下一代防火墙网络安全防范技术
深信服下一代防火墙APT攻击防范首选利器
下一代防火墙- APT攻击防护首选利器一认识APT攻击互联网攻击与防御技术一直以来都是此消彼长,交替前行,根据CNCERT/CC 2012中国互联网网络安全报告分析,一种攻击特征更隐蔽、持续性更长、影响范围更大、技术手段更加灵活的网络间谍攻击对企业和组织将带来越来越大的安全威胁,这就是大家热谈的APT攻击。
APT 全称Advanced Persistent Threat(高级持续性威胁),是以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。
这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。
APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
二APT攻击特征(1)、攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩;(2)、攻击者也经常采用邮件方式攻击受害者,这些夹杂着病毒的邮件内容往往让疏于防范的受害者轻易中招;(3)、网站往往是一个企业或组织的对外门户,很多企业或组织对网站缺乏良好的安全防护,对攻击者而言,网站如同攻击过程中的桥头堡,是攻击者渗透进内网的重要捷径;(4)、一旦企业或组织的内网终端或者门户网站感染恶意程序,成为僵尸网络主机,将频繁进行内网隐私数据信息嗅探;(5)、通过已感染主机做反弹跳板,黑客可以对目标网络进行持续性的账户/口令猜解或者数据监听,从而获取攻击目标登陆权限;(6)、目前绝大多数安全防护设备【传统网络层防火墙、IPS等等】只能做到从外到内的单向危险流量检测和防护,从内到外主动发起的数据传输缺乏有效的检测和防范机制,给APT攻击者开通了一条灰色的数据运输通道。
攻击者通过控制攻击目标,源源不断地从受害企业和组织获取数据信息。
从上述APT攻击特征进行分析,不难发现APT攻击已经不再是传统认识观念中的单一网络攻击行为,针对APT攻击,采取多款安全产品串行堆叠的传统做法已经无法有效应对,市场迫切需要新一种新的防御方案。
深信服下一代防火墙介绍
传统防火墙厂商
从90年代随着我国第一波信息化 安全浪潮涌现了老牌安全公司, 同时2000年之后涌现了山石网科, 定位为传统防火墙厂商,其防火 墙专注于传统防火墙功能,如网 络适应性、访问控制协议、会话 管理等基本功能。 典型代表:天融信、启明星辰、 绿盟科技
国外厂商
在中国的外资厂商,国外厂商采 用渠道化战略,定位中高端客户, 通常高度产品化,以技术路线运 作项目 典型代表:Fortinet(飞塔)、 Checkpoint、Palo Alto
集成 学习
深度神
SAVE
经网络
深信服人工智能杀毒引擎SAVE
Sangfor Anti-Virus Engine
自然语 言处理
创新人工智能无特征技术 准确检测未知病毒
Bad Rabbit(17年10月出现的最新勒索 病毒),年后最新出现的 GlobeImposter 2.0 勒索病毒均能使用旧模型查杀。
解决之道之二:简单有效
全程可视
风险的可视 保护过程的可视 保护结果的可视
优势1
简单交付
一体化策略部署 全过程运营中心 综合风险报表
优势 2
高效稳定
单次解析 多模匹配算法 软硬件双冗余架构
优势 3
1 防火墙需求背景 2 产品功能 3 价值主张 4 市场地位
为什么之选深信服NGAF?
高速增长,年复合增长超70% 2011年发布国内首台下一代防火墙 4万家用户一致好评 5.4万台在线稳定运行
简单有效
全程可视+简单交付
解决之道之一:融合安全
事前 预知
事中 防御
事后 检测/响应
解决之道之一:融合安全
潜伏威胁事件检测 和分析 4
安全策略加固和有效 性自检
网络安全中的下一代防火墙知识
随着互联网应用的日益普及,网络己成为主要的数据传输和信息交换平台,许多部门和企业在网上构建了关键的业务流程,电子政务和电子商务将成为未来主流的运作模式。
网络安全和信息安全是保障网上业务正常进行的关键,并己日益成为网络用户普遍关注的焦点问题。
因此,网络安全成为IT业内的热点话题,而防火墙更是热点中的一个焦点。
因为,防火墙是企业网络安全的最重要的守护者。
防火墙所可以实现的功能如下:1.基于用户防护传统防火墙策略都是依赖IP或MAC地址来区分数据流,不利于管理也很难完成对网络状况的清晰掌握和精确控制。
下一代防火墙则具备用户身份管理系统,实现了分级、分组、权限、继承关系等功能,充分考虑到各种应用环境下不同的用户需求。
此外还集成了安全准入控制功能,支持多种认证协议与认证方式,实现了基于用户的安全防护策略部署与可视化管控。
2.面向应用安全在应用安全方面,下一代防火墙应该包括智能流检和虚拟化远程接入两点。
一方面可以做到对各种应用的深层次的识别;另外在解决数据安全性问题方面,通过将虚拟化技术与远程接入技术相结合,为远程接入终端提供虚拟应用发布与虚拟桌面功能,使其本地无需执行任何应用系统客户端程序的情况下完成与内网服务器端的数据交互,就可以实现了终端到业务系统的无痕访问,进而达到终端与业务分离的目的。
3.入侵防御、恶意代码防护与国际接轨在应用识别的基础上,新标准在应用层控制中加入了入侵防御和恶意代码防护功能,下一代防火墙能够检测并抵御操作系统类、文件类、服务器类等漏洞攻击,支持蠕虫病毒、后门木马等恶意代码的检测。
这和Gartner提出的下一代防火墙所需具备的功能一致,标志着我国的下一代防火墙标准是与国际接轨的。
4.新增应用层控制功能从参与下一代防火墙标准制定的专家处了解到,新标准依据安全功能强弱和安全保证要求将安全等级划分为基本级和增强级,保留了GB/T20281-2006《信息安全技术防火墙技术要求和测试评价方法》(简称“旧标准”)中关于传统防火墙在网络层的控制要求,如包过滤、状态检测、NAT等功能,增加了基于应用层控制的功能要求,主要考察被测产品在应用层面对于细分应用类型和协议的识别控制能力,以及数据包深度内容检测方面的能力。
传统防火墙与下一代防火墙的对比与选择
传统防火墙与下一代防火墙的对比与选择随着网络技术的不断发展,网络安全问题变得日益重要。
防火墙是保护企业网络免受恶意攻击的重要组成部分。
然而,传统防火墙在满足当前网络安全需求方面面临一些限制。
为了应对日益复杂的网络威胁,下一代防火墙应运而生。
本文将对传统防火墙和下一代防火墙进行对比,并讨论在选择防火墙解决方案时应考虑的因素。
一、传统防火墙传统防火墙是一种基于网络地址转换(NAT)和端口过滤的安全设备。
它通过检查数据包的源和目的地址、端口号等信息来控制网络流量。
传统防火墙通常采用规则集来决定允许或拒绝数据包的传输。
然而,传统防火墙存在一些局限性。
首先,传统防火墙缺乏应用层的深度检查能力。
这意味着它无法检测和阻止隐藏在通常端口上的恶意应用。
例如,传统防火墙可能无法识别通过HTTP(端口80)传输的危险文件。
其次,传统防火墙对加密流量的处理相对较弱。
由于无法检查加密数据的内容,传统防火墙无法有效阻止加密流量中的恶意行为。
此外,传统防火墙在处理大量数据流时性能可能会降低。
特别是在面对分布式拒绝服务(DDoS)攻击时,传统防火墙可能无法有效抵御攻击流量。
二、下一代防火墙下一代防火墙是传统防火墙的升级版本,它在保持传统防火墙基本功能的同时引入了一些创新特性。
首先,下一代防火墙具备应用层深度检测能力。
它可以分析通信协议和应用层数据,从而能够更好地识别和阻止隐藏在常见端口上的威胁。
其次,下一代防火墙支持对加密流量的深度检查和解密。
通过使用SSL代理,下一代防火墙可以解密和检查加密流量的内容,从而提高网络安全性。
此外,下一代防火墙还提供了更强大的网络流量分析和监控功能。
它可以对流量进行实时分析,识别并阻止潜在的威胁。
三、选择防火墙解决方案在选择防火墙解决方案时,需要考虑以下因素:1. 安全需求:根据组织的安全需求和威胁情况,评估两种防火墙的功能和性能是否能够满足需求。
2. 预算限制:下一代防火墙通常具有更高的功能和性能,但价格也更高。
防火墙技术的现状与未来趋势
防火墙技术的现状与未来趋势一、引言防火墙技术作为网络安全的重要组成部分,已经发挥了巨大的作用。
然而,在过去的几年中,网络威胁变得更加复杂和严重,这给防火墙技术的发展带来了一定的挑战。
本文将探讨防火墙技术的现状以及未来的趋势,以帮助读者更好地理解和保护他们的网络安全。
二、防火墙技术的现状自上世纪90年代开始,防火墙技术已经成为网络安全的重要部分。
防火墙能够检测网络流量中的潜在威胁,并通过限制和监视流量来保护网络的安全。
随着网络威胁的不断增加,防火墙技术也在不断发展。
1. 防火墙技术分类目前,防火墙技术主要分为以下几类:(1)网络层防火墙:基于网络层 OSI 模型的分组过滤器,对每个传入或传出的 IP 数据包进行检查。
(2)应用层防火墙:提供应用层代理服务,可对应用层 OSI模型中的数据包进行检查,以限制应用程序所产生的不安全流量。
(3)状态感知防火墙:基于每个 TCP 连接的状态跟踪,在应用层和网络层间进行过滤,识别正常连接和瞬时连接,以便防止DoS 和 DDoS 攻击。
(4)下一代防火墙:使用智能感知,检查应用程序的行为和内容,通过多个上下文之间的分析来确定潜在的威胁并防范攻击。
2. 防火墙技术存在的问题尽管防火墙技术在过去几十年中发展很快,但仍然存在一些问题:(1)随着非法入侵的技术越来越复杂,传统防火墙可能无法及时检测到入侵事件,导致漏报或误报。
(2)某些攻击类型,如零日攻击或高级持续性威胁,绕过了传统防火墙的防御机制,导致网络被攻击。
(3)防火墙会对网络带来一定程度的网络瓶颈,会阻塞网络中的一些有用的应用程序,导致功能不足或运行缓慢。
三、防火墙技术的未来趋势为了应对日益严重的网络安全威胁,防火墙技术不断地发展和演进。
以下是一些我们可以预期的未来趋势:1. 人工智能和机器学习随着人工智能(AI)和机器学习(ML)技术的发展,未来的防火墙技术将更加自动化。
AI 和 ML 可以帮助防火墙更快地检测和识别潜在威胁,并快速地作出应对措施。
下一代防火墙方案
下一代防火墙方案引言在当前互联网环境下,网络安全问题日趋严峻。
传统的防火墙方案已经无法满足对信息安全的要求,因此亟需研究和开发下一代防火墙方案,以更好地应对新兴的安全威胁。
1. 传统防火墙的局限性传统防火墙主要采用基于端口、IP地址和协议的访问控制策略,而这种方法已经无法满足当前复杂多变的网络环境和威胁。
以下是传统防火墙的局限性:•无法检测加密流量:传统防火墙只能检测明文流量,而无法对加密的流量进行实时检测。
•无法识别应用层协议:传统防火墙只能基于端口和协议进行访问控制,而无法对应用层协议进行精确识别。
•无法对内部威胁进行防范:传统防火墙主要关注来自外部网络的威胁,而对于内部网络的威胁缺乏有效防范措施。
2. 下一代防火墙的基本特征为了克服传统防火墙的局限性,下一代防火墙应具备以下基本特征:2.1 深度包检测下一代防火墙应能够对加密的流量进行深度包检测,以便于发现隐藏在流量中的恶意行为。
通过引入深度包检测技术,下一代防火墙可以突破传统防火墙只能检测明文流量的限制,提高网络安全性。
2.2 应用层智能下一代防火墙应具备强大的应用层智能,能够对应用层协议进行细粒度的识别和控制。
通过深入理解应用层协议的特征,下一代防火墙可以对协议规范之外的行为进行实时检测,从而提高安全性和灵活性。
2.3 内部网络安全下一代防火墙应对内部网络的威胁给予足够的关注。
通过采用内部威胁检测和内部网络隔离等技术手段,下一代防火墙可以提供全方位的网络安全防护,避免内部网络成为攻击者入侵的桥头堡。
3. 下一代防火墙的技术手段为了实现上述基本特征,下一代防火墙可采用以下技术手段:3.1 深度学习技术深度学习技术具有强大的模式识别和学习能力,可以用于恶意流量检测和应用层协议识别。
通过建立深度学习模型,下一代防火墙可以对网络流量进行实时分类和分析,从而实现更精确的威胁检测和防御。
3.2 可编程数据平面下一代防火墙应引入可编程数据平面技术,使其能够更灵活地处理各类网络流量。
传统防火墙与下一代防火墙的对比与优劣分析
传统防火墙与下一代防火墙的对比与优劣分析防火墙作为网络安全的重要组成部分,不断发展和演进。
传统防火墙和下一代防火墙是其中的两种重要类型。
本文将针对这两种防火墙进行对比与优劣分析。
一、传统防火墙传统防火墙是较早期的一种网络安全设备。
其主要功能是通过检查传入和传出的网络数据流量,根据预定义的规则进行过滤和控制。
传统防火墙采用基于端口、协议和IP地址的规则进行过滤,可以阻止非法访问和恶意攻击。
然而,传统防火墙的功能相对较为有限,只能针对网络流量的基本特征进行控制,无法应对新型的网络威胁。
二、下一代防火墙下一代防火墙是对传统防火墙的一种全面升级和改进。
它具备更强大的功能和更高级的安全特性。
下一代防火墙不仅可以进行传统的流量过滤和控制,还可以对应用程序进行深度检测和过滤。
它可以分析网络流量中的应用层数据,并根据应用程序的特征进行识别和处理。
此外,下一代防火墙还可以进行入侵检测和防御、虚拟专网的建立和管理等高级功能。
三、对比与优劣分析1. 功能比较:传统防火墙主要进行网络流量过滤和控制,可以基于端口、协议和IP地址等特征进行规则匹配。
下一代防火墙不仅具备传统防火墙的功能,还可以进行应用层数据的识别和处理,丰富了安全防护的能力。
2. 安全性比较:传统防火墙对新型的网络威胁相对较为无力,无法有效应对复杂的攻击手法。
而下一代防火墙借助深度检测和高级功能,可以对恶意应用程序和威胁进行更加全面和精准的识别与防御。
3. 管理与可视化比较:传统防火墙的管理相对简单,主要通过命令行或图形界面进行设置和配置。
而下一代防火墙采用更加直观和友好的管理界面,可以提供更多的监控和报告功能,并支持更加灵活的策略配置。
4. 性能比较:传统防火墙的性能相对较低,对于大规模网络流量的处理能力有限。
而下一代防火墙在硬件和软件上都进行了优化,提升了性能和吞吐量,能够更好地适应高负载环境的需求。
5. 适用场景比较:传统防火墙主要适用于传统网络环境,对于拥有多种应用程序和复杂网络结构的企业来说,其安全性和功能已经无法满足需求。
深信服下一代防火墙APT攻击防范首选利器
下一代防火墙- APT攻击防护首选利器一认识APT攻击互联网攻击与防御技术一直以来都是此消彼长,交替前行,根据CNCERT/CC 2012中国互联网网络安全报告分析,一种攻击特征更隐蔽、持续性更长、影响范围更大、技术手段更加灵活的网络间谍攻击对企业和组织将带来越来越大的安全威胁,这就是大家热谈的APT攻击。
APT 全称Advanced Persistent Threat(高级持续性威胁),是以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。
这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。
APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
二APT攻击特征(1)、攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩;(2)、攻击者也经常采用邮件方式攻击受害者,这些夹杂着病毒的邮件内容往往让疏于防范的受害者轻易中招;(3)、网站往往是一个企业或组织的对外门户,很多企业或组织对网站缺乏良好的安全防护,对攻击者而言,网站如同攻击过程中的桥头堡,是攻击者渗透进内网的重要捷径;(4)、一旦企业或组织的内网终端或者门户网站感染恶意程序,成为僵尸网络主机,将频繁进行内网隐私数据信息嗅探;(5)、通过已感染主机做反弹跳板,黑客可以对目标网络进行持续性的账户/口令猜解或者数据监听,从而获取攻击目标登陆权限;(6)、目前绝大多数安全防护设备【传统网络层防火墙、IPS等等】只能做到从外到内的单向危险流量检测和防护,从内到外主动发起的数据传输缺乏有效的检测和防范机制,给APT攻击者开通了一条灰色的数据运输通道。
攻击者通过控制攻击目标,源源不断地从受害企业和组织获取数据信息。
从上述APT攻击特征进行分析,不难发现APT攻击已经不再是传统认识观念中的单一网络攻击行为,针对APT攻击,采取多款安全产品串行堆叠的传统做法已经无法有效应对,市场迫切需要新一种新的防御方案。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2012.729下一代防火墙:网络安全防范技术分析林鸿福州职业技术学院 福建 350108摘要:面对日趋复杂的应用控制和安全威胁,传统的网络安全防御架构已显力不从心。
新一代的网关安全产品NGFW(下一代防火墙)是否能成为未来网络安全防范的新选择?下一代防火墙是什么样的安全产品,与传统安全产品有什么不同,可实现哪些安全功能并具有哪些技术特色,都值得我们加以讨论和分析。
关键词:下一代防火墙;NGFW ;网络安全;技术分析0 引言2011年岁未,网络上盛传许多网站、论坛数据库遭黑客攻击,密码、账号被盗的“泄露门”事件,频频搅动了国内互联网安全的神经。
截至2011年12月29日,国家互联网应急中心(CNCERT)通过公开渠道获得疑似泄露的数据库有26个,涉及账号、密码2.78亿条。
在这场中国互联网有史以来波及面最广、规模最大的泄密事件中,人们不禁拷问,企业的防火墙、IPS(入侵防御系统)、UTM(统一威胁管理)都怎么啦?也在深入思考,在面对当今热门的数据中心整合和互联、云计算、移动计算环境下更为分散和全方位的安全需求时,传统的网络安全架构体系,是否还能担当信息安全的防范重任,我们需要什么样的网络安全防范产品。
下一代防火墙(Next Generation Firewall,NGFW),这个近来在业界得到厂商热捧的新一代的网关安全产品,能否面对互联网的安全现状,在应用模式、业务流程、安全威胁不断变化的今天挑起大梁,迎接挑战?它是一个什么样的安全产品,与传统的安全产品有什么不同,硬件架构的设计做了什么改进,能实现什么样的安全功能,技术性能上有哪些特色,都值得我们加以关注和讨论。
1 什么是下一代防火墙 防火墙产品从上世纪九十年代使用至今,虽经系统架构和软件形态的多次改进和革新,但在应对和识别目前日趋复杂的混合性安全威胁时已显力不从心,应运而生的一款全新安全产品NGFW 是否会取代传统防火墙、IPS 、UTM ,成为未来网络安全防御的主流产品,它能否解决网络新环境下产生的新安全隐患,NGFW 究竟是一个什么样的产品? 关于NGFW ,业界普遍认同的定义来自市场分析咨询机构Gartner 于2009年10月发布的一份名为《Defining the Next-Generation Firewall 》的文章。
Gartner 认为,NGFW 应该是一个线速的网络安全处理平台,可执行深层流量检测,应用识别,阻止攻击的网关安全产品。
在Gartner 看来,NGFW 至少应该具备以下的功能属性: 传统防火墙:NGFW 必须拥有传统防火墙的所有功能,如数据包过滤、NAT 、协议状态检查、VPN 等。
集成IPS :NGFW 在同一硬件内集成了传统防火墙和IPS 的功能,IPS 成为NGFW 的核心组件,它不是防火墙和IPS 两个硬件的简单叠加,而是功能的无缝融合。
NGFW 中防火墙和IPS 的无缝融合、自动联动的协作机制将大大提升防御性能,增强网络安全性。
应用识别、控制与可视化:NGFW 与传统防火墙基于端口和IP 协议进行应用识别不同,而是会根据深度包检测引擎识别到的流量在应用层执行访问控制策略。
流量控制不再是单纯地阻止或允许特定应用,而是可用来管理带宽或优先排序应用层流量。
深度流量检测让管理员可针对单个应用组件执行细粒度策略。
超级智能的防火墙:NGFW 可以收集来自防火墙外面的各类信息,用于改进阻塞决定,或优化阻塞规则库。
2012.730 2 为什么需要下一代防火墙网络环境的变化,基于服务的架构与Web2.0应用的普及,大量的应用程序都建立在http 和https 等协议之上,网络带宽需求的增加,以太网标准从千兆走向万兆甚至10万兆,都对网络安全产品的性能和功能提出了新的要求。
传统网络安全架构体系中的防火墙、IPS 、UTM 的安全解决方案已经不能胜任新环境下网络安全防范的要求。
传统防火墙的缺陷是只能检测数据包的第三层信息,只能根据数据包的源地址、目的地址、源端口、目的端口和协议类型等相关信息来对流量进行检测,对于应用层的http 和https 数据流量是无法进行控制和甄别的,它不知道到底是什么应用通过了防火墙,更无法探测到针对具体应用的攻击,因此也谈不上进行防御。
针对应用层的IPS 设备可以利用签名技术检查针对操作系统和软件漏洞的已知网络威胁和攻击方法,但是IPS 也无法识别具体的应用,达不到目前用户所需的精细粒度的应用层控制,因而也无法对特定的应用进行防护。
对于UTM ,市场分析咨询机构IDC 曾经这样定义UTM :这是一类集成了常用安全功能的设备,必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能,并且可能会集成其他一些安全或网络特性。
所有这些功能不一定要打开,但是这些功能必须集成在一个硬件中。
从IDC 对UTM 的定义,UTM 和NGFW 功能上似乎非常相似,但UTM 的致命缺陷是采用串行扫描方式,集成的安全功能模块全部启用时,处理效率非常低下。
面对网络带宽需求的不断增加,UTM虽也大而全,但其整体安全防御性能却倍受质疑。
根据Gartner 的定义,NGFW 不是UTM 和传统防火墙的简单升级,而是提供了更强大的应用和用户识别能力,更灵活的控制机制以及更全面安全防御的产品。
在面对网络架构的演进及更复杂的终端设备和用户应用,防范来自Internet的病毒、木马、DDoS 攻击、XSS 攻击、网络钓鱼、SQL 注入等种类繁多且危害巨大的威胁时,NGFW 将是构建网络安全防御体系的首选。
3 下一代防火墙安全技术特色分析Gartner 只是定义了NGFW 应该具备的基础功能属性,虽说NGFW 产品尚没有统一标准,但各安全产品厂商都根据自己的研发和专业优势诠释着对NGFW 集成安全功能的理解,推出各自的NGFW 产品。
这些NGFW 产品具备了以下几个方面的安全技术特色:NGFW 实现了全部功能模块集中式管理。
NGFW 是一个线速网络安全处理平台,集成了传统防火墙、IPS 、UTM 等安全技术主要功能,集中式管理可以大大降低运行管理成本,并保证在大型网络中安全策略部署的一致性。
通过集中式中央控制管理平台,无论系统管理员身处什么位置,都可以对网络实施统一的管理,简单、直观、便捷,大大提升了NGFW 产品的可管理性和易用性。
此外,集中式管理也使得NGFW 在应对网络攻击时能实现整体的快速响应和快速防御。
NGFW 采用了高效的并行处理机制,满足网络高性能。
NGFW 应用了多CPU 、多核的硬件技术,采用单次解析架构解决方案,结合并行处理模式,对传输的数据流在一个模块中一次拆包完成所有识别、扫描、过滤与控制,保证在复杂应用的网络环境中应用控制和安全防护的时效性、准确性和高处理性能。
NGFW 一次拆包和并行处理架构体系,彻底解决了UTM 的串行处理机制下,开启多个模块功能后,一个数据经过不同模块需经多次拆包,多次分析,导致数据处理效率低下的架构体系的设计短板。
NGFW 具备应用识别、用户识别的功能。
NGFW 可根据应用行为和特征实现对应用的识别和控制,NGFW 采用基于DPI(深度包检测技术)/DFI(深度流检测技术)的检测,能够深入到应用层报文,通过签名、行为特征识别技术,有效识别和区分应用或威胁,以采取不同的控制策略;NGFW 改变了传统防火墙/UTM 依赖于物理设备地址(MAC/IP)和用户身份对应的机制,结合身份认证机制和深层防护,能够自动和精准地关联用户的实际身份,特别是在远程或移动应用环境中,NGFW 还可以准确判定用户的位置。
NGFW 实现了流量智能管理和控制。
NGFW 的智能流量管理和灵活控制策略,可根据应用、用户或用户组和内容来执行相应的控制,可使用带宽管理策略来对穿越防火墙的应用数据流进行分类、控制和管理。
NGFW 的深度流量检测,还可使其对单个应用组件执行更精细力度的控制,控制策略不再是单纯地阻止或允许特定应用,而是可用来管理带宽或对应用数据流进行优先排序。
例如NGFW 可以通过限制分配给音频和视频网站的带宽,来保证关键应用的带宽;还可以通过创建对特殊应用、或某个用户和用户组的带宽和优先排序策略,保证带宽的使用和数据传输的优先权。
NGFW 可视化功能,增强了网络管理的可控性。
要正确控制网络使用状况,网络管理员必须能够实时查看网络应用流量,NGFW 应用可视化功能可以提供相关应用、入口和出口带宽、访问的网站以及所有用户行为的实时图表,让管理2012.731员轻松分辨应用流量的性质,了解哪些应用正在被使用以及哪些用户在使用,哪些是正常流量,哪些是网络滥用,哪些是恶意流量,并根据观测到的状况制定和调整网络控制策略。
NGFW 的实时可视化使系统管理员真正掌握了网络的控制权。
对于NGFW 集成的安全功能,著名信息安全培训机构SANS 的专家结合现有产品和用户需求给出了未来NGFW 产品应具有的安全功能列表:FW(防火墙)、IPS(入侵防御系统)、AM(反恶意软件)、VPN(虚拟专用网)、URL Filter(URL 过滤)、Content Filter(内容过滤)、APP(应用识别、控制与可优化)、User(用户和用户组识别)、AS(反垃圾邮件)、DLP(数据泄露保护)、NAC(网络接入控制)、SSL Proxy(SSL 代理)。
从SANS 给出NGFW 的功能列表来看,基本涵盖了目前市场上所有主流安全技术。
4 结束语 关于NGFW 产品,Gartner 预测,到2014年底,35%的企业会在采购安全设备时转向NGFW ,60%新购买的防火墙将是NGFW 。
据相关资料,北美和欧洲的政府机构,包括国家基础设施,电力、能源、水利等领域对网络安全管控要求 较高的机构和组织,在最近几年几乎摒弃了传统网络防火墙和UTM 设备的采购而转向NGFW 。
全球500强大型跨国公司包括银行、保险等机构,对网络安全的设备需求也都纷纷转向更加专注于应用管控的NGFW 为主体。
新加坡也从2009年规定,今后有关政府、公共安全部门的防火墙采购需求将以NGFW 为主体,不再考虑对传统防火墙和UTM 的采购。
目前,NEFW 作为网络新一代安全产品的部署在我国尚处推广和起步阶段,面对日趋复杂的应用控制和安全威胁,我们迫切需要一款定位于边界防御的高性能、多功能、稳定和高可靠性的安全产品。
我们期待着,NGFW 产品能成为解决日益增多的企业网络安全问题,日益下降的网络性能问题和困扰管理员的网络管理问题的最佳选择。
参考文献 [1]Gartner.Defining the Next-Generation Firewall [EB/OL]. http:///DisplayDocument?doc_cd=171540.[2]吴秀梅.防火墙技术及应用教程[M].北京:清华大学出版社.2010. [3][美] Y usuf Bhaiji.网络安全技术与解决方案[M].北京:人民邮电出版社.2010.The Next Generation Firewall:Network Security defending technology analysisLin HongFuzhou Polytechnic,FuJian,350108,ChinaAbstract:Facing the increasingly complicated application control and security threats, the traditional defensive network security architecture has already showed its deficiency.Can the new generation of gateway security products NGFW (the Next Generation Firewall) be the new choice for future network security architecture? What kind of security product is the Next Generation Firewall, what are the differences between traditional security products and Next Generation Firewall,meanwhile what type of security function can it realize and what technological characteristics does it have, all these mentioned above do worth our discussion and analysis.Keywords:Next Generation Firewall;NGFW;Network security;Technical analysis。