话说下一代防火墙(NGFW)的“三个”
防火墙的发展历史
防⽕墙的发展历史防⽕墙发展历史第⼀代:包过滤防⽕墙第⼆代:代理防⽕墙第三代:状态监测防⽕墙(发展史上的⾥程碑)第四代:统⼀威胁管理(简称UTM)第五代:下⼀代防⽕墙(简称NG)NOTE:1) 我们现在常见的防⽕墙都是第五代防⽕墙。
2) 第五代防⽕墙的名字就叫“下⼀代防⽕墙”,没有指代之意。
第⼀代和第⼆代防⽕墙第⼀代防⽕墙是1989年产⽣的,仅能实现简单的访问控制。
第⼆代防⽕墙是代理防⽕墙,在应⽤层代理内部⽹络和外部⽹络之间的通信。
代理防⽕墙的安全较⾼,但是处理速度较慢,⽽且对每⼀个应⽤都要开发⼀个代理服务很难做到,因此只能对少量的应⽤提供代理⽀持。
我们下⾯描述⼀下第⼀代防⽕墙和第⼆代防⽕墙的⼯作过程:如上图所⽰,PC和WEB服务器位于不同的⽹络,分别与防⽕墙相连,PC与WEB服务器之间的通信受到防⽕墙的控制。
当PC需要访问WEB服务器⽹页时,在防⽕墙上必须配置下表当中列出的⼀条规则:允许PC访问访问WEB服务器的报⽂通过。
这⾥说的规则其实就是指防⽕墙上的安全策略。
只不过本节重点讲解状态检测和会话机制,安全策略不是重点,所以通过规则来简化描述。
关于安全策略的内容我们将在后⾯的⽂章当中讲解。
在这条规则当中,源端⼝处的ANY表⽰任意端⼝,这是因为PC在访问WEB的时候端⼝是操作系统随机指定的,并不是确定的,所以这⾥设定为任意端⼝。
配置了这条规则之后,PC发出的报⽂就可以顺利的通过防⽕墙,到达WEB服务器,然后WEB服务器会向PC发送回应报⽂,这个报⽂也要穿过防⽕墙,在第三代防⽕墙(状态监测防⽕墙)出现之前,第⼀代和第⼆代防⽕墙还必须配置下表当中的规则,允许反⽅向的报⽂通过防⽕墙。
在规则2当中,⽬的端⼝也没有设定为任意端⼝,因为我们⽆法确定PC访问WEB到底⽤的哪个端⼝,要想使得WEB服务器的回应报⽂顺利通过防⽕墙到达PC,只能将规则2当中的⽬的端⼝设定为任意端⼝。
任意端⼝其实也就是所有端⼝,这样会有很⼤的安全隐患,外部的恶意报⽂者伪装成WEB服务器,就可以畅通⽆阻的穿过防⽕墙,PC 将会⾯临严重的安全风险。
天融信NGFW系列防火墙-猎豹(万兆)产品说明
深信服下一代防火墙介绍
传统防火墙厂商
从90年代随着我国第一波信息化 安全浪潮涌现了老牌安全公司, 同时2000年之后涌现了山石网科, 定位为传统防火墙厂商,其防火 墙专注于传统防火墙功能,如网 络适应性、访问控制协议、会话 管理等基本功能。 典型代表:天融信、启明星辰、 绿盟科技
国外厂商
在中国的外资厂商,国外厂商采 用渠道化战略,定位中高端客户, 通常高度产品化,以技术路线运 作项目 典型代表:Fortinet(飞塔)、 Checkpoint、Palo Alto
集成 学习
深度神
SAVE
经网络
深信服人工智能杀毒引擎SAVE
Sangfor Anti-Virus Engine
自然语 言处理
创新人工智能无特征技术 准确检测未知病毒
Bad Rabbit(17年10月出现的最新勒索 病毒),年后最新出现的 GlobeImposter 2.0 勒索病毒均能使用旧模型查杀。
解决之道之二:简单有效
全程可视
风险的可视 保护过程的可视 保护结果的可视
优势1
简单交付
一体化策略部署 全过程运营中心 综合风险报表
优势 2
高效稳定
单次解析 多模匹配算法 软硬件双冗余架构
优势 3
1 防火墙需求背景 2 产品功能 3 价值主张 4 市场地位
为什么之选深信服NGAF?
高速增长,年复合增长超70% 2011年发布国内首台下一代防火墙 4万家用户一致好评 5.4万台在线稳定运行
简单有效
全程可视+简单交付
解决之道之一:融合安全
事前 预知
事中 防御
事后 检测/响应
解决之道之一:融合安全
潜伏威胁事件检测 和分析 4
安全策略加固和有效 性自检
Cisco Firepower 下一代防火墙
数据表Cisco Firepower 下一代防火墙Cisco Firepower™ 下一代防火墙 (NGFW) 是业内首款具有统一管理功能的完全集成、专注于威胁防御的下一代防火墙。
它包括应用可视性与可控性 (AVC)、可选的Firepower 下一代 IPS (NGIPS)、思科®高级恶意软件防护 (AMP) 和 URL 过滤。
在攻击前、攻击中和攻击后,Cisco Firepower NGFW 均可提供高级威胁防护。
性能亮点表 1 概述 Cisco Firepower NGFW 4100 系列和 9300 设备的性能亮点。
表 1.性能亮点1 Cisco Firepower 4150 计划于 2016 年上半年发布;具体技术参数将于日后发布 2数据包平均大小为 1024 字节的 HTTP 会话Cisco Firepower 4100 系列: 带 40-GbE 接口的业内首款 1RU NGFWCisco Firepower 9300: 随需求增长可扩展的超高性能 NGFW平台支持Cisco Firepower 4100 系列和 Firepower 9300 NGFW 设备使用 Cisco Firepower 威胁防御软件映像。
这些设备还可以支持思科自适应安全设备 (ASA) 软件映像。
Cisco Firepower 管理中心(原来的 FireSIGHT)提供 Cisco Firepower NGFW 以及 Cisco Firepower NGIPS 和思科 AMP 的统一管理。
此外,优选 Cisco Firepower 设备上还提供直接源自思科的 Radware DefensePro 分布式拒绝服务 (DDoS) 缓解功能。
Cisco Firepower 4100 系列设备Cisco Firepower 4100 系列包括四个专注于威胁防御的 NGFW 安全平台。
其最大吞吐量从 20 Gbps 到 60 Gbps 以上,可应对从互联网边缘到数据中心等各种使用案例。
思科 Firepower 4110
产品手册思科 Firepower 下一代防火墙思科 Firepower™下一代防火墙 (NGFW) 是业内首款专注于威胁防御的下一代防火墙,它将多种功能完全集于一身,采用统一管理,可在攻击前、攻击中和攻击后提供独一无二的高级威胁防护。
阻止更多威胁使用行业领先的思科®高级恶意软件防护(AMP) 和沙盒技术遏制各种已知和未知恶意软件。
获得更高可视性思科 Firepower 下一代 IPS 可对您的环境提供卓越的可视性。
它能自动确定风险评级和影响标记,从而帮助您的团队确定事务优先级。
加快检测和响应速度思科年度安全报告确定各企业的从感染到检测的中值时间为 100 天。
而思科能够将检测时间缩短至不到一天。
降低复杂性通过紧密集成应用防火墙、NGIPS 和 AMP 等安全功能实现统一管理和自动威胁关联。
让您的网络发挥更多价值选择性地集成其他的思科和第三方网络和安全解决方案,提高安全性和利用现有投资。
性能亮点表 1 概括列出思科 Firepower NGFW 4100 系列和 9300 安全设备及特定思科 ASA 5500-X 设备的性能亮点。
Table 1. 性能亮点功能思科 Firepower 型号思科 ASA 5500-FTD-X 型号4110 4120 4140 4150 带 1 个SM-24 模块的 930带 1 个SM-36 模块的 930带 1 个SM-44 模块的 930带 3 个SM-44 模块的 9305506-FTD-X5506W-FTD-X5506H-FTD-X5508-FTD-X5516-FTD-X5525-FTD-X5545-FTD-X5555-FTD-X防火墙吞吐量 (ASA)35 Gbps 60 Gbps 70 Gbps 75 Gbps 75 Gbps 80 Gbps 80 Gbps 234 Gbps 750 Mbps750 Mbps750 Mbps1 Gbps 1.8 Gbps2 Gbps3 Gbps4 Gbps吞吐量:防火墙+ AVC(Firepower 威胁防御)12 Gbps 20 Gbps 25 Gbps 30 Gbps 30 Gbps 42 Gbps 54 Gbps 135 Gbps 250 Mbps250 Mbps250 Mbps450 Mbps850 Mbps1100 Mbps1500 Mbps1750 Mbps吞吐量:防火墙+ AVC + NGIPS(Firepower 威胁防御)10 Gbps 15 Gbps 20 Gbps 24 Gbps 24 Gbps 34 Gbps 53 Gbps 133 Gbps 125 Mbps125 Mbps125 Mbps250 Mbps450 Mbps650 Mbps1000 Mbps1250 Mbps1吞吐量计算基于数据包平均大小为 1024 字节的 HTTP 会话。
Gartner定义下一代防火墙
Gartner定义下一代防火墙防火墙必须演进,才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。
随着攻击变得越来越复杂,企业必须更新网络防火墙和入侵防御能力来保护业务系统。
不断变化的业务流程、企业部署的技术,以及威胁,正推动对网络安全性的新需求。
不断增长的带宽需求和新应用架构(如Web2.0),正在改变协议的使用方式和数据的传输方式。
安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。
在这种环境中,简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测,不再有足够的价值。
为了应对这些挑战,防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(NextGenerationFirewall,简称NGFW)”的产品。
如果防火墙厂商不进行这些改变的话,企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。
一、什么是NGFW?对于使用僵尸网络传播方式的威胁,第一代防火墙基本上是看不到的。
随着面向服务的架构和Web2.0使用的增加,更多的通信通过更少的端口(如HTTP 和HTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不太合适和不太有效。
深度包检测入侵防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知攻击方法,但不能有效地识别和阻止应用程序的滥用,更不要说应用程序中的特殊性了。
Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。
Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。
NGFW至少具有以下属性:1.支持联机“bump-in-the-wire”配置,不中断网络运行。
2.发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。
深信服下一代防火墙NGAF 品牌实力介绍
深信服下一代防火墙中国第一品牌下一代防火墙已是大势所趋国际三大权威IT调研机构一致推荐优先使用下一代防火墙『我们预计到2014 年,35% 的企业将会安装下一代防火墙,而60%用户新购买的防火墙将是NGFW,并且它会拥有紧密集成的入侵防护、应用可视性和控制功能。
』——Gartner『随着市场对下一代安全网关的需求增加,预计到2018年,这一比例将达到80%,2013到2018年的5年复合增长率超过40%。
』——IDC『我们不再将整合式防火墙(Integrated Appliance)中入侵检测(IDS)/入侵防御(IPS)的市场份额取出,而是将下一代防火墙中的各个功能视为一个整体,称为”整合式网络安全设备”。
』——Frost&Sullivan90%的主流安全厂商已发布下一代防火墙目前国内主流的安全厂商已发布下一代防火墙,而作为国内下一代防火墙第一品牌,早在2011年,深信服就发布国内首款下一代防火墙NGAF,自发布后国内追随者不断,但销量一直稳居市场份额榜首,拥有最多用户数量。
截止2014年9月,深信服下一代防火墙在全国的用户累计超过8000家,在线稳定运行的设备超过15000台。
用户覆盖各行各业,其中包括60多家部委省厅级单位、80多家运营商金融单位、90多家知名教育单位、超过百家大型企业,国资委下属央企集团,用户数量遥遥领先。
68%的用户已优先选择下一代防火墙根据深信服往年的销售数据分析,在有安全建设需求的客户当中已有68%的客户购买了下一代防火墙。
国内第二代防火墙标准发布2015年2月4日由公安部网络安全保卫局、公安部科技信息化局和公安部第三研究所指导,深信服科技等国内主流安全厂商主办的第二代防火墙标准联合发布会在京召开,标志着国内下一代防火墙产品的技术选型有了权威的指导标准。
而深信服则是最早参与起草第二代防火墙标准的国内安全厂商,在标准的制定过程当中积极参与主导,提供了大量的技术咨询,建议和修订工作,历史两年最终完成该标准的出台和发布。
下一代防火墙产品知识介绍
➢ 恶意代码发现 ➢ 蜜罐系统 ➢ 底层硬件威胁检查 ➢ 网络边界完整性检查
工控安全系列
➢ 工控防火墙 ➢ 工控入侵检测/工控业
务检测 ➢ 工控漏扫/工控安全运
维平台 ➢ 工控终端控制/工控无
线安全 ➢…
传统上,防火墙的安全能力包括:
• 基于IP五元组的访问控制策略 • 基于静态特征匹配的应用层安全防护 • 对网络行为和部分明文数据记录日志 • 策略配置和威胁处理依赖管理员技术能力 • 单纯防火墙形态可支撑数G的业务流量
➢ 终端管理 ➢ 终端防泄密 ➢ 景云网络防病毒 ➢ 移动设备管理 ➢ 数据安全(文档加密)
泰合系列
➢ 安全管理平台(SOC) ➢ 业务支撑平台(BSM) ➢ 综合日志审计(SA) ➢ 网络行为分析(NBA) ➢ 应用性能管理(APM) ➢ 4A平台 ➢ 弱口令核查系统 ➢ 漏洞管理平台
合众系列
➢ 视频安全交换系统 ➢ 光盘物理摆渡系统 ➢ 电子文档访问控制 ➢ 分布式数据库系统 ➢ 大数据基础平台 ➢ 数据集成系统 ➢ 请求服务系统 ➢ 集中监控管理系统
平面(安全业务处理) 动态分配不同平面的CPU资源,无分流瓶颈或业务瓶颈 开启全部安全特性,64字节小包吞吐量可达100G bps
T系列NGFW有效提升您的下一代安全能力
基础
高性能架构
基于第三代多核并行化架构, 提供高达160G的吞吐能力和 超万兆实网性能。
核心价值
安全控制能力
基于七元组、多维度的安全 控制能力,涵盖访问控制、 会话控制、行为控制和流量 控制
Internet
可疑文件发送至APT检测引擎
分析样本 提取特征
– T系列下一代防火墙支持与启明星辰天清APT形成安全解决方案,为客户提供面向0DAY/APT攻击的 纵深防护体系。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
话说下一代防火墙(NGFW)的“三个”
下一代防火墙"NGFW"一个从产生到日渐成熟仍旧拥有一定热度的词汇,相较于传统的防火墙,NGFW的安全性能有了很大的提升,体现了极强的可视性、融合性、智能化。
本文来和大家
说说下一代防火墙的"三个"。
下一代防火墙"NGFW",一个从产生到日渐成熟仍旧拥有一定热度的词汇,相较于传统的防火墙,NGFW的安
全性能有了很大的提升,体现了极强的可视性、融合性、智能化。
本文来和大家说说下一代防火墙的"三个"。
下一代防火墙发展的三个拐点
事物的更新迭代是必然的,就像是一个朝代的兴起与衰落,而防火墙性能的提升自然也不会例外,于是下
一代防火墙应景而生。
同很多新生事物一样,它也需要慢慢的发展而后变得成熟。
下面我们一起看看它的
经历。
拐点一:下一代防火墙的萌动发展
随着国外用户对应用的增多、攻击复杂,传统的防火墙已经不能满足人们的需求。
于是美国的PaloAlto公司率先发布了下一代防火墙的产品,并凭借仅有的一条产品线在国外市场获得众多用户的青睐。
2009年,著名的分析机构Gartner年发布的一份名为《Defining the Next-Generation Firewall》的文章重新定义
了防火墙,它集成了深度包检测入侵测试、应用识别与精细控制。
这个定义一经发布便受到了国外一些安
全厂商的热捧,认为传统防火墙十多年缓慢的发展确实越来越不匹配其网络边界第一道防线的称号。
拐点二:下一代防火墙热潮汹涌
随着国外防火墙的升级发展,国内厂商也纷纷发布自己的下一代防火墙以顺应网络安全产品变革的趋势,
一股下一代防火墙的热潮被掀起。
这其中比较知名的厂商有:梭子鱼、深信服、锐捷、天融信、东软等,
各家产品有着各自不同的特点。
总的来说,下一代防火墙相比传统的防火墙功能更加的全面,性能更是强劲。
拐点三:下一代防火墙日渐成熟
热潮过后,厂商不断的反思对下一代防火墙进行改进升级。
从2011年国内的下一代防火墙开始发展至今,这近两年的时间过后,下一代防火墙越来越成熟,越来越被人们认可接受。
很多的用户使用下一代防火墙
来构建自己的网络安全防御体系,各行业也逐步在制定下一代防火墙的行业规范。
越来越多的用户发现,在选择五花八门的各类传统安全产品如防火墙、入侵防御、防病毒、web应用防火墙的时候下一代防火墙似乎能更好的满足其对网络安全建设的需求,因此越来越多的用户也逐步过渡到使用下一代防火墙的大军中来。
根据Gartner的预测,到 2014 年,35% 的企业将会安装下一代防火墙,而60%用户新购买的防火墙将是NGFW。
相比这个数字在国内很快就会得到验证。
NGFW对比传统防火墙三大优势:
优势一,支持联动的集成化IPS。
集成的网络入侵检测,支持面向安全漏洞的特征码和面向威胁的特征码。
IPS与防火墙的互动效果应当大于这两部分效果的总和。
例如提供防火墙规则来阻止某个地址不断向IPS 加载恶意传输流。
在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。
第二,应用管控与可视化。
应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。
第三,智能化联动。
额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。
如:利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。
NGFW三大必备功能:
第一,基于用户防护。
传统防火墙策略都是依赖IP或MAC地址来区分数据流,不利于管理也很难完成对网络状况的清晰掌握和精确控制。
下一代防火墙则具备用户身份管理系统,实现了分级、分组、权限、继承关系等功能,充分考虑到各种应用环境下不同的用户需求。
此外还可集成安全准入控制功能,支持多种认证协议与认证方式,实现基于用户的安全防护策略部署与可视化管控。
一些下一代防火墙产品的设计十分看重产品的实用性,对数据转发和安全业务处理流程进行了最大化的整合优化。
第二,面向应用安全。
在应用安全方面,下一代防火墙应该包括"智能流检测"和"虚拟化远程接入"。
一方面对各种应用深度识别;另一方面,在解决数据安全性问题时,通过将虚拟化技术与远程接入技术相结合,为远程接入终端提供虚拟应用发布与虚拟桌面功能,使其本地无需执行任何应用系统客户端程序就可完成与内网服务器端的数据交互,实现终端到业务系统的"无痕访问",进而达到终端与业务分离的目的。
如,一些下一代防火墙系统内置有上千种应用的特征库。
第三,融合安全技术,实现智能防护。
下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。
首先,可以通过"云"来收集安全威胁信息并快速寻找解决方案,及时更新攻击防护规则库并以动态的方式实时部署到各用户设备中,保证用户的安全防护策略得到及时、准确的动态更新,如:一些NGFW供应商就
采取了"全球化"的网络安全响应机制;其次,通过 "云",使得策略管理体系的安全策略漂移机制能够实现物理网络基于"人"、虚拟计算环境基于"VM"(虚拟机)的安全策略动态部署。
NGFW与UTM的三大区别:
第一,集成化、单引擎:UTM也提供多种安全功能的单一设备,尽管也包含第一代防火墙和IPS功能,但它们不提供应用意识功能,而且不是集成的、单引擎产品,它只是把多种安全引擎叠加在了一起,这会使数据流在每个安全引擎分别执行解码、状态复原等操作,导致大量的资源消耗。
而NGFW产品自设计之初,就采用了一体化的引擎。
第二,能适应不同规模的企业:UTM适合在分支办事机构中节省费用,适用于较小的公司,但满足不了大型企业需要。
第三,性能更强,管理更高效:传统UTM在功能叠加上无法实现应用高效,在管理控制上也有不足之处。
一些UTM设备有很多功能,如:防火墙、上网行为、应用识别、IPS等,但这仅仅是各种功能的堆叠,当这些功能全开时,性能会大打折扣。
下一代防火墙采用一体化引擎,可一次性对数据流完成识别、扫描,达到更高的性能,通过融合,还可让管理者更加轻松。
如,德国一家企业用了3000台下一代防火墙,却只需2个网管人员,这是因为它有一个集中设备管理器,以此可以高效低监控所有设备。
关于NGFW的三大争论:
争论一,NGFW就是个加强型的UTM。
这种观点认为,与UTM相比,下一代防火墙并没有本质的区别。
二者在功能上确实有相似之处,都强调安全功能的整合。
UTM是集成了常用安全功能的设备,包括传统防火墙、网络入侵检测与防护和网关防病毒功能,并且可能会集成其他一些安全或网络特性。
但如前所述,NGFW并非简单地对UTM的加强。
争论二,NGFW纯粹是厂商概念炒作,没什么新东西。
这种观点认为,下一代防火墙只是安全厂商在遭遇市场瓶颈后的新一轮概念炒作,并没有本质的功能提升。
我们不能完全排除一些厂商炒作的成分,但从客户需求本身来,传统的防火墙已然在应对新的安全威胁中力不从心,市场呼唤有一种新的更加有效安全防护方式来应对这些新威胁。
下一代防火墙的应运而生也就不能称之为炒作。
争论三,NGFW其实早就有,只是没归纳成概念。
一些厂商认为,从与用户企业的沟通中,根据用户的需求,在自家产品中很早就将"应用管控"、"可视化"等功能融入其中,这已经符合了下一代防火墙的思路和理念。
但只是并未概念化,将其归纳为"下一代"。
但实际上,业界对下一代防火墙的的几个必备要素已经基本达成共识,只有拥有这些基本要素的才可称为下一代防火墙。
对于用户企业而言,面对业界纷纷扰扰的概念争论和林林总总的新产品,应避免对厂商包装后的概念的肤浅认识,理解NGFW和UTM的本质特性,而不必拘泥于尚未完全统一的概念本身。
最重要的是,在此基础上,根据本企业的新的安全需求,选用最适合的安全产品和解决方案。