下一代防火墙更高速 更智能
华为Eudemon1000E-N下一代防火墙 - Huawei - Building A ...
6-1华为Eudemon1000E-N 下一代防火墙华为Eudemon1000E-N 下一代防火墙Eudemon1000E-N 下一代防火墙随着互联网技术的不断发展,智能手机、iPad 等终端被更多地应用到办公中,移动应用程序、Web2.0、社交网络应用于生产生活的方方面面。
网络边界变得模糊,信息安全问题日益复杂。
传统的安全网关通常只能通过IP 和端口进行安全防护,难以完全应对层出不穷的应用威胁和Web 威胁。
Eudemon1000E-N 系列是华为公司为解决运营商、企业、政府、数据中心等机构的网络安全问题自主研发的下一代防火墙产品。
它基于业界领先的软、硬件体系架构,通过对应用、用户、威胁、时间、位置的全面感知,将网络环境清晰的映射为业务环境。
在应用识别的基础上提供精准的管控能力,融合了IPS 攻击防护、AV 防病毒、URL 过滤,Web 内容过滤,反垃圾邮件和邮件过滤等行业领先的专业安全技术,支持IPv6防护及过渡技术,为用户提供强大、可扩展、持续的安全能力。
在运营商、政府、金融、电力、石油、教育、工业制造等行业得到广泛应用。
下一代防火墙,地址才能“应用(Application )、时间(Time )、用户多个维度解析企业的业务流量,并结合各种维度进行、行为识别等技术手段,准确识别超过6000个网络应用。
• 用户:通过Radius 、LDAP 、AD 等8种用户识别手段,将流量中的IP 地址与现实世界中的用户信息联系起来。
基于用户对网络流量进行管控。
• 威胁:支持超过5000+特征的攻击检测和防御。
支持Web 攻击识别和防护,如跨站脚本攻击、SQL注入攻击等。
可以识别和防范SYN flood 、UDP flood 等10+种DDoS 攻击,识别500多万种病毒。
采用基于云的URL 分类过滤,预定义的URL 分类库已超过8500万,阻止访问恶意网站带来的威胁。
• 位置:与全球位置信息结合,识别流量及威胁发起的位置信息;使用流量地图和威胁地图快速发现异常,进而制定对应的防护策略。
安全、高效、简单——下一代防火墙不妥协
安全、高效、简单——下一代防火墙不妥协对于防火墙产品而言,安全与性能、易用性长期处于失衡状态,更安全几乎成为低性能的代名词,而多功能则意味着更复杂的操作。
广大防火墙用户必须忍受无法放心开启安全功能、难以将安全管理落地的窘境。
作为面向新兴威胁的产品,下一代防火墙是否能够在矛盾间找到平衡呢?日前,《网络世界》评测实验室为验证下一代防火墙在经历数年发展后,能否在安全与性能间不妥协,是否能够提供切实落地的可管理性,倾力打造了一轮针对主流下一代防火墙厂商产品的横向评测,华为、Fortinet、网康、WatchGuard四家厂商送测了旗下的万兆级高端产品,并均表现出了应有的水平。
网康科技本次送测的搭载最新3.0版本的NF-S380-C 设备,在安全性、性能和易用性方面均表现优异,不禁令人眼前一亮。
网康NF-S380-C下一代防火墙是什么?——更安全的防火墙根据Gartner的权威定义,下一代防火墙应基于应用层重构安全,并主要面向渐成主流的应用层威胁。
因此,入侵检测(IPS)对于恶意攻击的检出能力成为测试方考量下一代防火墙安全能力的主要指标之一。
测试采用当前流行的183种攻击样本进行模拟测试,网康设备有效检出178种,达到了97.2%的高检出率。
为了验证IPS是否能够被各种伪装、逃逸手段绕过,测试方还在攻击流量中加入了分片、URL混淆、NETBIOS等惯用逃逸手段,并重新测试检出情况,网康设备实现了零逃逸。
从总体结果看,网康仅以微弱劣势排在老牌安全厂商华为和Fortinet之后。
IPS检出率测试结果“早在推出下一代防火墙前,我们就成立了专门研究攻击特征的实验室,截至目前,网康设备支持识别的漏洞攻击、恶意软件数量均达到了4000种左右,IPS特征库共收录8000余种攻击样本”,网康科技产品经理杜斟说。
据悉,网康科技始终将安全能力的提升作为产品研发的重点方向之一,在今年发布的两个版本中,IPS模块得到了持续性改进和优化,并且将网康在应用特征识别方面积累下来的核心技术移植到了攻击特征的发现上,使得IPS模块对攻击的识别更加精准,具备极强的防逃逸能力。
深信服NGA下F一代应用防火墙产品介绍-PPT
客户三:政府机构网络安全防护
总结词
政府机构需要严格遵守相关法律法规,保护国家安全和公民隐私,深信服下一代应用防火墙提供了可靠的安全解 决方案。
详细描述
深信服下一代应用防火墙符合国家相关法律法规的要求,为政府机构提供了全面的安全防护,包括对网络攻击的 检测和防御、对敏感信息的加密和保护等。该产品还具有高度的可定制性和可扩展性,能够满足政府机构不断变 化的安全需求。
日志与报表分析
提供详细的日志和报表分析功能,帮助管理员了解设备运行状态和 安全状况。
安全性强
多层次防御
采用多层次防御机制,有效防范各类网络威胁和攻击。
深度内容检测
具备深度内容检测功能,能够检测并阻止各类恶意文件和攻击行 为。
全面支持加密技术
全面支持各种加密技术,确保数据传输安全可靠。
04 适用场景
业和高流量场景的需求。
低延迟
该产品具备低延迟特性,确保网络 传输速度快,不卡顿,为用户提供 流畅的网络体验。
多核并行处理
采用多核并行处理技术,实现高效 的数据处理能力,确保防火墙运行 稳定。
易于管理和维护
直观的GUI界面
提供直观的图形用户界面,方便管理员进行配置、监控和管理。
自动更新与漏洞修复
支持自动更新和漏洞修复功能,降低维护成本和时间。
产品目标
1
提供全面的应用层安全防护,有效抵御各类网络 威胁。
2
简化网络安全架构,降低企业安全运维成本。
3
提升企业业务连续性和数据安全性。
产品特点
深度检测与防护
采用深度包检测技术,对应用层流量进行全面检测与防护,有效防御 各类网络威胁。
智能识别与控制
支持多维度的流量识别与控制,包括IP地址、域名、URL、文件类型 等,实现精细化的安全策略管理。
下一代防火墙安全显著提高
下一代防火墙安全显著提高下一代防火墙之所以是应对当今网络威胁的最佳选择,最为核心的原因之一,在于下一代防火墙能够抵御来自应用层的威胁。
因此,对于当今网络中各种应用流量的精确识别能力,已经成为下一代防火墙能否发挥最大效能的决定性因素。
下面北京万任科技UniERM网络流量综合管理系统就与大家一起来看看下一代防火墙有什么特点。
随着网络应用的不断地演变,网络中的流量较之先前发生了巨大的变化。
在之前,我们基于数据包的地址、端口等信息即可轻松识别网络流量,并在此基础上加以安全管控,然而在当下,大量应用出于各种目的,广泛采用跳变端口甚至复用知名服务端口进行数据传输。
以传统防火墙为代表的一类产品,基于数据包五元组的安全检测机制,仅依靠判断传输层端口,早已无法识别具体的应用类型,在面对此类应用时已完全失效,这给网络的管理和安全防护都带来了极大的挑战。
站在三、四层上何谈应对应用层威胁?利用传统的技术也无从对HTTP流量进行更加深入的识别和检查,尤其是随着WEB2.0技术的大量运用,一个看似简单的网页仅仅利用浏览器就可以向用户交付多种形式的应用,通过网页骗取敏感信息、在网页中嵌入病毒或木马等黑客攻击手段,利用的就是传统技术在此方面的缺陷。
传统的入侵防御(IPS)技术尽管可以基于特征码识别并阻断针对特定协议的入侵行为,看似可以防范应用层威胁,但从本质上讲,其基于三、四层信息识别数据包的机制没有变化。
必须要澄清的是,传统的IPS、UTM产品,在某种程度上能够识别一些应用层威胁,但并不意味着它们能够识别应用,当应用使用非标端口(例如HTTP服务使用TCP 8080端口)时,这些产品在未经手工配置的情况下,同样无法智能识别非标端口上传输的应用类型,也就无法针对这些流量提供入侵防御、病毒防护的功能。
值得一提的是,尽管很多传统防火墙、IPS、UTM设备早已具备了应用层网关(ALG)功能,但ALG设计的初衷仅是为了满足特殊协议正常通信的需求,因此其支持的应用类型少之又少。
传统防火墙vs下一代防火墙选择哪种更适合你的网络
传统防火墙vs下一代防火墙选择哪种更适合你的网络随着互联网的快速发展,网络安全已经成为现代企业和个人必须面对的重要问题。
在网络安全中,防火墙是一种关键的安全设备,用于保护网络免受来自外部网络的威胁和攻击。
近些年来,传统防火墙逐渐被下一代防火墙所取代,因为后者能够提供更全面的网络安全保护。
本文将探讨传统防火墙和下一代防火墙的区别,并分析选择哪种更适合你的网络。
一、传统防火墙简介传统防火墙是早期用于网络安全的设备,其主要功能是通过检查网络流量并根据预设规则来允许或阻止特定类型的流量通过。
传统防火墙通常基于网络层(第三层)和传输层(第四层)的信息来识别和过滤流量。
它使用基于端口、IP地址和协议的规则来控制流量。
然而,传统防火墙在深度检查和应用层数据保护方面存在一些局限性。
二、下一代防火墙的特点与传统防火墙相比,下一代防火墙具有更多的功能和特点。
下一代防火墙不仅具备传统防火墙的功能,而且能够进行应用层的深度检查,以便更好地识别和防御网络威胁。
下一代防火墙能够检测和阻止恶意软件、漏洞利用、应用层攻击等高级威胁。
三、传统防火墙与下一代防火墙的区别1. 安全性能:传统防火墙主要关注网络层和传输层,而下一代防火墙能够提供更全面的应用层安全保护。
下一代防火墙利用深度包检查(DPI)和行为分析等技术,能够检测和阻止未知的威胁。
2. 可视化和报告功能:下一代防火墙具备更强大的可视化和报告功能,能够提供更详细和全面的网络流量分析和审计记录,帮助管理员更好地了解网络状态和威胁。
3. 应用控制:传统防火墙仅能根据端口和协议来识别和控制流量,而下一代防火墙能够进行应用层的识别和控制,实现对特定应用程序的细粒度控制和管理。
4. 云端保护:下一代防火墙能够与云端安全服务集成,实现对远程用户、分支机构以及云应用的安全保护,为企业网络提供更强大的安全防护能力。
四、选择适合你网络的防火墙在选择传统防火墙还是下一代防火墙时,需要考虑以下几个因素:1. 安全需求:如果你对网络安全的要求比较基础,主要关注防止传统威胁和攻击,那么传统防火墙可能可以满足你的需求。
下一代智能防火墙Hillstone-Tseries-Apply-Scene20
健康状态分析,提前预知安全风险
在政务数据中心,对于各类政务系统,防火墙将主动检测到的三类运行状态指标,与 阈值进行对比,形成定性的健康状态值,当发现某项指标达到亚健康阈值时,即进行预警, 使运维人员提前预知安全风险。包括:
● 如果是政务门户服务、应用服务、数据库服务等达到亚健康状态,通常意味着可 能访问量过高、存在大量非法访问、网内感染病毒等;
企业服务器
风险对象异常行为分析,检测网络中未知威胁和异常
Hillstone 下一代智能防火墙对企业网络中用户、服务器等风险对象的流量进行异常行 为分析,通过对流经设备的流量进行连续、实时监控来分析流量信息,利用统计分析、关 联分析和机器学习等多种技术手段来检测流量和用户 / 应用行为中的异常模式,以发现未 知威胁和网络异常
● 两层八级流量管理,带宽分配更加精准 ● 基于业务优先级别,实现差分服务 ● 剩余带宽弹性调整,提高链路利用率 ● 图形化流量展示,带宽利用清晰可见
Hillstone 下一代智能防火墙
图九:高校互联网典型应用场景
两层八级流量管理,带宽分配更加精准
Hillstone 下一代智能防火墙
在高校互联网出口,Hillstone 下一代智能防火墙从用户、应用两个不同的管理维度, 实施两层八级流控,可以帮助高校更精准地分配带宽资源:
基于业务优先级别,实现差分服务
在高校互联网出口,Hillstone 下一代智能防火墙对于不同的网络访问,提供了八个级 别的优先级控制,优先响应关键应用,实现
● 优先转发重要的教师网上教务、学生网上学习类访问; ● 在上网高峰期链路负载过高时,优先保障教师网上教务、学生网上学习类访问的带
下一代防火墙与传统网络防火墙的优势对比
下一代防火墙与传统网络防火墙的优势对比网络防火墙在安全防护中,起到重要作用,但是我们,也应该看到它的不足之处。
如今,知识渊博的黑客,均能利用网络防火墙开放的端口,巧妙躲过网络防火墙的监测,直接针对目标应用程序。
他们想出复杂的攻击方法,能够绕过传统网络防火墙。
据专家统计,目前70%的攻击是发生在应用层,而不是网络层。
对于这类攻击,传统网络防火墙的防护效果,并不太理想。
传统的网络防火墙,存在着以下不足之处:1、无法检测加密的Web流量如果你正在部署一个关键的门户网站,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。
这个需求,对于传统的网络防火墙而言,是个大问题。
由于网络防火墙对于加密的SSL流中的数据是不可见的,防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。
2、普通应用程序加密后,也能轻易躲过防火墙的检测网络防火墙无法看到的,不仅仅是SSL加密的数据。
对于应用程序加密的数据,同样也不可见。
在如今大多数网络防火墙中,依赖的是静态的特征库,与入侵监测系统(IDS,Intrusion Detect System)的原理类似。
只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时,防火墙才能识别和截获攻击数据。
但如今,采用常见的编码技术,就能够地将恶意代码和其他攻击命令隐藏起来,转换成某种形式,既能欺骗前端的网络安全系统,又能够在后台服务器中执行。
这种加密后的攻击代码,只要与防火墙规则库中的规则不一样,就能够躲过网络防火墙,成功避开特征匹配。
3、对于Web应用程序,防范能力不足网络防火墙于1990年发明,而商用的Web服务器,则在一年以后才面世。
基于状态检测的防火墙,其设计原理,是基于网络层TCP和IP地址,来设置与加强状态访问控制列表(ACLs,Access Control Lists)。
在这一方面,网络防火墙表现确实十分出色。
华为USG6000系列下一代防火墙
攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力 性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈
NGFW
3
目录
1 USG6000产品亮点 2 USG6000 硬件介绍 3 USG6000 应用场景
4
1
精 最 准的访问控制
-- 6维管控,应用识别“多、细、准、快”
白名单模式
80
VS
需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。
• Emule • Games
黑名单模式
80
仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
8
应用识别有什么用?
访问控制
业务感知
智能分析
URL IPS
策略下发
AV DLP
优化建议
Policy A:******** Policy B: ********** Policy C:********* Policy D:********** Policy E: ********
基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。
12
IP位置
识别粒度:
• 中国:地市级别 • 美国:州级别 • 其他:国家级别 • 支持根据地址段自定义位置
应用场景:
• 流量地图:基于位置的流量统计分析报表 • 威胁地图:基于位置的威胁统计分析报表 • 位置策略:位置不同,访问权限不同
举例:
• 在公司总部可以访问的数据,在分公司不允 许访问
传统防火墙与下一代防火墙的比较与选择
传统防火墙与下一代防火墙的比较与选择防火墙是保护网络安全的重要设备之一,它通过监控和控制进出网络的数据流,起到阻止潜在威胁的作用。
然而,随着网络攻击手段的不断进化,传统防火墙在应对高级威胁和新型攻击方式时可能显得力不从心。
于是,下一代防火墙应运而生,提供更强大的安全性和更灵活的应用控制。
本文将比较传统防火墙和下一代防火墙的优缺点,以及在选择防火墙时的考虑因素。
一、传统防火墙传统防火墙主要基于规则集的匹配,用于检查网络流量并决定是否允许通过。
它可以实现基本的网络访问控制,比如根据源IP地址、目标IP地址、端口号等进行过滤。
传统防火墙可以提供基本的安全性,但存在以下缺点:1. 缺乏应用层识别能力:传统防火墙无法深入分析应用层数据,难以检测和阻止隐藏在应用层数据中的恶意代码或攻击行为。
2. 固定的规则集:传统防火墙的规则集通常是事先定义好的,难以适应复杂的网络环境和不断变化的威胁情况。
同时,配置和管理传统防火墙的规则集也很繁琐。
3. 难以应对高级威胁:传统防火墙在应对高级威胁,如零日攻击和高级持续性威胁(APT)时效果有限。
攻击者可以利用传统防火墙的漏洞绕过检测,对网络进行渗透。
二、下一代防火墙下一代防火墙继承了传统防火墙的基本功能,同时引入了一系列新的安全特性,以满足日益复杂的网络环境和威胁情况。
下一代防火墙相较传统防火墙具有以下优点:1. 应用层识别与控制:下一代防火墙具备深度包检测技术,能够分析应用层协议,并根据具体的应用程序进行精确的访问控制。
它可以识别并阻止潜在的恶意应用和攻击行为。
2. 基于用户的访问控制:下一代防火墙可以根据用户身份和角色来管理访问权限,实现更细粒度的访问控制。
通过身份验证和访问策略的配合,可以保护敏感数据免受未经授权的访问。
3. 全面的威胁防御:下一代防火墙集成了威胁情报、入侵防御系统(IDS)和虚拟私人网络(VPN)等功能,提供全面的威胁防御能力。
它可以检测和阻止零日攻击、恶意软件传播、网络钓鱼等威胁行为。
下一代智能防火墙边界在军综网中的重要作用
下一代智能防火墙边界在军综网中的重要作用作者:鲁田思来源:《电脑知识与技术》2021年第32期摘要:在“互联网+”的时代IT信息技术的快速发展已经成为必要趋势,在关注快速发展的同时信息安全也成为主流的关注对象,传统的网络架构已经成为基础建设的必要措施,然而安全是加固这层基建的重要保障,传统的防火墙对于应用的识别不精准造成数据包的判断错误导致安全风险增大。
关键词:下一代智能防火墙;区域边界;应用层策略中图分类号:TP393 文献标识码:A文章编号:1009-3044(2021)32-0046-031 背景防火墙是内外网络之间的重要保障,是抵御外部威胁的第一道桥梁,传统的防火墙一般有四种类型分别是包过滤、应用级网关、代理服务器和状态检测等功能。
随着网络的攻防威胁的日益频繁和门槛的降低传统的防火墙已经不能抵御威胁,黑客可以轻易地躲避传统防火墙的拦截,传统的防火墙不能对加密的应用数据进行数据包分析、无法检测加密的Web流量信息、无法扩展检测的深度、无法联动其他安全设备经行统筹部署。
下一代智能防火墙相比传统的防火墙不仅具有传统防火墙基于四层防护的基本功能其优势是在于依据传统的防火墙的数据包进行七层过滤并且配合应用识别特征库做到包的拆分过滤真正对微小的数据包进行识别对判定存在威胁的数据进行过滤。
2 下一代智能防火墙的由来2.1 下一代智能防护的诞生防火墙虽然存在安全域的概念并且端口也应用在安全域下但是端口的状态检测仍然不能做到安全地阻止外部威胁,随着Web2.0的快速发展更小的数据包以及使用更小更常用的数据端口在传统的防火墙上是检测不到的,这意味着基于端口/协议的政策已经变得不能很好适应和奏效。
NGFW下一代智能防火墙[1]应该是可以承受高并发并且更加智能联动的防火墙一般具有以下几个属性:1)典型的初代防火墙:数据包过滤、VPN虚拟专用网络[2]、NAT网络地址转换以及状态性协议检测等。
2)下一代智能防火墙有了智能判断的机制:集合特征库的分析精准判断数据包是否存在异常行为特征,当然需要有IPS和AV的授权并实时更新特征库与病毒库。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
下一代防火墙更高速更智能
对于通过常用的80端口和443端口来访问的互联网应用来说,基于端口的传统企业防火墙与其说像警卫,还不如说是应用的中转地,传统防火墙此时所起的安全作用正在减弱,它也逐步让位于功能强大的新一代高速智能防火墙(Next-Generation FireWall, NGFW)。
何谓下一代防火墙
所谓的下一代防火墙是指:它能够对数据流高效地完成入侵防护,同时还能识别出应用类型,以便根据使用者的身份执行相应的策略。
它还足够聪明,可使用基于互联网的声誉分析等信息帮助过滤恶意软件,或者与活动目录集成。
现在的问题是,我们多久后才能真正实现向下一代防火墙转型?
新兴公司Palo Alto Networks被认为是最先打出下一代防火墙旗号的厂商,它早在2007年就推出了可识别应用的多用途安全设备系列,今天已有2200多家客户。
同时,Fortinet、思科、Check Point、McAfee等其他厂商同样一直在扩充或改造防火墙产品,以便其产品符合下一代防火墙的定义。
此外,入侵防护系统(IPS)厂商Sourcefire也表示会
在今年推出带IPS功能的可识别应用的防火墙。
不过,过去几年一直大力倡导新一代防火墙的Gartner 认为,虽然厂商们在大力推广下一代防火墙,但目前这种防火墙的实际使用率还是非常低。
Gartner的分析师Greg Young 说:“我们认为,如今用新一代防火墙来保护的网络连接还不到1%。
”但他预测,到2014年,这个比例会达到35%。
目前,关于如何定义下一代防火墙并没有定论,也还没有哪个独立的第三方实验室对所谓的下一代防火墙产品进行过测试,其困难就在于给下一代防火墙下一个明确、清晰的定义并不容易。
即使对这种设备有自己定义的Gartner也承认“定义很混乱,一些厂商推出的这种设备具有应用控制功能,而另一些厂商在IPS方面比较先进。
总体上,大多数企业防火墙厂商在这方面处于早期阶段。
”
同时,统一威胁管理(UTM)这个术语让下一代防火墙术语规范问题变得更混乱了。
IDC的分析师Charles Kolodgy 是第一个提出UTM的人。
他表示,UTM与下一代防火墙的意思大致一样。
但Gartner认为,UTM应该是适用于中小型企业使用的安全设备,而下一代防火墙应该适合员工数量不少于1000人的大企业。
安全设备流行融合
目前,尽管对下一代防火墙在叫法上存在不一致,又只有极少用户在使用所谓的下一代防火墙,但安全厂商们的确认识到:对于综合多用途企业安全设备的需求可能会增长。
Fortinet 公司产品营销副总裁Patrick Bedwell 说:“市场正朝这个方向发展。
”该公司在不久前宣布,为其5000系列设备家族添加处理速度高达40Gbps的Fortigate-5001B安全刀片,这比之前产品的最高速度8Gbps有了大幅上升。
他说:“由于安全威胁变得更加复杂,现在重点需要放在应用控制方面,而老的防火墙跟不上步伐。
”
FortiGate防火墙/VPN安全刀片可识别出大约1300个应用类型,还可针对用户行为实行细粒度控制,另外还有时间限制和带宽管理功能。
其他厂商也加入了下一代防火墙的阵营。
McAfee就通过对其企业防火墙V.8升级版进行了改动,使其成为下一代防火墙产品。
McAfee网络防御部门产品营销主管Greg Brown说:“我们重新设计了应用引擎,那样我们就能检测和全面审查1000多个应用。
”
McAfee企业防火墙V.8达到了10Gbps的速度,为了获得更高的速度,McAfee正在与其他公司合作,力争达到
40Gbps。
这种无所不能、无所不知的防火墙果真拥有与独立IPS一样高效的IPS功能吗?Brown承认这很难说,目前还没有进行这方面的独立测试,但“出发点是做到与独立IPS
一样高效。
”
Brown表示,与主要关注IP网络地址的“常规防火墙”相比,下一代防火墙在应用控制方面采用的工作方式对大多数客户来说确实代表着一种新技术。
比如说,集成微软活动目录这类功能就很有吸引力,这样可根据授权的应用建立用户组。
不过到目前为止,McAfee的客户大多数都很谨慎,通常会在一部分应用上试用看看策略控制会有什么样的影响,而不是所有应用都尝试先进的防火墙功能。
健身中心连锁店24 Hour Fitness在全球经营着400多家俱乐部,它在去年部署了Palo Alto Networks公司可识别应用的防火墙,其IT运营和安全高级主管Justin Kwong表示,改用Palo Alto的综合架构节省了投资,而且现在使用基于声誉的过滤等功能可以很清楚地了解发生的情况。
该公司正在利用Palo Alto防火墙与活动目录集成的功能,为员工建立针对应用的策略控制机制。
Kwong表示,现在在使用方面还不是很细化,应用控制方面需要不断摸索了解。
而且,到目前为止,公司并没有完全迁移至下一代防火墙,因为并不是网络或数据中心的所有部分都需要可识别应用的控制。
虽然下一代防火墙集众多安全功能于一体,但Kwong
对此仍有所保留。
他表示,除了Palo Alto IPS功能外,他还准备继续使用开源的IPS作为“第二双眼睛”。
“我从来不会把所有功能集中在一个设备里,也从来不会只依赖某一家厂
商。
”他说。
Gartner认为下一代防火墙需有以下特征:
1.有一般防火墙的功能,如VPN、网络地址转换等;
2.有入侵防护功能;
3.能识别应用类型;
4.有一定智能,能帮助分析并辅助决策。