下一代防火墙_绿盟_下一代防火墙产品白皮书
中科神威防火墙V0技术白皮书
中科神威防火墙V4.0技术白皮书北京中科网威信息技术有限公司2018年7月1前言自2009年Gartner定义下一代防火墙以来,下一代防火墙在安全业界得到了很蓬勃的发展。
但是,当前下一代防火墙宣传大多是围绕着统一检测引擎、基于应用深入检测、流量可视等功能点,都只是对于UTM产品某一个或几个功能点的强化,这些对于客户的网络安全防护没有革命性的突破,无法满足当前网络大变革环境下的安全防护需求。
中科网威认为,防火墙要能称之为“下一代防火墙”(下一代防火墙,Next Generation Firewall),首先要满足虚拟化网络安全防护的需要,面向数据中心、私有云及共有云的云安全需求,并且彻底摒弃网关与终端的割裂式孤岛安全防护,为客户提供完整的、简单易用、低成本的安全防护解决方案。
因此,中科网威推出了“下一代防火墙”,不仅在统一检测引擎、基于用户、应用、内容的细粒度安全控制、一站式配置、流可视等方面具有优势,更重要的是面向云计算、面向虚拟化、面向未来,立足于云安全,为数据中心、公共云和私有云提供安全防护解决方案。
最新发布的中科神威系列安全产品在功能完善性、稳定性和性能上做了很大改进,支持态势感知地图上显示网络安全事件热点,让网络安全管理员全面掌握全网安全势态。
2中科神威防火墙2.1主要技术2.1.1国产自主可控软硬件平台中科神威防火墙系列的硬软件完全由中科网威自主设计,其中硬件平台的核心处理器采用了目前国内性能最好的第三代申威处理器SW1621,该处理器采用28nm生产工艺,16核,主频2.0GHz,每秒浮点运算次数高达512G,采用64位自主精简指令集,对溢出式攻击和恶意代码有天然的免疫能力。
同时采用的为配合申威处理器而专门研制的申威国产IO套片集成了PCI-E 交换功能、桥片功能和I/O功能,支持多种通用高速接口和低速接口并具有片上智能维护系统,可以替代非国产的桥片和I/O芯片,提高了整个硬件平台的国产化程度,也使整个主板的设计更加紧凑、兼容。
新华三集团联合IDC发布下一代防火墙技术白皮书
’ ’
一
A
坷 j 新 Fra biblioteki t l nd t t s t r y I n n o v a t i o m
新 华 三 集 团联 合 I DC 发 布 下 一 代 防 火 墙 技 术 白皮 书
…
醇涸 国 _
H, 新 # i
趋 势 l I ) ( 、 人 为, F ・ 代 防 火墙 其仃 f 个主 特 点 : “ 坩能
丧l , J ,发 网络 、 安 全 的虚拟 化 , 以应 川 为中心 . 打造 橄 简 、 随需 J 变 、
个 = 址 n 、 J I I ; 架构 的第 l J q 人乡 n 成部 分 ,作 一 个 坝 的越 平 滑演 进 的 I T新去 『 l 架 构 来越 被 f f 场 匝 的技 术发 展方 向 ,需 要 虹J J l 1 々业 、更7 J 『 1 1 圳 没施 会的发 全 J 不被刺 化 单 独将 安 令作 为 ・ 个子 . 牌 ,足 0 KJ l : 姒蒯 ,i f : F I " 简单、 信" f 连 一 以来 ・ 持 的 l f 场 定位 安 伞 、哇 ! 有 价 值 足深
【 国 内 市 皤 第 一 时 豁
下 代 防 火 艟 霉 晦 她 J
: 1 … _ r 下 在 州 代 举 防 f 火 化 的 没 、 汁 I t J ‘ 思 路 化 / 、 f J 、 拟 化 、 协 旧 ” 这 新 华 i 下 ・ 代 防 火 墙 .
斤 应 刈 “ 互联 + ” 时代 的新 J 安 全 b 战 .给 、 l l , 新 r r 拟 化 、叮 化 、 技 术 同和『 J 】 I 、 { 务链 等 方l 进 仃令面 的 新 , 、 l 努提 供 令 发 障 存符 类 复杂I ' l , ' J I 、 川环 境 F, 能构缱l 1 . 啦 的 网络 防御 体 系 ,
绿盟Web应用防火墙产品白皮书
绿盟Web应用防火墙产品白皮书eb应用防火墙技术对于网站安全,最理想的做法是:在软件开发生命周期的4个阶段分别采取相应的安全措施(如下图)。
然而,大多数网站的实际情况是:网站已经在线运行,但存在不同级别的安全漏洞,没有通用补丁可用,而“改代码”需要付出的代价(成本)过大。
网站安全生命周期针对这种现状,在网站前端部署专业的Web安全设备是一种合理的选择。
传统的安全设备,如防火墙、IPS,虽然是网络安全策略中不可缺少的重要模块,但受限于自身的产品架构和功能,无法对千变万化的Web应用攻击提供周密的解决方案,只有采用专门设计的产品,才能对攻击进行有效检测和阻断。
Web应用防火墙(以下简称WAF)正是这类专业产品,它提供了网站安全运维过程中的一系列控制手段,基于对HTTP/HTTPS流量的双向检测,为Web应用提供实时的防护。
与传统防火墙、IPS设备相比,WAF最显著的技术差异性体现在:1. 对HTTP有深入的理解:能完整地解析HTTP,包括报文头部、参数及载荷。
支持各种HTTP 编码(如chunked encoding);提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备response过滤能力。
2. 提供应用层规则:Web应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。
WAF提供专用的应用层规则,且具备检测变形攻击的能力,如检测SSL加密流量中混杂的攻击。
3. 提供正向安全模型(白名单模型):仅允许已知有效的输入通过,为Web应用提供了一个外部的输入验证机制,安全性更有保障。
4. 提供会话防护机制:HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制。
WAF为此进行有效补充,防护基于会话的攻击类型,如cookie篡改及会话劫持攻击。
绿盟Web应用防火墙概述绿盟Web应用防火墙(又称绿盟Web应用防护系统,简称WAF)是绿盟科技面向企业、政府等各类机构推出的专注于保护Web应用和Web服务的安全产品。
下一代防火墙:更高速更智能
下一代防火墙:更高速更智能作者:暂无来源:《计算机世界》 2011年第6期可识别应用的类型,并具有入侵防护和过滤功能,业界正逐渐向这种功能更强大、更智能的新一代防火墙迁移。
清水编译对于通过常用的80端口和443端口来访问的互联网应用来说,基于端口的传统企业防火墙与其说像警卫,还不如说是应用的中转地,传统防火墙此时所起的安全作用正在减弱,它也逐步让位于功能强大的新一代高速智能防火墙(Next-Generation FireWall, NGFW)。
何谓下一代防火墙所谓的下一代防火墙是指:它能够对数据流高效地完成入侵防护,同时还能识别出应用类型,以便根据使用者的身份执行相应的策略。
它还足够聪明,可使用基于互联网的声誉分析等信息帮助过滤恶意软件,或者与活动目录集成。
现在的问题是,我们多久后才能真正实现向下一代防火墙转型?新兴公司Palo Alto Networks被认为是最先打出下一代防火墙旗号的厂商,它早在2007年就推出了可识别应用的多用途安全设备系列,今天已有2200多家客户。
同时,Fortinet、思科、Check Point、McAfee等其他厂商同样一直在扩充或改造防火墙产品,以便其产品符合下一代防火墙的定义。
此外,入侵防护系统(IPS)厂商Sourcefire也表示会在今年推出带IPS 功能的可识别应用的防火墙。
不过,过去几年一直大力倡导新一代防火墙的Gartner认为,虽然厂商们在大力推广下一代防火墙,但目前这种防火墙的实际使用率还是非常低。
Gartner的分析师Greg Young说:“我们认为,如今用新一代防火墙来保护的网络连接还不到1%。
”但他预测,到2014年,这个比例会达到35%。
目前,关于如何定义下一代防火墙并没有定论,也还没有哪个独立的第三方实验室对所谓的下一代防火墙产品进行过测试,其困难就在于给下一代防火墙下一个明确、清晰的定义并不容易。
即使对这种设备有自己定义的Gartner也承认“定义很混乱,一些厂商推出的这种设备具有应用控制功能,而另一些厂商在IPS方面比较先进。
绿盟下一代网络入侵防护系统产品白皮书
绿盟下一代网络入侵防护系统产品白皮书【绿盟科技】■密级完全公开■文档编号NSF-PROD-NIPS-产品白皮书-V1.0■版本编号V1.0 ■日期2015-11-14■撰写人戴永涛■批准人Array© 2016 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■版本变更记录时间版本说明修改人2015-11-14 V1.0 新建周帅奇2016-04-28 V1.1 增加周帅奇目录一. 前言 (1)二. 攻防的新特点 (1)三. 绿盟下一代网络入侵防护系统 (2)3.1体系结构 (3)3.2主要功能 (3)3.3产品特点 (4)3.3.1 全新的高性能软硬件架构 (4)3.3.2 用户身份识别与控制功能 (5)3.3.3 更精细的应用层安全控制 (5)3.3.4 基于用户身份的行为分析 (5)3.3.5 全面支持IPv6 (6)3.3.6 多种技术融合的入侵检测机制 (6)3.3.7 2~7层深度入侵防护能力 (8)3.3.8 先进的Web威胁抵御能力 (9)3.3.9 恶意文件防御和取证能力 (9)3.3.10 基于应用的流量管理 (10)3.3.11 部署极其简便 (10)3.3.12 强大的管理能力 (11)3.3.13 完善的报表系统 (11)3.3.14 完备的高可用性 (12)3.3.15 丰富的响应方式 (13)3.3.16 高可靠的自身安全性 (14)3.3.17 威胁可视化 (14)3.4解决方案 (15)3.4.1 多链路防护解决方案 (15)3.4.2 混合防护解决方案 (16)四. 结论 (17)插图索引图 3.1 绿盟网络入侵防护系统体系架构 (3)图 3.2 虚拟IPS功能实现示意图........................................................................................ 错误!未定义书签。
下一代企业防火墙NGAF技术白皮书
下一代企业防火墙NGAF技术白皮书目录一、概述 (4)二、为什么需要下一代防火墙 (4)2.1网络发展的趋势使防火墙以及传统方案失效 (4)2.2现有方案缺陷分析 (5)2.2.1单一的应用层设备是否能满足? (5)2.2.2“串糖葫芦式的组合方案” (6)2.2.3UTM统一威胁管理 (6)2.2.4其他品牌下一代防火墙能否解决? (7)三、下一代防火墙定位 (7)四、下一代防火墙—NGAF (8)4.1产品设计理念 (8)4.2产品功能特色 (9)4.2.1可视的网络安全情况 (9)4.2.2强化的应用层攻击防护 (15)4.2.3独特的双向内容检测技术 (22)4.2.4智能的网络安全防御体系 (24)4.2.5更高效的应用层处理能力 (25)4.2.6涵盖传统安全功能 (25)4.3产品优势技术 (26)4.3.1深度内容解析 (26)4.3.2双向内容检测 (27)4.3.3分离平面设计 (27)4.3.4单次解析架构 (28)4.3.5多核并行处理 (29)4.3.6智能联动技术 (29)4.3.7Regex正则引擎 (30)五、部属方式 (31)5.1互联网出口-内网终端上网 (31)5.2互联网出口-服务器对外发布 (31)5.3广域网边界安全隔离 (32)5.4数据中心 (33)一、概述防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。
作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。
防火墙就像机场的安检部门,对进出机场/防火墙的一切包裹/数据包进行检查,保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。
传统的防火墙正如机场安检人员,通过有限的防御方式对风险进行防护,成本高,效率低,安全防范手段有限。
下一代防火墙产品知识介绍
➢ 恶意代码发现 ➢ 蜜罐系统 ➢ 底层硬件威胁检查 ➢ 网络边界完整性检查
工控安全系列
➢ 工控防火墙 ➢ 工控入侵检测/工控业
务检测 ➢ 工控漏扫/工控安全运
维平台 ➢ 工控终端控制/工控无
线安全 ➢…
传统上,防火墙的安全能力包括:
• 基于IP五元组的访问控制策略 • 基于静态特征匹配的应用层安全防护 • 对网络行为和部分明文数据记录日志 • 策略配置和威胁处理依赖管理员技术能力 • 单纯防火墙形态可支撑数G的业务流量
➢ 终端管理 ➢ 终端防泄密 ➢ 景云网络防病毒 ➢ 移动设备管理 ➢ 数据安全(文档加密)
泰合系列
➢ 安全管理平台(SOC) ➢ 业务支撑平台(BSM) ➢ 综合日志审计(SA) ➢ 网络行为分析(NBA) ➢ 应用性能管理(APM) ➢ 4A平台 ➢ 弱口令核查系统 ➢ 漏洞管理平台
合众系列
➢ 视频安全交换系统 ➢ 光盘物理摆渡系统 ➢ 电子文档访问控制 ➢ 分布式数据库系统 ➢ 大数据基础平台 ➢ 数据集成系统 ➢ 请求服务系统 ➢ 集中监控管理系统
平面(安全业务处理) 动态分配不同平面的CPU资源,无分流瓶颈或业务瓶颈 开启全部安全特性,64字节小包吞吐量可达100G bps
T系列NGFW有效提升您的下一代安全能力
基础
高性能架构
基于第三代多核并行化架构, 提供高达160G的吞吐能力和 超万兆实网性能。
核心价值
安全控制能力
基于七元组、多维度的安全 控制能力,涵盖访问控制、 会话控制、行为控制和流量 控制
Internet
可疑文件发送至APT检测引擎
分析样本 提取特征
– T系列下一代防火墙支持与启明星辰天清APT形成安全解决方案,为客户提供面向0DAY/APT攻击的 纵深防护体系。
Fortinet-飞塔NGFW下一代网络安全防御白皮书
FORTINET-下一代网络安全防御下一代网络安全防御1FORTINET-下一代网络安全防御目录概览 ............................................................................................................................................................................... 3 简介 ............................................................................................................................................................................... 4 企业与服务提供商面临的安全挑战.............................................................................................................................. 5 旧有的威胁从未远离 ............................................................................................................................................. 5 加速演变的新威胁................................................................................................................................................. 5 基于 web 的攻击增加数据泄漏的损失 ................................................................................................................ 5 Web2.0 应用 ........................................................................................................................................................ 6 传统防火墙不再有效 ..................................................................................................................................... 6 迁移到下一代网络 ......................................................................................................................................... 7 安全演进的下一步:新一代安全平台 .......................................................................................................................... 7 下一代安全技术 .................................................................................................................................................... 7 应用控制 ........................................................................................................................................................ 8 入侵检测系统(IPS) .................................................................................................................................. 11 数据丢失防御(DLP) ................................................................................................................................. 13 网页内容过滤............................................................................................................................................... 15 双栈道 IPv4 与 IPv6 支持.............................................................................................................................. 16 集成无线控制器 ........................................................................................................................................... 16 集中管理 ...................................................................................................................................................... 17 核心安全技术 ...................................................................................................................................................... 18 防火墙 - 状态流量检测与数据包过滤 ..................................................................................................... 18 虚拟专用网 (VPN)........................................................................................................................................ 18 URL 过滤 ....................................................................................................................................................... 19 反病毒/反间谍软件 ..................................................................................................................................... 20 反垃圾邮件 .................................................................................................................................................. 22 结论 ............................................................................................................................................................................. 23 关于 Fortinet ................................................................................................................................................................ 24 关于 FortiOS................................................................................................................................................................. 242FORTINET-下一代网络安全防御概览自从几年以前Gartner提出“下一代防火墙”的概念以来,许多网络安全厂商争先恐后将下一代防火墙作 为所生产防火墙产品的一个种类,但这却造成了不同的结果。
Hillstone下一代智能防火墙技术白皮书之增强的智能流量管理(iQoS)篇
Hillstone下一代智能防火墙技术白皮书之• 流量的划分不够精细,大部分QoS只能做到基于5元组的流量划分• 缺乏QoS管理手段,缺少直观可视,简单易用的QoS呈现• 优先级的处理效果有限,不能很好的保证关键业务优先调度处理• 剩余带宽不能得到合理有效的利用Hillstone T系列下一代智能防火墙独创的具有专利技术的增强的智能流量管理(iQoS),可以实现两层八级的管道嵌套以及更细粒度的流量控制,满足不同网络层次部署的需要,能够很好的解决传统QoS无法解决的问题。
制总P2P下载带宽30Mbps;这种配置很不灵活,其实是通过分别限制财务总监和普通员工的P2P下载带宽达到限制总P2P下载带宽30Mbps的目的。
iQoS两层流控的做法是:第一层流控基于用户进行控制,即限制财务总监带宽50Mbps、普通财务员工带宽30Mbps,第二层流控基于P2P应用进行控制,即将总的P2P下载速率限制到30Mbps。
这种处理很灵活,不需要分别限制财务总监和普通员工的P2P下载带宽,他们各自P2P的下载带宽不用设置成固定的值,经过第二层流控时很自然会将总的P2P下载速率限制到30Mbps。
两层流控工作流程如下图:第一层流控第二层流控图1 两层流控工作流程示意图2.1.2 单层四级嵌套Hillstone 增强的智能流量管理(iQoS )在每一层流控中,最多支持四级管道的嵌套。
流量会按照匹配条件,逐级匹配管道;未匹配到任何管道的流量,则进入预定义的默认管道。
每一级管道都有各自的匹配条件(rule )和流控动作,满足匹配条件的流量按照该管道配置的流控动作进行相应的流量控制。
匹配条件(rule )包括源安全域、源接口、源地址条目、目的安全域、目的接口、目的地址条目、用户/用户组、服务/服务组、应用/应用组、TOS 、Vlan ,可以根据一种条件来划分流量,如根据源地址条目;也可以根据多种条件组合来划分流量,多种条件之间是”与”的关系,如根据源接口、目的地址条目和应用HTTP ,即从指定的源接口到具体的目的地址的HTTP 流量,这样能够更加精细的划分流量。
绿盟下一代防火墙产品介绍
易用
稳定
让入侵防护强大
怎样强化安全能力?
• 获得NSS Labs推荐的IPS签名库 • 3000+无重复特征库 • 检出率国际领先 • 13年自研经验,国内技术领军
FROST & SULLIVAN
绿盟科技
下一代防火墙
继承
蠕虫
间谍软件
SQL 注入
木马
怎样强化安全能力?
让潜在威胁无处遁形
• WEB信誉防范钓鱼,挂马网站 • 启发式分析快速识别病毒变种 • 文件过滤轻松屏蔽恶意软件
APP signature
非法应用
可疑应用
进 站
合法应用
AV
IPS
signature signature
Malware
URL
signature signature
内容过滤
出
站
病毒防御
URL过滤
入侵防护
一体化安全策略框架
用户价值篇 安全、易用、稳定
绿盟下一代防火墙核心价值
安全
绿盟科技 下一代防火墙
15Mbps Http病毒
应用层
内容层
OSI分层
1+1<1的原因
防火墙
防火墙安全策略 IP协议/端口解析
L2数据包解析
URL引擎
URL分类策略 应用层协议解码 IP协议/端口解析 L2数据包解析
IPS引擎
威胁防护策略 威胁签名匹配 应用层协议解码 IP协议/端口解析 L2数据包解析
AV引擎
病毒防护策略
怎样提高稳定性?
安全引擎故障不影响转发 安全引擎升级不中断转发 双引擎间资源共享
快速升级,高风险,低可靠
安全引擎
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
绿盟下一代防火墙产品白皮书© 2014 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录一. 当今网络边界安全的新挑战 (1)二. 现有防火墙解决方案的不足 (2)三. 绿盟下一代防火墙产品 (3)3.1客户价值 (3)3.1.1 洞察网络应用,识别安全风险 (3)3.1.2 融合安全功能,保障应用安全 (4)3.1.3 高效安全引擎,实现部署无忧 (4)3.1.4 内网风险预警,安全防患未然 (4)3.1.5 云端高效运维,安全尽在掌握 (5)3.2产品概述 (5)3.3产品架构 (6)3.4主要功能 (7)3.4.1 识别和可视性 (7)3.4.2 一体化策略与控制 (8)3.4.3 应用层防护 (9)3.4.4 内网资产风险识别 (10)3.4.5 安全运维云端接入 (11)3.4.6 基础防火墙特性 (12)3.5产品优势 (13)3.5.1 全面的应用、用户识别能力 (13)3.5.2 细致的应用层控制手段 (15)3.5.3 专业的应用层安全防护能力 (16)3.5.4 卓越的应用层安全处理性能 (18)3.5.5 首创的内网资产风险管理 (18)3.5.6 先进的云端安全管理模式 (18)3.5.7 完全涵盖传统防火墙功能特性 (19)3.6典型部署 (19)四. 总结 (20)插图索引图1 核心理念 (5)图2 整体架构 (6)图3 资产管理 (10)图4 云端接入 (11)图5 应用/用户识别 (13)图6 应用控制 (15)图7 一体化安全引擎 (16)图8 双引擎多核并发 (18)图9 典型部署 (19)一. 当今网络边界安全的新挑战现阶段,随着以Web 2.0为代表的下一代网络技术的迅猛发展,Web化应用呈现出爆发式增长趋势,如今网络有近三分之二的流量都是HTTP和HTTPS应用。
一方面,Web 2.0应用可以显著增强协作能力,提高生产效率,但另一方面也不可避免的带来了新的安全威胁,体现在:1) 新一代网络中以协议和端口来辨别应用,进而进行网络访问控制的方式已失效。
当今网络,大量应用可以直接复用同一标准协议的知名端口(如80端口已不再专属HTTP,可被P2P、IM等大量应用使用),或者直接承载在标准协议中(如Web视频直接承载在HTTP协议中)。
并且,即使同一种应用,其通信端口和协议也会动态变更和跳变。
此种环境下,如何还能精准识别不同应用,继续有效管控网络通信、合理分配带宽资源需要我们进行重新审视和思考。
2) 移动设备接入、无线网络连接、访客临时IP等已使网络边界模糊不清,接入渠道多样,入网设备繁杂,地址身份变化不定等已经使传统边界安全设备捉襟见肘,如何继续有效进行身份识别、执行接入控制,是新时代网络环境下又一难题。
3) 威胁入侵多以外网攻击或内网感染为触发点,一台设备被攻陷或感染后,作为跳板或传染源对内网其他资产设备进行扩散和传播,引起内网泄密、资源占用等财产损失。
如何在新一代网络环境下评估现网、尽早发现内网资产易受攻击的薄弱环节、填补漏洞、防患于未然,而将安全事件扼杀于事前,是较事中、事后等被动防范更加主动有效的安全防护措施。
4) 新形势下的网络威胁日益复杂和增多,用户的安全工程师为管理众多的安全设备而疲于奔命,如果自建安全管理平台又成本太高。
同时,即便对于已经部署安全管理平台的用户,在使用过程中也并不是得心应手,体验较差。
而且,有些威胁事件发生后,工程师并不在现场,想第一时间了解威胁事件详情,处理威胁事件非常困难,尤其是连入内网的操作更加繁琐,得具备一定的工作环境才能够完成。
如何在保持低成本投入的前提下,便捷、高效的管理网络安全是用户亟待解决的问题。
二. 现有防火墙解决方案的不足而在上述网络应用层出不穷、新型威胁不断涌现的背景下,无论是传统防火墙、统一威胁管理设备(UTM)还是“下一代防火墙”们,均已远远不能满足用户对自身网络的安全防护诉求,主要体现在:●传统防火墙不能对网络应用、用户进行有效识别和控制基于端口的访问控制已失效传统防火墙只能对网络流量进行静态的、基于端口或协议的应用识别,而对下一代网络中大量应用的端口复用(如80端口已不再专属HTTP,可被P2P使用),端口跳变等均已束手无策,更无法实现精确管控,比如,允许访问80端口的策略很可能会让不期望的非法流量(如P2P)通过,甚至让黑客程序借此漏洞发动网络攻击,而若干脆禁止80端口则会殃及Web应用,导致正常的网页访问无法进行,等等。
同样,流量控制和管理也到了细分应用种类的地步,传统的基于端口的粗放型流量管理不仅可能会“误伤”应该保证的良性应用,更可能会“助长”不良应用。
基于IP地址的访问控制已不可靠传统防火墙通过IP地址对各安全区域进行访问控制,同时对威胁和应用来源进行跟踪审计。
然而,除了固定的IP接入方案,随着无线通信和移动计算设备的飞速发展,越来越多的企业给员工配置移动办公设备,甚至允许员工自带私有设备工作。
在这种多网多终端接入环境下,IP地址分配具有极强的随机性和不唯一性,IP地址本身对用户身份信息的传递已经越来越不具有代表性,进而,传统的通过IP地址来进行用户访问控制已不再完全有效。
而对网络访问者真正身份的全面有效、深度广泛的鉴定识别,才是适应社会和网络发展的最有效手段。
●UTM架构安全处理性能不足UTM设备虽比单一防火墙提供了更全面的安全防护能力,但其安全性能却始终饱受诟病。
在架构上,UTM设备只是将各个安全模块“糖葫芦”似的串在一起,各模块间实则彼此分离,并重复对数据包解码,这种低效的架构缺陷致使安全性能随着模块的逐个开启而逐级大幅递减。
●现有“下一代防火墙”,对内网安全的把控鲜有建树近几年涌现的林林总总的“下一代防火墙”产品们更多强调对边界流量的深入识别以及对外部入侵行为的检测和防护,而忽略了加固内部安全,“防患于未然”,从而并未形成一套由外到内,再由内到外的全方位360度安全加固的解决方案,特别是随着0day及APT攻击的快速多变化,其单方面基于事中防范的被动检测方案也必将出现瓶颈而力不从心。
现有方案,未能简化运维攻击的多元、多样、复杂化对用户来说意味着安全设备采购、人力运维成本的持续增加,即便如此,复杂精深的安全专业对用户运维人员要求极高,很难不令防护效果大打折扣,如何提供一种有效的服务模式,将运维简化、高效、可视化,让用户无论何时何地都能简便、易用的对网络安全攻防进行高效运维,而这点无论是传统还是“下一代”防火墙产品也均无有效建树。
在上述威胁新趋势和现有边界安全产品防护能力、性能、解决方案不足、服务模式局限的现状下,用户迫切需要一种能够代表新一代网络和安全发展诉求的全新一代防火墙产品来解决关键痛点。
基于此种预见,结合Gartner 于2009年提出的下一代防火墙定义,作为资深的网络安全厂商,绿盟科技结合多年业界领先的网络攻防经验和安全技术沉淀,推出了完全适应下一代网络攻防发展趋势和客户需求,并极具自身优势特色的新一代防火墙产品:绿盟下一代防火墙(NSFOCUS NF)。
三. 绿盟下一代防火墙产品3.1 客户价值3.1.1 洞察网络应用,识别安全风险传统防火墙无法有效分辨和检测出当今网络中出现的各种复杂应用,其中包括低风险应用(如WebEx, ERP, Oracle等),也包括高风险应用(如Bit,QQ、电驴下载等),因而更无法准确的识别和拦截各类应用中的安全风险。
NSFOCUS NF能精确分类与辨识出包括低风险、高风险在内的1000+种应用,根据应用不同风险等级分别进行不同级别的安全扫描,从而及时准确的识别和拦截各种威胁攻击,保障用户网络应用的安全性。
同时,NSFOCUS NF将当前网络中发生的一切安全威胁状况都及时清晰、可视直观的展现给用户,如当前网络中的应用流量分布,用户访问分布,以及在应用的安全防护中发现或拦截了哪些安全威胁等。
这些威胁按照风险等级,以统计告警、报表、日志的形式可视化的呈现给用户,使用户可以对网络的近日、近期、长期的安全状况都能有非常直观的了解和把握,从而可以及时有效的采取防御措施。
3.1.2 融合安全功能,保障应用安全随着下一代网络Web2.0应用技术的高速发展,随之而来的基于应用的威胁攻击无论从数量上、形式上还是技术手段上都呈现出井喷式的增长和变化,如借助应用漏洞的威胁入侵,机要窃取,或由员工非法网页访问引起的挂马植入,或由邮件和文件下载引起的病毒传播,或以应用为载体的不良、敏感信息的传播等均呈现出多样化、复杂化和融合化。
怎样提供一种手段能够全面准确且管理简便的将所有安全威胁一网打尽。
NSFOCUS NF 结合公司多年来业界领先的攻防优势,推出具有自主知识产权的集入侵防护、防病毒、URL 过滤、内容过滤为一体的一体化安全引擎,一体化安全引擎可对应用流量进行2-7层一体化、全方位、多层面的安全过滤,一次解码即可发现并拦截全部威胁攻击和安全风险,保障用户网络环境的应用安全。
3.1.3 高效安全引擎,实现部署无忧NSFOCUS NF使用专用的数通引擎、一体化安全引擎双引擎模式,并将其构筑于最新一代高速多核并行硬件平台之上。
数通引擎与一体化安全引擎多核、并发的进行着高吞吐交互,从技术上保障了:在高网络层转发性能的基础上,开启安全模块性能不出现明显下降,从而保证用户可以放心的使用安全功能。
同时提供的接入方案从百兆、到千兆再到万兆级,充分满足用户在各种网络环境下对安全接入的高性能吞吐需求。
3.1.4 内网风险预警,安全防患未然全面掌控当前网络资产健康及风险状况,专家级健康改善及安全防护方案指导,专业级资产健康评分及分析系统。
让用户随时洞悉网络当前潜在威胁风险,并可根据风险建议及时执行管控策略,或对风险资产堵漏升级,或进行访问控制和风险防范,最终核查改善效果,将威胁入侵扼杀在摇篮,防患于未然,呈现7*24小时的健康绿色网络。
3.1.5 云端高效运维,安全尽在掌握通过绿盟科技云端安全运维模式,用户可以随时随地,7*24小时的实时在线监控安全设备负载和运行状况,在线掌控用户网络安全事件状况,通过云端专业分析,第一时间帮助用户预防和发现各类安全威胁和攻击,帮助客户在攻防难度与日俱增的当今网络时代下,实现防护效率和准确度提高,同时此种模式使用户的安全运维投入大大减少,将用户从繁重吃力的安全对垒中解放出来,从而可以全部精力投入到业务发展中去。
3.2 产品概述绿盟下一代防火墙(英文简称NSFOCUS NF)是绿盟科技构筑在最新一代64位多核硬件平台基础之上,采用最新的应用层安全防护理念,同时结合先进的多核高速数据包并发处理技术,研发而成的企业级下一代边界安全产品。