标准认证,实现从数据链路层到应用层的高性能过滤,实现网络安全的动态保障;
      2、采用自主知识产权的安全操作系统,具有高吞吐量、低延迟、零丢包率和强大的缓冲能力,完全满足高速、对性能要求苛刻的网络应用要求。
      3、VPN的部署灵活性、可扩展性明显,可降低用户部署维护的成本。
      网御神州

      1、基于“为多核加速”的设计理念,在多核架构上引入了可编程ASIC加速引擎技术和多核负载均衡技术,提升了网络层和应用层两方面性能的服务水平;
      2、多核间的并行处理, 大幅提升了设备的应用层处理性能;

      梭子鱼

      1、是基于决策的应用级管理软件;
      2、通过中央平台统一管理,信息管理人员可集中制定安全、内容和流量管理政策;
      3、集成当下安全新技术,包括了7层应用防护,入侵防护,安全网关,病毒防护,反垃圾邮件和网络接入控制等;可以对应用层的业务加以识别、过滤和控制,是多层防御技术的有机结合体; 
      专题评论