竞速下一代防火墙
发于《计算机世界》。由于版面及内容形式等因素限制,文章在报纸上分3期共10个版进行连载。本文是在连载结束后,重新调整了内容框架,修正、更新了一部分文字而成,看起来更像是一个完整的内容专题。尤其是对13家厂商的采访部分,除了错别字和极个别不妥当的措辞或叙述外,未再做其他修改。
文章撰写过程中,得到了许多来自咨询机构、厂商、学术界的朋友的大力支持,在此表示感谢。同时也要感谢我的同事,是她们的努力使得专题内容得以按时发布。最后,我必须感谢一下我的太太,她为专题做了许多资料翻译工作,并在撰写过程中为我创造了良好的工作环境。
水平所限,文中多有待商榷之处,请不吝赐教。希望这一专题内容能抛砖引玉,引发更多有价值的讨论。
===================================================== 自出现之日起,下一代防火墙(Next-Generation Firewall,以下简称NGFW)就一直在争议中前行。究其原因,还是概念提出得比较超前,产品跟进却相对缓慢。不久前,梭子鱼与深信服科技在国内先后发布了各自的NGFW产品,加上产品已经正式在售的SonicWALL、Check Point和Palo Alto,市场上俨然一副山雨欲来风满楼的景象。那么,NGFW究竟是如何定义的?它与传统防火墙、UTM又有哪些不同?其产品与市场前景究竟如何?用户部署NGFW又需从哪些角度考虑?请随我们一起走进NGFW的神奇世界,共同领略这类新产品的价值所在。
何谓NGFW
什么是下一代防火墙?这一代、上一代防火墙指的又是什么?在讨论NGFW之前,我们必须先正确认识“防火墙”这个概念。在经历了多次技术变革后,防火墙的概念正在变得模糊,在不同语境中有着不同的含义。在描述具体产品时,防火墙大部分指代的是采用状态检测机制、集成IPSec VPN、支持桥/路由/NAT工作模式的作用在2-4层的访问控制设备;而宏观意义上的防火墙,实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备(Gateway)。国内的厂商、用户习惯将前者称为“传统防火墙”,国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念,其包含了传统防火墙、IPS、UTM及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加,广义的防火墙必然将集成更多的安全特性,著名市场分析咨询机构Gartner
所定义的NGFW就是很好的例证。
得益于许多厂商市场部门行之有效的推广工作,我们在市场上可以看到不少针对NGFW概念的宣导(即便其中可能存在着完全不同的理解)。而业内普遍认同的关于NGFW 的定义,则来自Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文档。该公司注意到,在应用模式、业务流程和安全威胁不断变化的今天,传统防火墙已经无法满足用户的需求。即便在此基础上再加入IPS,也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下,Gartner定义了NGFW这个术语来形容防火墙的必然发展阶段,以应对攻击行为和业务流程使用IT方式的变化。
在Gartner看来,NGFW应该是一个线速(wire-speed)网络安全处理平台,定位于企业网络防火墙(Enterprise Network Firewall,Firewall指宏观意义上的防火墙)市场。这里的企业指的是大型企业,国内很大一部分都归为行业用户范畴。NGFW在功能上至少应当具备以下几个属性:
●传统防火墙:NGFW必须拥有传统防火墙所提供的所有功能,如基于连接状态的
访问控制、NAT、VPN等等。虽然我们总是在说传统防火墙已经不能满足需求,
但它仍然是一种无可替代的基础性访问控制手段。
●支持与防火墙自动联动的集成化IPS:在同一硬件内集成IPS功能是必须的,但这
不是Gartner想表达的重点。该公司认为NGFW内臵的防火墙与IPS之间应该
具有联动的功能,例如IPS检测到某个IP地址不断地发送恶意流量,可以直接告
知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是
由NGFW自动完成的,而不再需要管理员介入。比起前些年流行的传统防火墙
/IDS间的联动机制,这次升级并不是一个特别高深的技术进步,但我们必须承认
它能让管理和安全业务处理变得更简单、高效。
●应用识别、控制与可视化:NGFW必须具有与传统的基于端口和IP协议不同的方
式进行应用识别的能力,并执行访问控制策略。例如允许用户使用QQ的文本聊
天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件
但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况,
保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是
一个属于安全范畴的特性,但P2P下载、在线视频等网络滥用确实会导致业务中
断等严重安全事件。
●智能化联动:获取来自“防火墙外面”的信息,作出更合理的访问控制,例如从域
控制器上获取用户身份信息,将权限与访问控制策略联系起来,或是来自URL
Filter判定的恶意地址的流量直接由防火墙去阻挡,而不再浪费IPS的资源去判定。
我们理解这个“外面”也可以是NGFW本体内的其他安全业务,它们应该像之前
提到的IPS那样与防火墙形成紧密的耦合关系,实现自动联动的效果(如思科的
“云火墙”解决方案)。
除此之外,文档中也提到了NGFW在部署、升级方面的一些规定,但并未做更多的强制性约束。正如文档作者、Gartner研究副总裁Greg Young在接受我们采访时强调的那样,集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动就是NGFW要具备的四大基本要素。
发现用户需求及产品形态变化的并不只Gartner一家,国际著名第三方安全产品评测机构NSSLabs也在今年正式开始了NGFW产品的公开测试工作。从官方发布的信息来看,该机构基本认同Gartner对NGFW的定义,只是在智能化联动方面并未做过多的强制性要求,但突出了对用户/用户组的控制能力。从测试的角度出发,相信NSSLabs的工程师对产品配臵的复杂度和易用性都有很深刻的了解,他们的观点可以代表许多用户。此外,该机
构还认为企业并没有准备在数据中心中用任何方案替代掉独立的IPS设备,所以NGFW集成的IPS模块应该提供对客户端保护(主要在特征库方面体现)在内的完整方案,并且将针对于此的配臵归纳到预定义策略模版中去。
NGFW与UTM:竞合或补充但非竞争
需要注意的是,不同机构对NGFW做出的定义都是最小化的功能集合。站在厂商的角度,势必要根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异,同时更像一个大而全的集中化解决方案,给用户造成了很混乱的印象。我们在采访中听到用户最多也是最经典的反问就是:NGFW不就是一个加强型的UTM么?
实际上,这里提到的NGFW和UTM都是对厂商包装后的产品的认知,已经脱离了最原始的定义。市场分析咨询机构IDC曾经这样定义UTM:这是一类集成了常用安全功能的设备,必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能,并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开,但是这些功能必须集成在一个硬件中。IDC对UTM的定义无疑是非常聪明的,它简单明了,让人易于接受并容易做出判断。“所有功能不一定要打开”这句话,除了说明安全业务要由用户需求决定外,也考虑了早年间硬件平台的实际处理能力。而安全业务的集成化,也确实符合当时的市场需求。有了这样一个宽泛的准入条件,UTM的概念一经推出便受到厂商与用户到一致认同,市场份额迅速扩大,成长为目前安全市场上的主流产品。
与IDC的宽松态度不同,Gartner在其市场分析报告中对UTM产品形态则有着更为细致的描述。该机构在调研后认为,除了传统防火墙与IPS,UTM至少还应该具有VPN、URL过滤和内容过滤的能力,并且将网关防病毒的要求扩大至反恶意软件(包括病毒、木马、间谍软件等)范畴。另一方面,Gartner对UTM的用户群体有着自己的看法,认为该产品主要面对的是中小企业或分支机构(1000人以下,Gartner的划分方式)。这类用户通常对性能没有太高要求,看中的是产品的易用性和集成安全业务乃至网络特性(如无线规格、无线管理、广域网加速)的丰富度。实际上,Gartner之前一直使用SMB多功能防火墙(SMB Multifunction Firewalls,这里的Firewall也指宏观意义上的防火墙)来描述这类产品,只是因为UTM这个概念被市场普遍接受,才在2010年的分析报告中修改了称谓。该机构认为UTM与NGFW集成安全功能的差异主要体现在时延敏感性上——作为边缘网关,NGFW必须满足时延敏感型应用的需求,与之有悖的功能不适合出现在NGFW上。而从Gartner针对其他产品市场的分析报告中可以推断,安全Web网关(Secure Web Gateway)似乎是该机构认为的NGFW联合部署的理想对象,此外独立的WAF、反垃圾邮件产品也应被考虑。
通过上面的分析,我们可以得出明确的结论:至少在Gartner看来,UTM和NGFW
只是针对不同级别用户的需求,对宏观意义上的防火墙的功能进行了更有针对性的归纳总结,是互为补充的关系。无论从产品与技术发展角度还是市场角度看,它们与IDC定义的UTM 一样,都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述,其出发点就是用户需求变化产生的牵引力。对此,Fortinet创始人、首席技术长官、工程副总裁谢华在接受我们采访时有着非常精辟的总结:“UTM的概念在不断的进化,包含了越来越多的安全功能。但像500强那样的大企业对UTM的接纳相对保守,不过他们也开始从独立的安全设备开始转向集成化的道路,其关注重点就是Gartner定义的以传统防火墙与IPS为基础元素的NGFW——UTM进化中的一个细化分支。无论如何,我们将看见安全功能整合的革命将继续进行下去。”Fortinet提供的产品技术也已覆盖了网络,内容和应用三个层面,应用识别与控制就是其中的扩展模块之一,NGFW的定义在可扩展化的UTM系统中得到充分的体现。
应用识别与控制:全能杀手锏
对于NGFW这种新生的产品形态,市场上也不乏质疑声。在多功能安全网关领域,有XTM做前车之鉴,不少人认为NGFW也将是昙花一现的概念。不过UTM概念刚被提出时,市场上也有过类似的质疑声,但用户用实际行动表明了对这种功能丰富、性价比高的产品的认可,其市场份额长期保持乐观增长。IDC预计,国内UTM市场2011年增长率为38.2%,市场规模将达到1.741亿美金;2010到2015年的复合增长率为33.6%,市场规模在2015年将达到5.353亿美金。为什么UTM比XTM成功得多?我们认为关键在于前者在适当的时候集成了用户需求最迫切的功能,后者却试图引导用户,以一些相对小众的特性为卖点。而对于NGFW来说,其最大的亮点在于应用识别与控制功能,这恰恰也是目前用户最迫切需要的功能,有着很大的潜在用户群体。Gartner表示,目前只有不到1%的互联网连接采用NGFW来保护。而到2014年年底,这个比例会增加到现有用户总量的35%,并且新购买的防火墙中将有60%是NGFW。该机构还建议,无论用户现在使用的是防火墙、防火墙+IPS还是安全服务,都应在下一个更新周期来临时切换到NGFW。
作为NGFW定义中明确要求具备的特性,应用识别、控制与可视化可以解决给企业用户带来极大压力的网络滥用问题,同时对业务流量进行优化,受到了所有受访用户的关注。而5家推出NGFW产品的厂商均表示,该功能已经成为各自产品中的标准配臵,也就是说,即便用户在购买时不包含其他任何安全功能的使用许可,也会得到一个“应用防火墙”形态的产品,我们认为这也将成为未来NGFW产品商业模式方面的常态。但多数受访厂商也希望用户认识到,NGFW产品只能提供上网行为管理产品和专业流控产品中最基本的一部分功能,且应用场景和功能侧重都有很大差异,并不存在完全的取代关系。流控产品通常会被部署在行业用户或运营商网络的边缘,用于对应用层流量进行合理的整形与优化;上网行为管理产品则基本部署在企业网络中,在阻止网络滥用行为的同时提供更丰富的行为控制与审计能力。二者都是单一功能设备,与强调一体化接入安全的NGFW没有可比较的环境。NGFW的优势在于应用识别/控制与安全业务的无缝衔接,可以完成诸如“允许MSN传输文件并对文件进行病毒过滤,但不许使用语音视频聊天”这样的综合访问控制策略。
除了上网行为管理产品和流控产品,部分市售的UTM产品也带有应用识别与控制功能,令人感觉与NGFW十分相似。不过该功能大多以独立的功能模块形态存在,通常在策略配臵、日志/报表乃至授权许可方面都不统一,应用体验与NGFW存在一定差距。此外,至少我们所测试过的集成应用识别与控制功能的UTM产品中,还没有任何一款在特征库中包含Web 2.0应用,显然不能满足互联网应用发展带来的新安全需求。最后也是最关键的一点,部分没有采用统一处理引擎的UTM产品在性能上的衰减也许是任何人都始料未及的。我们曾经测试过这样一款产品,只开启防火墙时可以达到几百兆的吞吐量(HTTP大页面,后同);
在此基础上开启IPS,吞吐量下降到一百多兆;如果再开启应用识别与控制,吞吐量则只有几十兆。而NGFW被Gartner定义为线速(wire-speed)网络安全处理平台,虽然在启用多种功能时性能也会有所降低,但从目前市场上销售的NGFW产品的规格指标来看,部分产品在开启应用识别与控制功能后,性能能够达到单独开启防火墙时的60%-80%;在此基础上再开启反恶意软件、IPS等功能,性能最高者可以达到单独开启防火墙时的50%。当然我们不能以偏概全,无论是UTM还是NGFW,在开启多功能部署前都应进行细致的测试工作。
在稍后的产品分析中可以看到,虽然Gartner在定义文档中将NGFW的用户群体圈定在大型企业和行业用户,但5家厂商都推出了全功能的中低端产品。实际上,中小企业对应用识别与控制功能的需求,要远远高于其他任何安全特性。自防火墙普及以来,大部分中小企业用户就把它当做一个接入设备而非访问控制设备来用。如今,他们面临最严重的问题不是安全问题,而是如何限制网络滥用行为,保证接入质量。微博上最近流传的笑话就很说明问题:某小公司内上网体验十分恶劣,经常连网页都无法完整打开,领导对此也无可奈何。唯有每月财务人员在公司QQ群内喊一句“都停下,我要发工资”,网络访问才会短暂地恢复正常。这个例子很生动地表明,目前许多中小企业用户面对网络滥用行为缺乏有效的技术管理手段,导致网络陷入完全失控的局面。
目前常见的解决方式是使用带应用控制功能的路由器或上网行为管理产品,前者价格低廉但功能简单,不少产品在应用识别与控制能力上仍待加强;后者虽然功能强大但价格昂贵,中小企业或许要为一些很少用到的功能买单。从市场角度看,两类产品在用户覆盖上造成一个断层,中间有大量用户的需求没有被满足。而中低端NGFW产品的出现,在功能、性能上满足了此类用户的需求(多数产品的基本配臵都是带应用识别与控制功能的“应用防火墙”),又提供了安全业务的扩展能力,价格也基本维持在同规格UTM产品的水平,值得所
有中小企业用户关注。
如何评估NGFW产品
NGFW属于新生产品,目前业界对其还没有一个公认的测试标准,甚至独立的测试报告都寥寥无几。NSSLabs曾经在几个月前发布了针对Check Point Power-1 11065的单品测试报告,这也是该机构第一次发布NGFW类别的测试报告。我们从中可以看出,NSSLabs针对NGFW产品的测试方法可以看作是在传统防火墙和IPS测试的基础上,补充了针对用户/应用的识别与控制能力的测试。不过,我们注意到应用识别与控制测试中使用的样本多为欧美地区流行的应用,国内用户应当重点考察NGFW产品对迅雷、新浪微博、开心网等本土热门应用的识别与控制能力。采访中有些用户就抱怨说,目前使用的国外某UTM产品在IPS模块中虽然也集成了对应用的识别控制功能,但扩充及更新速度太慢,以至于上线不久就失去了对迅雷等频繁更新应用的控制能力。
此外,应用对于网络的使用模型趋于多元化,NGFW产品在应用控制方面的细粒度也应被重点关注。对于传统的网络应用,以迅雷为例,可以考察产品是否能够在允许常规HTTP、FTP下载的前提下,屏蔽一切P2P或Cache加速下载行为或进行限速处理;而对于开心网这样的互联网/移动互联网应用来说,可以考察设备是否能够对基于Web 2.0平台的小应用(如开心农场、开心城市)进行单独的屏蔽。即便不能做到这一点,NGFW产品也应该能够通过URL-Filter特征库中的分类或手动设定策略的方式进行屏蔽。
除了应用特征库包含的协议种类与特征更新速度,管理界面的易用性也是不容忽视的评估要素。虽然用户识别/控制和统一的策略框架不是Gartner的NGFW定义中的强制功能,但我们发现目前市场上的产品都有提供,并且厂商纷纷在该领域做着更加深入的尝试。用户应当考察NGFW产品是否可以通过获取域控制器信息或Web认证等手段,做到IP与用户身份的绑定,再通过统一的策略框架进行更加直观、简单的权限定义,以达到“允许市场部门的所有员工从任何位臵访问新浪微博“、“只允许IT部门员工从特定位臵使用SSH、Telnet、远程桌面应用”等以用户、应用为核心元素的访问控制策略配臵模式。易用性的另一个重要体现是设备是否提供中文的WebUI、报表系统、端点套件和集中管理系统。英文界面无疑会增加NGFW产品的配臵管理难度,对IT管理效率造成不可忽视的影响。
性能测试方面,许多用户都知道针对传统防火墙有RFC2544、RFC3511、GB/T 20281-2006这样公认的测试规范。这类产品的业务模型比较单一,有经验的测试人员/管理员根据依照规范测得的结果,甚至可以凭经验去预估防火墙在某个特定场景中的性能衰减幅度。而当网关设备使用的访问控制技术走进DPI时代开始,实验室环境中进行的标准化测试就失去了普世的指导意义。即便是IPS,部署在数据中心出口时与部署在企业出口时的性能也会有很大差异。而NGFW产品在进行性能评估时会更复杂,用户必须根据自身的业务需求,抽象出与之吻合的流量模型,进行细致的、有针对性的测试工作,才能得到有价值的评估依据。并且在测试过程中,应时刻以“寻找最差性能”的目标,方可在未来的实际使用中规避性能瓶颈。
经历了实验室环境中的考验,用户也不应忽视产品在实际环境中的测试工作。比起UTM,功能更加丰富的NGFW产品需要更长的测试周期以证明设备的稳定性和在用户业务、管理方面的兼容性。同样要长期验证的还有身份(ID)的同步和策略执行的效果,安全部门在这一环节也许需要行政部门的配合(Gartner和NSSLabs都曾或多或少地提到过这个环节存在的难度,或者说是“管理矛盾”)。途牛旅游网的资深网络工程师吴康在采访中就谈到这样的体会:该公司在明确自身安全需求后,选择了NGFW产品取代UTM搭配上网行为管理的方案保护包括订单系统在内的在线OA平台。经过长达半年的上线测试,途牛旅游网的IT团队才以用户身份关联为基础逐步实现了策略的统一配臵,验证了产品性能与稳定性,在满足需求的同时大幅提升了管理效率。由此可见,充分的测试是NGFW产品部署前必不
可少的环节,鉴于大部分用户都会同时启用NGFW多种安全功能,我们建议无论是否进行实验室测试,都要在实际环境中进行至少3个月以上的、结合自身业务需求的测试,尽可能地与原有信息系统磨合,排除潜在隐患。
无论如何,用户未来在选购NGFW产品时肯定会感到更多的困惑(比如,许多用户在采访中都问到“哪个厂商的NGFW是目前市场上最好的产品”)。一方面,UTM和NGFW 短期内不存在取代关系,经过包装推广的产品在形态上会越来越相似。另一方面,NGFW 必然还会加入更多的安全特性,从著名信息安全培训机构SANS的专家结合现有产品和用户需求,给出的未来NGFW产品将需集成的功能列表来看,目前市场上所有主流安全技术都被涵盖在内。乱花渐欲迷人眼,用户(尤其是中小企业用户)难免会像几年前刚接触UTM 那样,产生一种不理智的选购心态。所以,用户在选型前必须先明确自己的需求是什么,再利用NGFW体系结构上的集成化优势对未来部署做出合理性的规划,避免造成过犹不及的负面效果。
NGFW产品现状
目前可以确定共有5个厂商在国内正式发售了NGFW产品,其中4个国外厂商均在Gartner最新一期的《企业网络防火墙魔力象限报告》(Magic Quadrant for Enterprise Network Firewalls,2010)中占有一席之地;深信服科技是唯一发布了NGFW产品的本土厂商,我们相信会有越来越多的本土厂商杀入这一领域。
理论上的定义总是滞后于用户需求和技术发展,从市场上可以购买到的实际产品来看,它们集成的安全功能已经远远超过了咨询机构给出的基本定义。虽然不同厂商在功能提供上还存在差异,但大家的目标都是一样的,那就是在产品上集成尽量多的功能,规格上覆盖低端到高端,与Gartner细分功能、用户群体的追求有很大出入。厂商这样做无可厚非,只有功能模块化加系统平台化的方式才能做到成本最小化与利润最大化。
在资料收集的过程中,我们还发现了一个很有意思的现象:之前无UTM产品的厂商为我们提供的文档中,都统一使用了NGFW的概念与宣传口径,且官方网站上的资料也是如此;而之前有UTM产品的厂商虽然宣称拥有NGFW产品线,却暂时没能提供与之相关的资料,在产品归属的态度上显得十分模糊。我们感觉前者的意图很明显,就是要避开竞争激烈的防火墙/UTM市场,抢占新的蓝海;后者大多拥有一定的资本和技术积累,为稳固市场地位需要拉动产业升级,却担心在市场上面临“自己打自己”的窘境。无论如何,随着NGFW概念逐步被用户理解、接受,目前市场上的混乱局面必将变得明朗,其市场前景值得看好。
Palo Alto
Palo Alto是近几年发展非常迅猛的一家安全企业,在圈内负有盛名。该公司旗下有且仅拥有NGFW一类产品,被看做NGFW时代的先行者。经过充分的准备,Palo Alto 于2011年初在国内设立了办事处。据了解,诸如应用特征库、WebUI和报表管理系
统的本土化工作已在进行中。
Palo Alto将用户识别、应用识别和内容识别并列为产品的3大核心功能,使用户权限和策略设定变得像自然语言般简单易懂,同时让报表的可读性更强。内容识别基于防火墙、IPS、反恶意软件、URL过滤乃至DLP等多种安全功能,可以为用户提供全面的安全保障。在业务处理方面,其产品采用了单数据流并行处理体系结构,保证了高性能、低延迟。有业内人士认为,Palo Alto产品中关于一体化的处理引擎和一体化的策略框架是最关键的设计理念,在保证了高性能的同时提高了易用性。
产品规格方面,Palo Alto面向不同规模用户推出了从最低端的PA-500到最高端的PA-5060在内的多款产品。其最低端产品PA-500拥有250Mbps的防火墙处理能力、100Mbps的攻击防护能力和50Mbps的IPSec VPN性能,最高端的PA-5060则将这3个指标推向20Gbps/10Gbps/4Gbps。Palo Alto公司创始人、首席架构师毛宇明在接受我们采访时特别指出,该公司在官方网站公布了所有产品的性能指标,其中攻击防护能力一项均为开启应用识别及所有安全模块后的数据。并且即便用户没有选购任何安全功能的许可,也可以使用不受任何限制的应用识别与控制功能。
Palo Alto在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“有远见者”(visionaries)象限,并且在前瞻性(completeness of vision)坐标中处于最领先的位臵。就目前的情况看,我们认为该公司在未来报告中的排名会继续进步。
SonicWALL
做为资深的信息安全解决方案提供商,SonicWALL在国内外市场都有着不小的知名度。该公司在上海设有规模庞大的研发中心,负责核心产品的研发和部分本土化工作。SonicWALL中国研发中心总经理陈中在接受采访时就提别,目前该公司产品每次系统版本更新后1~2个月内即可提供中文版,并且有专人负责国内应用特征的添加与维护,达到平时每周1次、紧急情况下1天响应的更新频率。
SonicWALL对NGFW概念的跟进非常迅速,旗下已有SuperMassive E10000、E-Class NSA、NSA以及TZ210四大系列多款产品。实际上,得益于比较完备的软件平台和模块化的安全业务部署模式,该公司的NGFW产品和UTM产品使用了基本一致的软硬件平台,只在功能模块的配臵上有所区别。在交付时,可以根据用户需求进行相应的授权,灵活满足NGFW或UTM的功能侧重。SonicWALL一直在为其NGFW 产品增加更多的功能特性,该公司在一周前刚刚宣布将广域网加速功能集成到NGFW,为用户提供更好的网络使用效率。
SonicWALL旗下NGFW产品规格非常丰富,最低端的TZ210拥有200Mbps 的防火墙处理能力、50Mbps的UTM处理能力和75Mbps的IPSec VPN性能,此外还可以提供3G/802.11n无线接入特性。在最高端,SuperMassive E10000系列使用了多节点业务智能分摊的设计理念,最多可支持8个业务节点共96个处理器内核同时工作,提供最大30Gbps的应用识别与控制能力、30Gbps的IPS处理能力、12Gbps 的反恶意软件处理能力和20Gbps的IPSec VPN性能,无愧于当今顶级NGFW产品的称号。
SonicWALL在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特
定领域参与者”(niche players)象限。不过在Gartner同期的《UTM魔力象限报告》(Magic Quadrant for Unified Threat Management)中,该公司则处于“领导者”象限,综合排名仅次于Fortinet。
?Check Point
Check Point是历史最悠久的信息安全解决方案提供商,也是最早一批进入国内市场的安全厂商。该公司的防火墙产品在业内拥有极高的知名度,并且始终处于技术发展的最前沿。Check Point首创了软件刀片的概念,通过在统一的系统平台上部署不同功能的软件刀片来实现多种安全业务。在得到了NOKIA的硬件产品线后,该公司拥有了堪称业界最全面的硬件平台方案,具备了多种形态的交付能力。
有了这样的支撑,Check Point发布NGFW产品可谓水到渠成。据中国区技术经理刘刚介绍,该公司在2010年推出了可以对应用进行识别、控制的应用控制刀片,并整合了允许员工参与到决策进程的UserCheck技术。Check Point还利用独有的应用程序库AppWiki为用户提供更深入的可视性,该程序库内臵了5万多种Web 2.0专用界面工具信息和包含社交应用、即时通讯和流媒体在内的4500多种互联网应用特征。
虽然不是最早发布NGFW产品的厂商,Check Point却在NSSLabs进行的业界第一次NGFW产品测试中拔得头筹,成为业界首个获得NGFW产品“推荐”级别的厂商。我们在官方测试报告中看到,该公司送测的次高端产品Check Point Power-1 11065在防火墙、身份识别以及应用程序控制执行的各项评测中取得100%的有效率,IPS功能的成功拦截率也达到97.3%;性能方面,该产品在混合多种协议的“真实流量”(Real World)测试中达到最高3800Mbps的处理能力,在传统的UDP性能测试中则有着12050Mbps的最大吞吐量。
Check Point在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“领导者”(leaders)象限,并且在前瞻性(completeness of vision)、执行力(ability to execute)坐标中均处于第二名的位臵。在Gartner同期的《UTM魔力象限报告》中,该公司也处于“领导者”象限,综合排名第三位。
?梭子鱼
梭子鱼是近年来表现比较活跃的信息安全解决方案提供商,目前已有超过10款不同类型的产品在国内市场进行销售。该公司十分善于整合吸收外来的产品技术,在国际范围内有多次成功的并购案例。梭子鱼现有的NGFW产品线来自于2009年收购的安全厂商phion,其产品在欧洲地区已经有许多大规模部署的案例。
也许是因为之前旗下没有防火墙/UTM产品线,梭子鱼坚定地成为NGFW时代的先行者之一。该公司在产品上以应用与身份控制、内容安全和网络层安全为核心,在满足NGFW定义要求的基础上提供了比较全面的安全特性。目前,梭子鱼仍在致力于管
理特性、其他安全特性的开发和更为彻底的本土化整合工作,该公司中国区技术总监谷新在接受采访时特别提到,NGFW产品的集中管理平台目前已经可以管理维护多达数千台设备,并有实际部署案例。该平台还结合图形化管理维护技术,利用业界独特的“梭子鱼NG地球”特性,使分布网络的管理变得简单高效。
产品规格方面,梭子鱼也针对不同层面用户的需求提供了覆盖高中低端的全系列产品,其中多款具有WiFi及3G接入的能力。根据该公司公布的数据,其最低端的F10拥有150Mbps的防火墙处理能力和85Mbps的VPN性能,最高端的F900则将这2个指标推向21Gbps和3.78Gbps。而该公司提供的另一份文档也表明,梭子鱼的NGFW产品可在开启所有安全功能后达到8~10Gbps的最高性能。我们还注意到,梭子鱼在产品线中提供了目前唯一的虚拟环境部署方案,对有类似需求的用户来说无疑是很好的选择。
phion在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”(niche players)象限。有了梭子鱼丰富的产品线及全球化的销售/维护体系做为支撑,该产品的未来值得看好。
深信服科技
做为近年来崛起势头最为迅猛的本土信息安全解决方案提供商,深信服科技长期坚持专攻应用与内容安全领域的发展策略,在市场上有着广泛的认同度。就在NGFW大潮在国内方兴未艾之际,该公司于近期发布了NGAF系列下一代防火墙,成为国内首家推出NGFW产品的厂商。
深信服NGAF系列下一代防火墙提供了以传统基础网络安全、应用识别与控制、应用威胁防护为核心的多种安全功能,覆盖了NGFW定义中要求必备的所有特性。有国内市场上最成功的上网行为管理产品为基础,深信服科技的NGFW产品在应用识别与控制能力方面显然有着先天优势,其识别引擎已经能够辨析600多种应用,以满足不同部署场景的要求。该公司还将WAF产品的主要功能集成到NGFW产品中,结合应用识别与控制功能,为数据中心用户提供了新的安全防护接入思路。
对于我们问到的“之前没有防火墙/UTM产品,在状态检测技术和入侵防御技术方面是否有足够积累”的问题,深信服科技市场行销部技术总监殷浩也没有回避。据介绍,该公司在保持应用与内容安全领域技术领先的同时,也一直都在跟踪其他各类安全技术的发展。例如成为微软MAPP计划合作伙伴,可以第一时间获得漏洞资料,提高IPS的防护效果和响应速度。NGFW产品的应用威胁防护功能将反恶意软件、漏洞利用、Web入侵等威胁视为一个整体进行统一防护,正是技术积累的一次集中体现。
产品规格方面,深信服科技的NGFW产品线中包含了多达11款产品,覆盖了几乎所有用户群体。其最低端AF-1100系列产品标称提供200Mbps的防火墙处理能力(按照深信服对产品的定义,应用识别与控制功能都默认开启。后同。),最高端的AF-8000系列则将该指标推向10Gbps。由于深信服科技NGAF系列产品刚推出不久,我们还未能拿到更多的性能参数。但从厂商测试中得到的最新数据来看,其中端AF-1700系列产品的防火墙吞吐量达到600Mbps;在此基础上开启IPS和WAF功能,依然可以达到520Mbps的处理能力。
百舸争流NGFW
Gartner研究副总裁Greg Young在接受我们采访时提到,NGFW对于国内活跃的网络安全市场上的诸多厂商来说,都是一个未来的机遇。而这类产品能否顺利发展,很大程度上也取决于来自行业内的态度。所以除了之前提到的5个已经正式发售NGFW产品的厂商,我们还对另外14个厂商提出采访邀请,希望了解大家对这个新产品形态的看法。他们都有防火墙或/及UTM产品进行销售,并长期在国内安全市场有着活跃表现。经过长时间的沟通,我们最终收到了13份正式答复。业界巨擘思科成为唯一没有接受采访的厂商,我们对此深表遗憾。
我们对每个厂商的采访都围绕着NGFW的产品形态和市场前景两大主题来进行。从13份答卷中可以看出,绝大多数厂商都对Gartner所定义的NGFW产品形态表示充分认同,虽然也有厂商表示个别细节值得商榷,但终归没有明确的反对意见出现。可以认为,Gartner 所定义的NGFW标准是对用户需求的高度抽象,是防火墙发展到一个历史阶段的自然产物。除了定义中明确所必须具有的基础特性,各厂商基本是根据自身所擅长的技术领域,以及目标客户需求的视角来定义NGFW应具有的其他功能。例如有独立组网能力的H3C与瞻博网络重点提到了超高性能、扩展性、虚拟化、抗DDoS等特性,而传统意义上的安全厂商则更关注的网关防病毒、内容管理、网络准入控制乃至报表与人机交互功能的集成实现。
对于NGFW产品在国内的市场前景,受访厂商也普遍表示看好。虽然不少厂商认为NGFW与UTM现阶段存在竞争,但必将逐渐替代防火墙、IPS、UTM,成为阶段性的终结者。启明星辰还提到了上网行为管理产品,认为NGFW的发展会对这类产品的市场产生冲击。绿盟科技的观点则更加细致,该公司认为NGFW短期内不会有独立市场,中期来看将从行业用户处开始普及,最终会成为综合网关市场的核心产品。而来自华为赛门铁克的观点则与之前我们的分析不谋而合,认为有中国特色的NGFW必将成为市场的宠儿。
可以看出,业界对NGFW的产品形态和市场前景都趋于认同。也正基于此,13个受访厂商中的5家已明确表示有NGFW产品研发计划,今明两年内我们很可能将看到至少4款来自不同厂商的产品出现在市场上。迪普科技、山石网科则表示现有产品已符合NGFW 标准规范,只是未进行过有针对性的包装推广。瞻博网络则声称2008年发布的SRX系列防火墙是NGFW的代表作,但我们在该公司官方网站及互联网上暂时没有找到相关信息。
绿盟科技产品管理中心总监王伟
绿盟科技认为Gartner定义的NGFW标准主要强调以下4点:
性能:Gartner把性能作为NGFW区分于UTM最重要的指标之一;
集成IPS:Gartner认为NGFW需要集成IPS功能,但不是像UTM
那样做简单叠加,而是要将IPS的功能实现无缝融合入NGFW产品中
去;
应用可视:主要强调NGFW对Web 2.0应用的识别和管理能力;
用户集成:强调用户身份与NGFW策略的一体化整合。
以上4点是针对UTM存在的短板进行的改进,应该是未来NGFW产品功能的最小集合。随着NGFW产品及市场的不断成熟及用户认可度的增强,NGFW产品还将融合更多、更丰富的功能(如虚拟化、Web信誉等)。另外为了应对云计算这个大的技术趋势,NGFW 在产品硬件形态上将变得更加弹性以及多样化。无论如何,结合目前最新的安全发展趋势来看,Gartner对NGFW的定义代表了综合安全网关产品未来的发展方向。
短期内,NGFW在国内不会形成独立的市场,将依然会与传统的防火墙、UTM、IPS、上网行为管理等产品形成直接竞争。中期内,由于国内各类用户对新产品的认可度不同,NGFW产品将首先会在大型企业、金融、电信等中高端领域逐渐被用户接受。长期来看,由于NGFW代表了未来综合安全网关的发展方向,国内厂商应当会逐渐改进现有产品线,以符合NGFW的发展方向。最终,NGFW会成为综合安全网关市场最核心的产品形态。
山石网科技术市场经理任磊
从字面上看,NGFW不像“入侵防御系统”、“上网行为管理”那
样直观表现产品形态,转而突出传统防火墙基础之上的概念升级。在
山石网科看来,NGFW代表着用户对防火墙产品提出的更高要求,他
们期待防火墙能够脱胎换骨,满足当前和未来存在的安全需求。同样
是防火墙概念升级的UTM也曾是一个时代的宠儿,但当用户发现其
仅是单纯的安全功能叠加,且在多功能开启后性能会急剧下降的时候,
此类产品就逐渐归入了中小企业解决方案的范畴。而实际上,无论是UTM还是NGFW,都应该是通用环境下的产品,而不受行业或网络规模的限制。
NGFW产品应打破传统的单一功能叠加模式,实现基于应用的综合控制,其中单引擎与并行处理是关键。在应用识别的基础上,NGFW应能够对协议中的行为做深层次的可视、管理和安全控制。此外,在网络技术快速发展的今天,应用的变化不仅使得数据流量增加,更高的并发连接和更多的会话处理也对设备造成了很大的压力,用户需要改变传统思想中仅靠吞吐量去衡量产品的思路。当多种安全业务集中在一台设备上的时候,软硬件的高可靠性就变得至关重要。软件方面,AA、集群等特性可以实现多台设备之间的互备;硬件方面,多控制器、多处理模块、多电源等模块间的冗余设计也是提高设备稳定性的必要方法。
NGFW代表着防火墙产品的一种发展趋势,其核心诉求是数据处理模式和效率方面的根本提升。这种提升已经与国内网络发展造成的安全需求相匹配,理应成为未来用户解决网络安全问题的主流选择。随着云计算环境下安全需求的变化和虚拟化技术的不断普及,用户在针对应用的高性能、深层次防护领域将出现井喷性需求,市场潜力是巨大的。
从功能特性角度看,山石网科的产品早在2008年就具备了Gartner定义的NGFW特征,包括传统防火墙的全部功能、应用流量的识别与优化、用户身份和内容的识别与管理、入侵防御和病毒防护能力等。我们并不在意安全产品的名称,而是希望凭借山石网科多年来对市场的认识、对行业的理解,做出更贴近用户需求的新一代安全产品。
迪普科技产品部副部长孙晓明
Gartner定义的NGFW确实为集成化的安全网关类产品指出了
一个发展方向,这是值得肯定的。在此基础上,我公司更加重视客户
关注以及所需要的功能,产品设计的出发点也是为客户提供一个功能
完善、高效可靠、部署简单的产品解决方案。实际上,如果按照NGFW
的定义,我们的FW1000应用防火墙产品和UTM2000的UTM产
品都符合规范定义的形态。FW1000应用防火墙除具有基本防火墙功
能以外,还具有对四层攻击、拒绝服务攻击的抵御能力,并且可以对P2P、网络游戏、炒股软件等各种应用协议进行识别并进行限流或者阻断。同时,设备自带千万条级别的URL 库,可以实现URL过滤等功能,为业务流量优化和安全防护提供良好的辅助。而UTM2000系列产品则在FW1000应用防火墙产品的基础上,增加了IPS、防病毒、应用控制、关键字过滤、行为审计等功能。
无论是NGFW1000还是UTM2000,都采用了“一次解析、多次匹配”的业务处理模式,即单引擎+整合特征库(协议库、漏洞库、病毒库),使得产品在设计上具有了非常好的伸缩性。同时,单引擎相对多引擎在处理模型上有了优化进步,是高性能的保证。
无论UTM也好、NGFW也好,本质上都是对传统防火墙功能的提升和扩展,在价格被用户接受的情况下,对传统防火墙实现替代是必然的。NGFW和UTM之争,以及NGFW 需要具备的功能讨论,在我们看来对用户的实际意义不大。用户需要的功能就是产品必备的功能,迪普科技不以License来控制功能模块的启用与否,交付给用户的本身就是具有多种安全功能的产品,用户可以根据需求选择自己需要的业务。
启明星辰产品管理中心产品部副经理任平
启明星辰认为,NGFW的发展诉求应该是把传统防火墙将访问控制对象从网络层、传输层调整为应用层协议。因此,其产品实现基础
不再是多模块协同工作,而是依托于网络应用的识别能力来实施安全
访问控制。虽然技术方面存在相通性,但由于访问控制对象不同,
NGFW与UTM在系统设计方面会存在本质差异
简单来说,NGFW在功能上偏重于网络应用安全,而UTM更侧重于网络内容安全。NGFW更强调应用识别能力、用户行为管理和应用安全,提供面向应用控制的网关安全防护;UTM针对内网强调全方位的安全能力,提供比较适中的、具有更高性价比的网关安全防护。UTM与NGFW相比,还可提供VPN、反垃圾邮件、反恶意软件、防攻击、内网管理等针对于内网的安全防护能力。
在功能模块组成上,Gartner并未明确规定NGFW功能的细节组成,定义的功能覆盖比较合理。但NGFW作为安全类产品,在应用识别的基础上,需要增强应用安全的检测控制能力,同时在保证效率的前提下,增强基于流的防病毒能力会更有利于NGFW实现针对应用安全的目标。从目前来看,还没有一个厂商可以实现UTM、NGFW特性高效融合的案例,更多还是在应用、安全各自见长。NGFW在安全特性上和UTM在应用控制上,是否符合用户预期的商用效率,与软硬件技术的发展也有着很大关系。
在应用为王的网络世界中,NGFW的出现是紧跟应用安全需求发展的产物,市场前景相对乐观。在国内市场,它将对传统防火墙、UTM、上网行为管理和IPS细分市场造成冲击。国内各传统安全设备厂商会对此不断调整自身产品形态,一定程度上影响国内安全网关市场的调整与分布。NGFW在国内可能首先冲击上网行为管理市场,最终替代上网行为管理产品,与防火墙、UTM和IPS产品形成新的市场布局,长期处于竞争态势。NGFW在性能方面的追求对硬件平台的专业化提出了更高的要求,国内安全厂商对专用硬件平台的驾驭能力会在一定程度上影响NGFW产品在国内的发展。在没有颠覆性软硬件技术革新的前提下,UTM、NGFW之间还难以形成替代关系。而二者差异的存在,使其在部署上反而会存在一定的互补性,在网络边界发挥各自优势,满足用户的多维度需求。
今年年初,启明星辰已经展开NGFW产品技术和市场空间方面的研究,考虑在合适的时机推出有特色的NGFW产品。
H3C安全产品部部长马前祖
Gartner所提倡的下一代防火墙产品,很类似于UTM,都是尽可能将传统的单一防火墙功能扩充到多种安全业务的集合形态。基于
应用的流量识别与控制,给客户带来投资减少和管理方便是显而易见
的。但它们受制于软、硬件设计和处理能力以及深度安全防御的专业
程度限制,NGFW产品形态缺乏标准,指标也比较随意。与部分厂商
将它解读为所有的安全功能尽量集中于一体不同,H3C公司在网络安
全方面的理解,更注重是从网络安全整体的角度看安全产品,提倡系统化安全,而Gartner提倡的解决方案是从纯安全的角度去看安全产品。我们不仅要把防火墙和IPS做成高性能或者互动,同时我们还要把交换机、路由器与管理中心、桌面控制平台联合到一起。
具备多种安全防护功能是下一代防火墙需具备的特点之一,从当前市场需求了解来看,NGFW需求集中于中小企业,类似于UTM,为一些中小企业在部署及管理维护带来一定的成本优势。但放眼未来,随着市场的发展逐步规范,NGFW产品自身在性能上得到提升,势必会在更大的领域获得广泛应用。但我们也注意到目前IT行业两大发展趋势,一是带宽越来越宽,以太网标准开始由万兆向40G、100G迈进;二是云计算风生水起,已成为众多企业CIO关注焦点。NGFW要跻身这个市场,在具有融合的安全防护功能的同时,还必须满足高吞吐和高并发的性能弹性匹配、云计算环境中虚拟化技术带来的安全虚拟化这两个基本需求。
未来防火墙产品发展方向上,H3C比较关注数据中心和云计算趋势。数据中心集成了网络、计算、存储功能,安全需要到与网络设计及管理维护高度融合,且性能和功能可以弹性扩展。在不久的将来,H3C将推出一系列具有业界顶级性能的安全防护产品,例如将于明年初正式推出的H3C SecBlade III第三代防火墙业务板卡,该产品将可以在S12500和S10500系列高端交换机上使用,不仅自身具有高性能,更可通过IRF扩展,实现远超于现有任何安全设备的强大性能,IPS、应用控制功能等也依据此架构
提供的弹性硬件方式扩展,届时将再次刷新业界安全设备性能峰值。
网御星云副总裁、首席技术长官毕学尧
对于Gartner提出的NGFW概念,网御星云部分赞同。但我们也认为有以下几点需要补充:
NGFW自身集成的抗攻击特性需要加强,除抗DoS/DDoS攻击外,还
应有抗CC、ARP以及DNS攻击的能力;
NGFW是面向未来业务发展趋势的产物,厂商应为用户提供各类安全云与NGFW产品搭配的整体解决方案,而不仅仅是个单独的设备;
多核多线程并行处理技术应是NGFW在软硬件系统平台方面的标配,以保障高性能与高稳定性。
这其中,NGFW最应具备的还是稳定可靠的基于云安全的防御特性。云安全防御技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息与特征,传送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端,实现立体全面的防护。
国内安全市场竞争激烈,NGFW的市场前景会进一步扩大化,不同品牌产品间在细节方面的表现将成为最关键的因素。网御星云早在2010年初就已立项启动下一代智能感控防火墙的研发,当前已处于测试阶段。功能方面,我公司产品包括了所有NGFW应具备的特性,同时融合了网御星云的云防御理念。该产品预计在2011年下半年上市。
华为赛门铁克安全市场与产品行销部部长武鹏
Gartner对于安全威胁的发展趋势和用户业务安全需求发展趋势
的判断是准确的,传统防火墙从防御范围和理念上,已经越来越难以
满足用户需求。华赛认为,下一代的网络安全产品都应具备对用户的
业务环境进行感知的能力,即能够识别和用户身份、网络特征、具体
应用及内容数据相关的各种属性,并帮助客户实现面向具体业务制定
一体化的安全策略,同时提供细粒度的控制能力,从而帮助用户真正实现全面的威胁管理和安全管控。
NGFW应具有较强的应用协议识别能力、应用层威胁识别能力、强大的IPS引擎和强大的反恶意软件引擎,同时具备智能的用户身份识别和管理能力。除此之外,既然该类产品已经定位于内容级,用户会更关注合规方面的功能,因此NGFW应该具备敏感信息过滤、定制合规策略并输出相关报告等相关能力。最后,考虑到NGFW所处的防御位臵和攻击形态的发展趋势,完善的DDoS防护能力也是NGFW应具备的重要特性。
随着欧美的几个厂商开始在中国市场宣传NGFW,用户和媒体开始关注这种新产品。但目前由于NGFW的标准还不明确,国内第三方测评机构也暂不具备评估的能力,厂商的宣传还暂时无法带来规模的采购效应。但是,从近几年火爆的上网行为管理市场可以看出,中国市场有独特的对于合规和内容管理的需求,其真实存在是NGFW得以在未来有很好发展的基础。我们相信,只有切实把握国内用户的需求,对本土化的应用和威胁有深入研究的公司必然会推出具有中国特色的NGFW产品。审计、应用管理、威胁管理、用户管理、高性能、统一融合,这些都是国内客户的核心诉求点。目前已经进入国内市场并推广NGFW 产品的企业,需要经历对市场的一个熟悉和磨练的阶段。
在国内市场和安全技术领域多年积累的基础上,我们相比其他厂商具有更多的优势,例如在应用识别、威胁识别、用户管理这些领域。华赛早就开始研究下一代网络安全产品技术,积累了大量的经验。今年,我们全面整合资源,开始了对下一代网络安全产品的研发,目前的挑战是如何设计一个高效率的新的体系架构。无论如何,华赛全系列的产品都将向下一代演进,这对用户是个很好的消息。
安氏领信研发总监杜永峰
尽管目前业界关于下一代防火墙的定义仍然不统一,但这并不会影响用户对其的需求。用户关心的不是“什么是下一代防火墙”,而是“什么产品能帮助他们解决日益复杂的网络安全隐患”。随着面向服务应用架构的激增,更多网络上的应用流量往往通过少数的公开端口进行传输,要甄别这些应用以及如何控制应用流量中隐藏的威胁,基于IP、端口进行访问控制的传统防火墙已经显得力不从心。Gartner对NGFW的定义基本解决了用户迫切关注的问题,在传统的防火墙基础上增加对应用层协议细粒度的识别控制能力以及流量可视化能力、并能在深度解析应用协议的基础上对网络威胁进行防护。所以在产品与技术层面,我公司基本认同Gartner定义的NGFW标准。
安氏领信认为,Gartner的NGFW定义中对威胁的关注点是由外向内(或称之为攻击),
对内部的数据安全考虑较少。面对日益严重的数据泄漏问题,有必要在网络边界处增加对内部“数据安全”的解决方案。此外,以“用户”为访问控制元素的策略上,需要考虑终端与边界防护的立体解决方案,在终端的接入上进行必要的控制。
我公司预计会在下半年推出NGFW产品,我们会在UTM技术积累的基础上,以一种全新的视角进行重构,重点在企业应用层协议控制、网络攻击防护的功能点上进行挖掘。尽管目前NGFW在市场上的整体占有率不足1%,但我公司对其未来的发展充满信心,尤其是在中小型企业。很多人都会拿UTM来与NGFW进行比较,权且不论国际市场如何,就国内来看UTM大而全、性能低下、没有整体防御逻辑的诟病较难被国内用户接受,NGFW 的全新的产品理念在迎合企业管理需求上能很好弥补UTM的不足,市场前景值得看好。
东软网络安全产品营销中心产品策划部部长王军民
Gertner对NGFW的定义是很周全并值得认可的,应用识别是防火墙未来发展的重要技术方向,基于应用的攻击的不断变化也要求防御技术必须有所提升。对于这样的变化,传统防火墙只能望而兴叹,因为它在应用层的检测能力几乎为零,无法起到良好的防御效果;而IPS仅关注应用层检测,防火墙功能极弱甚至没有,这也是有些用户把IPS当做IDS使用的一个原因;UTM则是一个集大成的产品,能够很好的融合各种安全技术,但一个缺乏统一指挥、统一资源调配的庞大团队,其效率低下是无法避免的。NGFW的使命,就是在性能、安全性、易用性、可管理性等方面有一个质的飞跃,满足用户新的防御和管理需求。
NGFW集成了多种安全业务特性,在功能上很强大。但是网关类产品在网络中布署时,会面临各种兼容性方面的问题,所以良好的兼容性、可扩展性是这类产品的必备特性。在开发NGFW产品的时候,这些方面必须优先考虑,不能因为功能的扩展影响了系统整体的运行效率。
技术是没有国界的,NGFW在国外发展得很好,相信在国内也会有光明的市场前景。从目前情况看,未来两年将是NGFW产品高速发展的一段时间,相信它会成为是防火墙、IPS的阶段性终结者。
对于新技术和新的产品形态,我公司历来都非常关注。但产品化进程要看市场的成熟度,产品上市太早的话,销量受影响,资金压力会很大;而上市时间太晚,又会失去很多市场机会。如何拿捏好产品研发和推广的时机,需要进行周密的考虑。
汉柏科技战略产品中心总经理时培新
防火墙的核心目的是根据准确的判定条件来提供周密的访问控制策略,而根据Gartner 的定义,NGFW并不是UTM和现有防火墙的简单升级,它提供了更全面的应用、用户识别机制,更灵活的控制机制,以及更全面的安全防御。
汉柏科技认为NGFW主要在以下几方面进行了大的改进:
What:越来越多的应用和威胁,采用了嵌入Web和常规协议的方式。基于端口检测的UTM只能将其全部认为是合法的应用,而无法逐一识别出来。NGFW采用基于DPI/DFI技术的检测,能够深入到应用层报文,通过签名、行为特征识别技术,将这些应用或者威胁进一步区分出来,以便制定不同的控制策略。对于一些关键字、URL 和敏感信息,NGFW也可以识别;
Who:NGFW改变了传统防火墙/UTM依赖于物理设备地址(MAC/IP)和用户身份对应的方式,进而采用结合身份认证和深度挖掘的机制,去更主动、精准地关联用户的实际身份(邮件地址、用户帐号、手机号码等);
Where:在一些应用场合,特别是远程接入等场景下,NGFW还可以准确判定用户的位臵;
How:在丰富的判别条件基础上,NGFW提供了传统防火墙之外更多的控制机制,例如针对应用或用户的限速、限额、限连接数、QoS等级等控制策略。针对各种网络和应用层攻击,以及各种敏感信息,NGFW在同一引擎实现高性能的IPS基础上,应提供包括主动关联、DLP以及SSL Proxy等在内的多种安全业务。同时,从应用和用户视角提供Drill-Down的呈现方式,能够将精细到每个用户的每种应用的每个连接呈现出来。
从内部实现机制上来说,NGFW应当是以高性能为前提的。而复杂的识别技术(状态检测、深度报文判别、模式识别、行为分析等)替代了传统的基于端口检测的方法,需要更多的开销。要在高性能的前提下提供更全面的功能,对各种实现机制,如应用协议库的组织、多条流关联识别、检测和分析引擎的一致性乃至同系统底层和硬件平台的配合设计上,都提出了全新的考验。从用户角度来说,NGFW更多体现的是从实际使用者(比如人力资源)角度的设计,而不再用实际使用者完全看不懂的术语(例如“五元组”)去设定相关的安全策略。同时,功能将更多地基于一体化引擎,而不再简单堆砌,使用起来更流畅、易用。
汉柏科技已经在对NGFW进行缜密的产品规划,预计会在明年上半年推出PowerAegis 系列NGFW产品。
天融信总工程师吴亚飙
随着业务、应用、需求的不断变化,防火墙的定义和功能也在一直在演进之中。但无论是功能从单一到复杂,还是访问控制的粒度从粗到细,其总体趋势仍然是追求更加丰富的功能和更高的性能。从IDC定义UTM,到Gartner定义NGFW,都在一定程度上反映了产业发展的状况。但我们也应看出定义存在的一些不足,导致业界各厂商有各自不同的理解。这些定义还没有上升到权威机构(如IEEE或ITU等组织)主导的层面,也就天生缺乏广泛性和权威性。由于对当前防火墙发展存在片面理解,Gartner定义的NGFW比较适合企
业用户实现对应用的控制,而不适合大型IDC、数据中心进行部署。
天融信防火墙的许多设计方向都与NGFW不谋而合。由于传统防火墙基于五元组的访问控制机制无法应对各种复杂的网络应用,天融信很早就将入侵防御等5大类型的防御机制加入到防火墙产品中。经过几年的磨合,这些防御机制已经实现单一引擎处理和联动,例如入侵防御功能侦测到的威胁可以自动加载到防火墙规则内,在网络层就能提前阻断。它们之间已经不仅仅再是互动关系,而是一个整体。
在应用感知方面,天融信防火墙可以做到对各种应用的精准识别,例如可以在识别出用户使用的即时通讯软件是MSN、QQ、Yahoo! Messenger还是网易泡泡等客户端的基础上,准确捕捉到用户正在进行的是文字通讯、语音视频、文件传输还是音乐播放等行为,从而有目的、有针对性地加以拦截和限制。
天融信防火墙还可以在多种环境下灵活定义以适应需要。在控制对象上,我们更强调将虚拟世界与现实主体结合在一起的行为控制。虽然Gartner在定义中强调了更细粒度的应用意识,但在应用支撑上关注不够,天融信防火墙不仅仅强调应用意识,还开发了丰富的应用支撑功能,如SSL业务的支持,业务通道的流量优化等。未来大家还会看到更丰富的应用保障功能,将颠覆目前的防火墙概念。
网御神州副总裁王刚
当前国内防火墙厂家和产品很多,各家产品在追求差异化的过程中创造了种种概念,相似的功能也往往采用不同的表现形式。这一方面激发了厂家的创造性,一方面也对用户理解产品、选择产品造成了一定的困扰。Gartner作为专业的咨询机构,牵头定义NGFW概念是值得欢迎的,对规范行业内产品形态、引导市场方向来说能起到很好的促进作用。但也应该认识到,NGFW是传统防火墙产品技术的发展延伸,而不是对其的否定,两者不能切割、对立起来。另外,NGFW标准也不会是一成不变的,随着市场需求和技术的不断发展,它也需要做相应的调整,因为只有真正符合用户需求的产品才是合适的产品。
在现有标准之外,NGFW应考虑加入基于权限及身份认证的安全接入控制和用户上网行为监控特性。此外,不同的用户群体有不同的需求侧重,如运营商就在BGP、MPLS、IPv6等方面有着更高要求。还有一个容易被大家忽视的是智能化可视报表及人机交互系统的易用性,这也是NGFW在传统防火墙基础上需要改进的。
防火墙做为边界安全第一道防线,仍是安全市场需求热点,且仍会占据最大的市场份额;NGFW作为防火墙产品中的一员,也会在这个市场中占有一席之地。短期来看,用户接受NGFW还需要一个过程;长期来看,NGFW肯定能更好地解决部分现有防火墙难以解决的问题,市场增长速度会超过防火墙整体市场的增长速度。当国内厂商积极引导、顺应客户需求的、纷纷推出NGFW产品时,会掀起市场的热潮,甚至带动防火墙整体市场取得更大的突破。对于网御神州来说,NGFW已纳入公司产品规划,计划在明年第三季度推出一系列不同规格的NGFW产品,以满足不同用户的需求。同时,NGFW的部分理念也已融合在现有的产品中。
选择下一代防火墙:十大注意事项
白皮书 选择下一代防火墙:十大注意事项 中型企业必备 概述 很多中型公司的网络安全已步入关键时期,他们必须巩固传统安全解决方案,以应对移动和云引发的新趋势,并 适应不断变化的威胁形势。这些局面导致维护网络安全这一挑战更加复杂,并加重了企业网络以最佳状态运行的 负担。 在监控用户的操作、用户访问的应用类型或使用的设备方面,传统防火墙捉襟见肘。下一代防火墙则可以填补这些空白。本文档列举了中型企业在评估下一代防火墙解决方案时需要权衡的十大注意事项: 1. 防火墙是否基于综合全面的状态防火墙基础? 2. 对于移动用户,解决方案是否支持强大安全的远程访问? 3. 防火墙是否提供主动威胁防范? 4. 防火墙能否在多个安全服务运行时保持性能不降级? 5. 解决方案是否提供深度应用可视性和精细应用控制? 6. 防火墙是否能够交付用户、网络、应用以及设备智能,推动情景感知防护? 7. 防火墙是否提供基于云的网络安全? 8. 能否部署可随着组织扩展的面向未来的解决方案? 9. 防火墙供应商是否拥有广泛的支持和服务,可为迁移路径铺平道路? 10. 防火墙供应商是否提供极具吸引力的融资方案,以缩短部署时间? 下一代防火墙应提供“一体化”解决方案,并融合一系列经济实惠、且便于部署和管理的下一代防火墙服务。本白皮书将帮助您评估下一代防火墙,为您的中型组织作出最明智选择。
网络受损害的机率:100% 据思科 2014 年度安全报告,“所有组织都应该假设自己已经受到黑客的攻击。”1思科智能运营中心 (SIO) 的研究人员发现,所有企业网络中都能检测到恶意流量,这意味着有证据表明恶意人士已经侵入这些网络,而且可能不被察觉地活动了很长时间。2 这些发现强调了为什么所有组织必须部署可提供持续安全以及整个安全网络端到端可视性的下一代防火墙解决方案。成功的攻击是不可避免的,IT 团队必须能够确定损害的范围、遏制事件的发展、采取补救措施,并将运营恢复正常,而且这一切必须及时快速展开。 向新安全模式转变 下一代防火墙是以威胁为中心的安全模式的重要要素。采取以威胁为中心的模式,监控整个网络,并在攻击的整个生命周期(即攻击前、攻击中以及攻击后)做出适当的回应意义非凡。在为组织评估下一代防火墙时,一定要记住,任何解决方案都必须满足下列要求: ●具有全面的防护功能:要在当前威胁形势下保护网络,离不开基于漏洞调查、信誉评分以及其他关键要素的 一流防恶意软件和入侵防御。 ●遵守业务策略:下一代防火墙必须从深度和广度两个层面,对有关应用使用的策略进行全面实施。同时,必 须保证可根据业务策略,在细粒度级别,对出于个人和专业原因使用的各种协作和 Web 2.0 应用进行监控和控制。 ●确保策略得到设备和用户的实施:下一代防火墙必须对访问网络的设备和用户、及其访问网络的位置做到了 如指掌。同时,还必须确保安全策略可根据用户、群以及设备类型(Apple iPhone、iPod、Android 移动设备的具体版本)进行调整。 再者,启用多个服务时,下一代防火墙解决方案不能在以线速保证防护、策略、一致性以及环境的同时,造成性能突然大幅降级。 选择下一代防火墙解决方案时,请思考这些重要问题: 1思科 2014 年度安全报告:https://www.360docs.net/doc/fe5667657.html,/web/offer/urls/CN/whitepapers/sc-01casr2014_cte_lig_zh-cn_35330.pdf。 2同上。
下一代防火墙和传统防火墙的区别
下一代防火墙和传统防火墙的区别: 传统防火墙:无法防御应用层攻击 NGAF:解决运行在网络传统防火墙对应用层协议识别、控制及防护的不足! 功能优势: 1、应用层攻击防护能力(漏洞防护、web攻击防护、病毒木马蠕虫) 2、双向内容检测的优势(具备网页防篡改、信息防泄漏) 3、8元组ACL与应用流控的优势 4、能实现模块间智能联动 下一代防火墙和IPS(入侵防御模块)区别: IPS:应用安全防护体系不完善,对WEB攻击防护效果不佳;NGAF:解决保护系统层面的入侵防御系统,和对应用层攻击防护不足,及应用层攻击漏判误判的问题! 功能优势: 1、Web攻击防护,尤其是各类逃逸攻击(注入逃逸、编码逃逸)的防护
下一代防火墙和WAF(Web应用防火墙): WAF:处理性能不足,缺乏底层漏洞攻击特征库,无法对WEB业务进行整体安全防护 NGAF:解决定位于防护Web攻击的Web应用防火墙 功能优势: 1、三大特征库保护网站安全:漏洞2800+、web攻击2000+、敏感信息(OWASP综合4星) 2、敏感信息防泄漏功能,业内热点,业界独家 3、自动建模技术,自动生成策略。 下一代防火墙和UTM(统一权威管理): UTM:多功能开启性能差,各模块缺乏联动 NGAF:解决面向中小型企业一体化的UTM统一威胁管理系统,解决多功能模块开启后性能下降以及应用层防护能力不足的问题。 功能优势: 1、六大特征库更完整安全:(漏洞2800+、应用2000+、病毒库10万、web攻击2000+、URL+恶意网址10万、敏感信息) 2、Web攻击模块(web攻击防护、敏感信息、防篡改、应
话说下一代防火墙(NGFW)的“三个”
话说下一代防火墙(NGFW)的“三个” 下一代防火墙"NGFW"一个从产生到日渐成熟仍旧拥有一定热度的词汇,相较于传统的防火墙,NGFW的安全性能有了很大的提升,体现了极强的可视性、融合性、智能化。本文来和大家 说说下一代防火墙的"三个"。 下一代防火墙"NGFW",一个从产生到日渐成熟仍旧拥有一定热度的词汇,相较于传统的防火墙,NGFW的安 全性能有了很大的提升,体现了极强的可视性、融合性、智能化。本文来和大家说说下一代防火墙的"三个"。 下一代防火墙发展的三个拐点 事物的更新迭代是必然的,就像是一个朝代的兴起与衰落,而防火墙性能的提升自然也不会例外,于是下 一代防火墙应景而生。同很多新生事物一样,它也需要慢慢的发展而后变得成熟。下面我们一起看看它的 经历。 拐点一:下一代防火墙的萌动发展 随着国外用户对应用的增多、攻击复杂,传统的防火墙已经不能满足人们的需求。于是美国的PaloAlto公司率先发布了下一代防火墙的产品,并凭借仅有的一条产品线在国外市场获得众多用户的青睐。2009年,著名的分析机构Gartner年发布的一份名为《Defining the Next-Generation Firewall》的文章重新定义 了防火墙,它集成了深度包检测入侵测试、应用识别与精细控制。这个定义一经发布便受到了国外一些安 全厂商的热捧,认为传统防火墙十多年缓慢的发展确实越来越不匹配其网络边界第一道防线的称号。 拐点二:下一代防火墙热潮汹涌 随着国外防火墙的升级发展,国内厂商也纷纷发布自己的下一代防火墙以顺应网络安全产品变革的趋势, 一股下一代防火墙的热潮被掀起。这其中比较知名的厂商有:梭子鱼、深信服、锐捷、天融信、东软等, 各家产品有着各自不同的特点。总的来说,下一代防火墙相比传统的防火墙功能更加的全面,性能更是强劲。 拐点三:下一代防火墙日渐成熟 热潮过后,厂商不断的反思对下一代防火墙进行改进升级。从2011年国内的下一代防火墙开始发展至今,这近两年的时间过后,下一代防火墙越来越成熟,越来越被人们认可接受。很多的用户使用下一代防火墙
防火墙方案
防火墙方案
防火墙方案
区域逻辑隔离建设(防火墙) 国家等级保护政策要求不同安全级别的系统要进行逻辑隔离,各区域之间能够按照用户和系统之间的允许访问规则控制单个用户,决定允许或者禁止用户对受控系统的资源访问。 国家等级化保护政策要求不同安全级别间的系统要进行区域的逻辑隔离,各区域之间能按照用户和系统之间的允许访问规则,控制担搁用户,决定允许或者拒绝用户对受控系统的资源访问。 在网络边界部署防火墙系统,并与原有防火墙形成双机热备,部署防火墙能够实现: 1.网络安全的基础屏障: 防火墙能极大地提高一个内部网络的安全性,并经过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能经过防火墙,因此网络环境变得更安全。如防火墙能够禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时能够保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙能够拒绝所有以上类型攻击的报文并通知防火墙管理员。 2.强化网络安全策略
经过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全能够不必分散在各个主机上,而集中在防火墙一身上。 3.对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是能够清楚防火墙是否能够抵挡攻击者的探测和攻击,而且清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4.防止内部信息的外泄 经过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就能够隐蔽那些透漏内部细节如Finger,DNS等服务。
下一代防火墙_绿盟_下一代防火墙产品白皮书
绿盟下一代防火墙 产品白皮书 ? 2014 绿盟科技■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 当今网络边界安全的新挑战 (1) 二. 现有防火墙解决方案的不足 (2) 三. 绿盟下一代防火墙产品 (3) 3.1客户价值 (3) 3.1.1 洞察网络应用,识别安全风险 (3) 3.1.2 融合安全功能,保障应用安全 (4) 3.1.3 高效安全引擎,实现部署无忧 (4) 3.1.4 内网风险预警,安全防患未然 (4) 3.1.5 云端高效运维,安全尽在掌握 (5) 3.2产品概述 (5) 3.3产品架构 (6) 3.4主要功能 (7) 3.4.1 识别和可视性 (7) 3.4.2 一体化策略与控制 (8) 3.4.3 应用层防护 (9) 3.4.4 内网资产风险识别 (10) 3.4.5 安全运维云端接入 (11) 3.4.6 基础防火墙特性 (12) 3.5产品优势 (13) 3.5.1 全面的应用、用户识别能力 (13) 3.5.2 细致的应用层控制手段 (15) 3.5.3 专业的应用层安全防护能力 (16) 3.5.4 卓越的应用层安全处理性能 (18) 3.5.5 首创的内网资产风险管理 (18) 3.5.6 先进的云端安全管理模式 (18) 3.5.7 完全涵盖传统防火墙功能特性 (19) 3.6典型部署 (19) 四. 总结 (20)
插图索引 图1 核心理念 (5) 图2 整体架构 (6) 图3 资产管理 (10) 图4 云端接入 (11) 图5 应用/用户识别 (13) 图6 应用控制 (15) 图7 一体化安全引擎 (16) 图8 双引擎多核并发 (18) 图9 典型部署 (19)
下一代防火墙-概念-本质
下一代防火墙:从概念回归本质 与传统防火墙相比,下一代防火墙性能有了很大的提升,体现了极强的可视性、融合性、智能化。那么,究竟何为NGFW的本质特征?NGFW的必备功能是什么?NGFW与UTM的区别究竟在哪里? AD:2013大数据全球技术峰会低价抢票中从2007年Palo Alto Networks发布世界第一款下一代防火墙(NGFW)产品至今已经有五年多的光景,这期间不少国内外的厂商相继推出了NGFW。例如:深信服、梭子鱼(Barracuda Networks)、Check Point、网康、天融信等。在防火墙市场,已经展现出一场群雄争霸的局面。 NGFW应企业需求而生 随着互联网的快速发展,各种应用程序的爆发,企业面临着常用应用程序中的漏洞带来的风险。 网络通信不再像以前一样紧紧是依赖于存储和转发应用程序(例如电子邮件),而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息(IM)和P2P应用程序、语音IP 电话(VoIP)、流媒体和电话会议,这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序(只是消耗带宽或者带来危险)。 恶意软件和网络攻击者瞄准了这个场所,让企业面临如数据泄露、潜在的渗透等风险。除了带来安全风险,这些应用程序也消耗带宽和生产力,并且与关键业务型应用程序抢夺网络带宽。因此,企业需要工具来保证业务关键应用程序的带宽,并需要应用程序智能和控制来保护入站和出站的流量,同时确保速度和安全性以提供高效的工作环境。 应企业需求,在多种多样大量的应用程序环境下,仅靠传统防火墙的功能似乎显得力不从心,它们的技术实际上已经过时,因为它们无法检查攻击者散播的网络数据包的数据负载。而NGFW可以提供应用智能控制、入侵防御、恶意软件防护和SSL检查,还可扩展到支持最高性能网络。 众说纷纭NGFW 市场呼唤新的防火墙产品。需要注意的是,机构对下一代防火墙所做出的定义是其最小化的功能集合,而从安全厂商的角度看,则会根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异,它们更像一个大而全的
防火墙购买方案
防火墙购买方案 Document number【AA80KGB-AA98YT-AAT8CB-2A6UT-A18GG】
北京(怀柔)量子伟业网络升级-防火墙 网络负责人:陆思远
防火墙的作用: 防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网交界点上。防火墙具有很好的网络安全保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。 主要作用: (1)Internet防火墙可以防止Internet 上的危险(病毒、资源盗用)传播到网络内部。 (2)能强化安全策略; (3)能有效记录Internet上的活动;(4)可限制暴露用户点; (5)它是安全策略的检查点。?
软件防火墙与硬件防火墙区别: 硬件防火墙:系统是嵌入式的系统。一般开源的较多。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的。 软件防火墙:一般寄生在操作系统平台。软件防火墙是通过纯软件的的方式实现隔离内外部网络的目的。硬件防火墙是流行趋势,相比软件防火墙除成本外很有优势。 1、性能优势。防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps,从几十M 到几百M不等,还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。硬件防火墙是通过硬件实现的功能,所以效率高,其次因为它本身就是专门为了防火墙这一个任务设计
的,内核针对性很强,所以在抗攻击能力比软件防火墙高很多。 2、CPU占用率的优势。硬件防火墙的CPU占用率当然是0了,而软件防火墙就不同了,如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上,当数据流量较大时,CPU占用率将是主机的杀手,将拖跨主机。? 3、售后支持。硬件防火墙厂家会对防火墙产品有跟踪的服务支持,而软件防火墙的用户能得到这种机会的相对较少,而且厂家也不会在软件防火墙上下太大的功夫和研发经费。
华为下一代防火墙
产品概述 企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。移动APP 、Web2.0、社交网络让企业处于开放的网络环境,攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透,企业面临前所未有的安全风险,传统防火墙面对变革却无能为力。 华为Secospace USG6300系列下一代防火墙应需而生,面向下一代网络环境,基于“ACTUAL ”感知,实现安全管理自我优化,通过云沙箱技术和信誉体系识别未知威胁,高性能地为中小企业、大型企业的分支机构、小型数据中心提供以应用层威胁防护为核心的下一代网络安全。 华为Secospace USG6300系列 下一代防火墙 产品特点 最精准的应用访问控制 ?全面创新的下一代环境感知和访问控制。通过应用、内容、时间、 用户、威胁和位置六个维度的组合,全局感知日益增多的应用层威胁,实现应用层安全防护。 ?丰富的报表将业务状态、网络环境、安全态势、用户行为等可视化展现,让用户全方位感知,安全运营。 ?深度融合的下一代内容安全。通过解析引擎合并,将安全能力与应用识别深度融合,防范借助应用进行的恶意代码植入、网络入侵、 数据窃取等破坏行为。 最高的性能体验 ?专用软硬件平台架构,IAE 单次解析引擎。智能感知应用信息后, 全安全特性并行处理。 ?内容检测硬件加速,提升应用层防护效率,保障全安全特性开启下的最佳性能。 最简单的安全管理 ?根据应用场景提供策略模板,实现策略快速部署。 ?根据网络中的实际流量和应用的风险,遵循最小权限控制原则,自动生成策略优化建议。 ?分析策略命中率,发现冗余、失效的策略,有效控制策略规模,简化管理。 最全面的未知威胁防护 ?遍布全球的安全中心,丰富的可疑样本来源。在云端采用沙箱技术,在模拟环境中监控可疑样本的运行行为,高效发现未知威胁。 ?发现未知威胁后自动提取威胁特征,并迅速将特征同步到设备侧,有效防范零日攻击。 ?准确、完善的信誉体系,防范APT 攻击。 USG6370/6380/6390 USG6310/6320 USG6330/6350/6360
下一代防火墙设计方案V2
惠尔顿下一代防火墙 (NGWF) 设计方案 深圳市惠尔顿信息技术有限公司 2016年5月1日
目录 一、方案背景 (2) 二、网络安全现状 (2) 三、惠尔顿下一代防火墙(NGWF)介绍及优势 (7) 四、惠尔顿NGWF功能简介 (10) 五、部署模式及网络拓扑 (14) 六、项目报价 (15) 七、售后服务 (16)
一、方案背景 无锡某部队响应国家公安部82号令号召,加强部队网络安全建设。针对目前网络存在的涉密、泄密、木马、病毒等进行预防。 二、网络安全现状 近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。
Cisco Firepower 下一代防火墙
数据表 Cisco Firepower 下一代防火墙 Cisco Firepower? 下一代防火墙 (NGFW) 是业内首款具有统一管理功能的完全集成、专注于威胁防御的下一代防火墙。它包括应用可视性与可控性 (AVC)、可选的 Firepower 下一代 IPS (NGIPS)、思科?高级恶意软件防护 (AMP) 和 URL 过滤。在攻击前、攻击中和攻击后,Cisco Firepower NGFW 均可提供高级威胁防护。 性能亮点 表 1 概述 Cisco Firepower NGFW 4100 系列和 9300 设备的性能亮点。 表 1. 性能亮点 1 Cisco Firepower 4150 计划于 2016 年上半年发布;具体技术参数将于日后发布 2 数据包平均大小为 1024 字节的 HTTP 会话 Cisco Firepower 4100 系列: 带 40-GbE 接口的业内首款 1RU NGFW Cisco Firepower 9300: 随需求增长可扩展的超高性能 NGFW
平台支持 Cisco Firepower 4100 系列和 Firepower 9300 NGFW 设备使用 Cisco Firepower 威胁防御软件映像。这些设备还可以支持思科自适应安全设备 (ASA) 软件映像。Cisco Firepower 管理中心(原来的 FireSIGHT)提供 Cisco Firepower NGFW 以及 Cisco Firepower NGIPS 和思科 AMP 的统一管理。此外,优选 Cisco Firepower 设备上还提供直接源自思科的 Radware DefensePro 分布式拒绝服务 (DDoS) 缓解功能。 Cisco Firepower 4100 系列设备 Cisco Firepower 4100 系列包括四个专注于威胁防御的 NGFW 安全平台。其最大吞吐量从 20 Gbps 到 60 Gbps 以上,可应对从互联网边缘到数据中心等各种使用案例。它们可提供卓越的威胁防御能力以及更快的响应速度,同时占用空间却更小。 Cisco Firepower 9300 设备 Cisco Firepower 9300 是可扩展(超过 1 Tbps)运营商级模块化平台,专为要求低(少于 5 微秒分流)延迟和超大吞吐量的运营商、高性能计算中心、数据中心、园区、高频交易环境等打造。Cisco Firepower 9300 通过 RESTful API 实现分流、可编程的安全服务协调和管理。此外,它还可用于兼容 NEBS 的配置中。 性能规范和功能亮点 表 2 概述 Cisco Firepower NGFW 4100 系列和 9300 设备在运行 Cisco Firepower 威胁防御映像时的功能。 表 2.通过 Firepower 威胁防御映像实现的性能规范和功能亮点
下一代防火墙解决方案讲解
下一代防火墙解决方案
目录 1 网络现状 (3) 2 解决方案 (9) 2.1 网络设备部署图 (9) 2.2 部署说明 (9) 2.3 解决方案详述 (9) 2.3.1 流量管理 (10) 2.3.2 应用控制 (12) 2.3.3 网络安全 (12) 3 报价 (25)
1 网络现状 随着网络技术的快速发展,现在我们对网络安全的关注越来越重视。近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom 等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型
下一代防火墙解决方案-互联网Web业务自适应安全方案
互联网Web业务自适应安全方案
目录 互联网Web业务自适应安全方案 (1) 一、应用背景 (3) 二、需求分析 (3) 三、深信服解决之道 (5) 3.1 OWASP十大web攻击防护 (6) 3.2系统/应用漏洞攻击防护 (7) 3.3威胁情报预警与处置 (8) 3.4专业的网页防篡改 (8) 3.5高效精准的黑链检测 (9) 3.6多维敏感信息防泄漏 (9) 3.7 智能化CC攻击防护 (10) 3.8 可视化网站风险展示 (10) 3.9自助化快速安全运维 (11)
一、应用背景 随着电子商务、Web2.0、互联网+等一系列创新的产品和理念的发展,基于Web环境的互联网应用越来越广泛,门户网站、办公应用、在线考试、网上银行、网络购物、网络游戏、在线视频等很多互联网应用都架设在Web平台上。国家互联网应急中心统计显示,当前互联网上WEB业务应用流量占比非常高。 Web业务的迅速发展也引起黑客的强烈关注,紧随而来的就是Web安全威胁的凸显,黑客利用网站操作系统和服务程序漏洞,很容易获得Web服务器的控制权限,实现篡改网页内容、窃取重要数据、植入恶意代码、发起拒绝服务等各种恶意目的,使得网站建设方和访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对网站安全的关注度也持续提升。 二、需求分析 国家互联网应急中心(CNCERT/CC)《2014中国互联网网络安全报告》显示“我国网站安全问题非常严峻,2014年我国境内被篡改网站数量为137334个,较2013年大幅增长53.8%;2014年,监测到仿冒我国境内网站的钓鱼页面99409个,涉及IP地址6844个,其中89.4%的IP地址位于境外;2014年,监测到境内40186个网站被植入后门,其中政府网站有1529个”。严重的网站安全问题进一步引发网站用户信息和数据的泄露等问题。2014年,国内先后发生用户开房信息泄露、12306用户信息泄露、团购网站账户信息泄露、社保账户信息泄露等多
下一代防火墙,安全防护三步走
下一代防火墙,安全防护三步走 下一代防火墙区别于传统防火墙的核心特色之一是对应用的识别、控制和安全性保障。这种显著区别源自于Web2.0与Web1.0这两个不同网络时代下的模式变迁。传统的Web1.0网络以服务请求与服务提供为主要特征,服务提供方提供的服务形态、遵循的协议都比较固定和专一,随着社会化网络Web2.0时代的到来,各种服务协议、形态已不再一尘不变,代之以复用、变种、行为差异为主要特征的各种应用的使用和共享。本文即针对下一代防火墙的这一主要特征,从基于应用的识别、控制、扫描的三步走中,阐述新时代网络环境下的防护重点和安全变迁,旨在帮助读者对下一代防火墙新的核心防护理念做一个较为全面的梳理和归纳。面对应用层威胁,传统防火墙遭遇“阿喀琉斯之踵” 1.新的应用带来全新的应用层威胁 Web2.0应用虽然可以显著增强协作能力,提高生产效率,但同时也不可避免地带来了新的安全威胁。 1)恶意软件入侵 WEB应用中社交网络的普及给恶意软件的入侵带来了巨大的便利,例如灰色软件或链接到恶意站点的链接。用户的一条评价、一篇帖子、或者一次照片上传都可能包含殃及用户或甚至整个网络的恶意代码。例如,如果用户在下载驱动程序的过程中点击了含有恶意站点的链接,就很有可能在不知情的情况下下载了恶意软件。 2)网络带宽消耗对于部分应用来说,广泛的使用会导致网络带宽的过渡消耗。例如优酷视频可以导致网络拥塞并阻碍关键业务使用和交付。还有对于文件共享类应用,由于存在大量的文件之间的频繁交换,也可能会最终导致网络陷入瘫痪。 3)机密资料外泄某些应用(如即时通信,P2P下载等)可提供向外传输文件附件的功能,如果对外传输的这些文件存在敏感、机密的信息,那么将给企业带来无形和有形资产的损失,并且也会带来潜在的民事和刑事责任。 2.传统防火墙的“阿喀琉斯之踵” 由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。对于WEB2.0应用来说,传统防火墙看到的所有基于浏览器的应用程序的流量是完全一样的,因而无法区分各种应用程序,更无法实施策略来区分哪些是不当的、不需要的或不适当的程序,或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议,会导致阻止所有基于web的流量,其中包括合法商业用途的内容和服务。另外传统防火墙也检测不到基于隧道的应用,以及加密后的数据包,甚至不能屏蔽使用非标准端口号的非法应用。下一代防火墙之“三步走” 下一代防火墙的核心理念其实是在企业网络边界建立以应用为核心的网络安全策略,通过智能化识别、精细化控制、一体化扫描等逐层递进方式实现用户/应用行为的可视,可控、合规和安全,从而保障网络应用被安全高效的使用。第一步:智能化识别通过智能化应用、用户识别技术可将网络中简单的IP地址/端口号信息转换为更容易识别且更加智能化的用户身份信息和应用程序信息,为下一代防火墙后续的基于应用的策略控制和安全扫描提供的识别基础。例如:对于同样一条数据信息,传统防火墙看到的是:某源IP通过某端口访问了某目的IP;下一代防火墙看到:某单位张三通过QQ给远在美国的李四传输了一个PDF文件。第二步:精细化控制下一代防火墙可以根据风险级别、应用类型是否消耗带宽等多种方式对应用进行分类,并且通过应用访问控制,应用带宽管理或者应用安全扫描等不同的策略对应用分别进行细粒度的控制。相对于传统防火墙,下一代防火墙可以区分同一个应用的合法行为和非法行为,并且对非法行为进行阻断。如:下一代防火墙可以允许使用QQ的前提下,禁止QQ的文件传输动作,从而一定程度上避免单位员工由于传输QQ文件造成的内部信息泄漏。第三步:一体化扫描在完成智能化识别和精细化控制以后,对允许使用且存在高安全风险的网络应用,下一代防火墙可以进行漏洞、病毒、URL和内容等不同层次深度扫描,如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断等动作。下一代防火墙在引擎设计上采用了单次解析架构,这种引擎架构可以保证引擎系统在数据流流入时,一次性地完成
下一代防火墙多链路负载技术方案
多链路负载均衡解决方案 1.背景 在企业信息化发展过程中,企业网络对出口带宽的需求日益增加,为此很多企业都同时租用多个运行商链路,或者一个运营商的多条链路。通过多链路接入可以增加带宽,同时起到分流作用;多链路接入还可以起到链路备份功能,如果其中的一条线路断开,则自动使用另外一条线路;所以,在企业网络出口以多链路方式接入变得越来越普遍,如何更高效的利用多链路带宽资源成为一个新的挑战。 2.典型用户问题 随着业务规模的发展,初建网络时的一个出口链路已经不能满足业务流量的带宽需求,所以许多企业通过新增出口链路的方式来扩展带宽。相比于直接扩容初始链路的带宽,新增出口链路更为灵活、方便和节约成本。同时,多条链路可以提高出口的稳定性,如果其中有一条链路出现故障,导致中断,另外的链路可以将流量接管过来,起到备份保障的作用。 多出口链路的部署方式,改变了业务流量“一条道跑到黑”的模式,当业务流量走到网关的十字路口前,从哪个出口走出去,成为多链路负载均衡需要解决的技术问题。 1)多条链路带宽差异大:企业网络初建时,迫于成本压力,一般出口带宽都较小,而后期新增链路的带宽都比较大,造成非对称的多出口链路。 如果业务流量不能合理分配,就会造成一条链路带宽被占满,其它链路 还处于空闲,导致大量带宽被浪费。 2)多运营商网络质量差异大:目前,国内的网络运营商之间竞争激烈,不同运营商的网络质量不同,跨运营商的访问存在延迟很大,丢包较多的 现状。比如访问互联网的一个WEB站点,一般DNS服务器对一个域名只能解析出一个IP,如果该域名解析出是联通的IP,电信线路的用户访问
该IP的体验将非常缓慢。那么内网用户访问该WEB站点的流量该从哪个运营商的出口链路出去,才能有更好的网络体验,是网关设备必须要解 决的问题。 3)多种应用对带宽需求差异大:随着互联网技术的快速发展,网络上的各种应用层出不穷,各种网络应用对带宽的需求不同。比如P2P下载对带 宽需求非常大,因为P2P会产生大量连接,连接地址不仅数量众多而且 均不固定,可以迅速的挤占出口带宽,导致业务流量无法正常转发,影 响企业业务运转和工作效率。 3.解决之道 网康下一代防火墙NGFW产品在提供全方位的安全防护的功能的基础上,在网关模式部署时提供多链路负载均衡功能,以适应用户多运营商链路或同运营商多链路接入的应用场景。 NGFW 办公区1办公区N 核心交换机 …… NGFW多链路负载均衡结构图
下一代防火墙 白皮书V1.0-1108
深信服下一代防火墙NGAF 技术白皮书 深信服科技有限公司 https://www.360docs.net/doc/fe5667657.html, 二零一一年八月
目录 1.概述 (3) 2. 为什么需要下一代防火墙 (3) 2.1网络发展的趋势使防火墙以及传统方案失效 (3) 2.2替代性方案能否弥补 (4) 2.2.1“打补丁式的方案” (4) 2.2.2 UTM统一威胁管理 (4) 3.下一代防火墙的诞生与价值 (4) 3.1Gantner定义下一代防火墙 (4) 3.2深信服下一代应用防火墙—NGAF (5) 4.产品功能特点 (6) 4.1更精细的应用层安全控制 (6) 4.1.1可视化应用识别 (7) 4.1.2多种用户识别方式 (7) 4.1.3一体化应用访问控制策略 (8) 4.1.4基于应用的流量管理 (9) 4.2更全面的内容级安全防护 (10) 4.2.1灰度威胁关联分析技术 (10) 4.2.2基于攻击过程的服务器保护 (12) 4.2.3强化的WEB安全防护 (13) 4.2.4完整的终端安全保护 (14) 4.3更高性能的应用层处理能力 (15) 4.3.1单次解析架构 (15) 4.3.2多核并行处理技术 (16) 4.4更完整的安全防护方案 (16) 5.关于深信服 (17)
1.概述 防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。防火墙就像故宫的城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。防火墙技术在当时被堪称完美!随着时代的变迁,故宫的城墙已黯然失色,失去了它原有的防御能力。同样防火墙在面对网络的高速发展,应用的不断增多的时代也失去了它不可替代的地位。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后,于2011年正式发布深信服“下一代应用防火墙”——NGAF。 2. 为什么需要下一代防火墙 2.1网络发展的趋势使防火墙以及传统方案失效 防火墙作为一款历史悠久的经典产品,在IP/端口的网络时代,发挥了巨大的作用:合理的分隔了安全域,有效的阻止了外部的网络攻击。防火墙在设计时的针对性,在当时显然是网络安全的最佳选择。但在网络应用高速发展,网络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题: 1、应用安全防护的问题: 传统防火墙基于IP/端口,无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 2、安全管理的问题: 传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略,并且这些基于IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。
下一代防火墙
下一代防火墙 作者:来源:发布时间:2011-01-07 防火墙必须演进,才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。随着攻击变得越来越复杂,企业必须更新网络防火墙和入侵防御能力来保护业务系统。 不断变化的业务流程、企业部署的技术,以及威胁,正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web 2.0),正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。在这种环境中,简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测,不再有足够的价值。为了应对这些挑战,防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(Next Generation Firewall,简称NGFW)”的产品。如果防火墙厂商不进行这些改变的话,企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。 一、什么是NGFW? 对于使用僵尸网络传播方式的威胁,第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加,更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知攻击方法,但不能有效地识别和阻止应用程序的滥用,更不要说应用程序中的特殊性了。 Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。 NGFW至少具有以下属性: 1.支持联机“bump-in-the-wire”配置,不中断网络运行。 2.发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS 加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。(3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止G oToMyPC。(4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。 3.支持新信息馈送和新技术集成的升级路径来应对未来的威胁。 举个例子,NGFW可以阻止细粒度的网络安全政策违规或发出报警。如使用Web邮件、匿名服务器、对等网络技术或PC远程控制,只简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信,而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现,这意味着有许多NGFW可以识别和阻止不受欢迎的应用,即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制。因为,消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。 二、什么不是NGFW? 现在有一些与NGFW相近,但不相同的基于网络的安全产品领域: 1.中小企业多功能防火墙或UTM设备:这类设备是提供多种安全功能的单一设备。尽管它们总是包含第一代防火墙和IPS功能,但它们不提供应用意识功能,而且不是集成的、单引擎产
Paloalto下一代防火墙运维手册
Paloalto防火墙运维手册 目录 1.下一代防火墙产品简介................................. 错误!未定义书签。 2.查看会话 ............................................ 错误!未定义书签。. 查看会话汇总........................................错误!未定义书签。. 查看session ID .....................................错误!未定义书签。. 条件选择查看会话....................................错误!未定义书签。. 查看当前并发会话数..................................错误!未定义书签。. 会话过多处理方法....................................错误!未定义书签。 3.清除会话 ............................................ 错误!未定义书签。 4.抓包和过滤 .......................................... 错误!未定义书签。 5.CPU和内存查看....................................... 错误!未定义书签。. 管理平台CPU和内存查看..............................错误!未定义书签。. 数据平台CPU和内存查看..............................错误!未定义书签。. 全局利用率查看......................................错误!未定义书签。 6.Debug和Less调试.................................... 错误!未定义书签。. 管理平台Debug/Less .................................错误!未定义书签。. 数据平台Debug/Less .................................错误!未定义书签。. 其他Debug/Less .....................................错误!未定义书签。 7.硬件异常查看及处理 .................................. 错误!未定义书签。. 电源状态查看........................................错误!未定义书签。. 风扇状态查看........................................错误!未定义书签。. 设备温度查看........................................错误!未定义书签。 8.日志查看 ............................................ 错误!未定义书签。. 告警日志查看........................................错误!未定义书签。. 配置日志查看........................................错误!未定义书签。. 其他日志查看........................................错误!未定义书签。 9.双机热备异常处理 .................................... 错误!未定义书签。 10.内网用户丢包排除方法................................. 错误!未定义书签。. 联通测试..........................................错误!未定义书签。. 会话查询..........................................错误!未定义书签。. 接口丢包查询......................................错误!未定义书签。. 抓包分析..........................................错误!未定义书签。 11.VPN故障处理......................................... 错误!未定义书签。 12.版本升级 ............................................ 错误!未定义书签。. Software升级.....................................错误!未定义书签。. Dynamic升级......................................错误!未定义书签。