热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

下一代防火墙:从概念回归本质

发布时间:2013-04-14 21:11文章来源:网络文章作者:秩名 点击次数:
摘要:从2007年Palo Alto Networks发布世界第一款下一代防火墙(NGFW)产品至今已经有五年多的光景,这期间不少国内外的厂商相继推出了NGFW。例如:深信服、梭子鱼 (Barracuda Networks)、Check Point、网康、天融信等。在防火墙市场,已经展现出一场群雄争霸的...

  从2007年Palo Alto Networks发布世界第一款下一代防火墙(NGFW)产品至今已经有五年多的光景,这期间不少国内外的厂商相继推出了NGFW。例如:深信服、梭子鱼 (Barracuda Networks)、Check Point、网康、天融信等。在防火墙市场,已经展现出一场群雄争霸的局面。

  NGFW应企业需求而生

  随着互联网的快速发展,各种应用程序的爆发,企业面临着常用应用程序中的漏洞带来的风险。

   网络通信不再像以前一样紧紧是依赖于存储和转发应用程序(例如电子邮件),而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息(IM)和 P2P应用程序、语音IP电话(VoIP)、流媒体和电话会议,这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是 关键型应用程序(只是消耗带宽或者带来危险)。

  恶意软件和网络攻击者瞄准了这个场所,让企业面临如数据泄露、潜在的渗透等风险。除了带 来安全风险,这些应用程序也消耗带宽和生产力,并且与关键业务型应用程序抢夺网络带宽。因此,企业需要工具来保证业务关键应用程序的带宽,并需要应用程序 智能和控制来保护入站和出站的流量,同时确保速度和安全性以提供高效的工作环境。

  应企业需求,在多种多样大量的应用程序环境下,仅靠传 统防火墙的功能似乎显得力不从心,它们的技术实际上已经过时,因为它们无法检查攻击者散播的网络数据包的数据负载。而NGFW可以提供应用智能控制、入侵 防御、恶意软件防护和SSL检查,还可扩展到支持最高性能网络。

  众说纷纭NGFW

   市场呼唤新的防火墙产品。需要注意的是,不同机构对下一代防火墙所做出的定义都是最小化的功能集合,而从安全厂商的角度看,则会根据自身技术积累的情 况,在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异,像一个大而全的集中化解决方案,同时也给用户造成混乱。而在国内, 业内对于Gartner的下一代防火墙定义一直存在争议,而下一代防火墙在各个安全厂商及不同用户心目中也还未能形成一个统一的概念。

   2009年,Gartner在题为《Defining the Next-Generation Firewall》的报告中对下一代防火墙进行了定义,Gartner认为,NGFW应该是一个线速(wire-speed)网络安全处理平台,定位于企 业网络防火墙(Enterprise Network Firewall,Firewall指宏观意义上的防火墙)市场(这里的企业指的是大型企业),文章作者Greg Young认为,NGFW要具备的四大基本要素是:集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动。

  不过,国内一 些安全厂商认为,在云计算、WEB2.0及移动互联网等一系列新应用技术被广泛使用的今天,Gartner2009年定义NGFW时的认知已经明显不足。 某国内厂商在此基础上,又提出了一代防火墙必须具备的六大特质:基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融 合。

  还有的厂商干脆要求,其下一代防火墙产品在把多业务全开之后,性能下降不超过25%,以此与UTM区分开来。另外,还要求在下一代防火墙产品中集成网络设备的特性,使其成为具备交换特性、路由特性的全功能一体机。

   此外,还有的厂商强调,在国内,需要把下一代防火墙的技术结合中国市场环境更好地得以实施。首先要满足中国市场上的用户需求;其次要考虑针对中国市场的 政策要求,如,下一代防火墙能够集成防病毒特性,这些病毒库就需要用国内厂商的病毒库;最后,还要考虑到中国用户的使用水平,简化部署。

  还有的厂商认为,下一代防火墙不单是对4-7层的应用安全防护,而是网络层+应用层的全面安全保护。

  挑灯细看NGFW

  与传统防火墙相比,下一代防火墙性能有了很大的提升,体现了极强的可视性、融合性、智能化。那么,究竟何为NGFW的本质特征?NGFW的必备功能是什么?NGFW与UTM的区别究竟在哪里?

   从Gartner定义看,对比传统防火墙,NGFW有三个显著的优势:第一,支持联动的集成化IPS,支持面向安全漏洞的特征码和面向威胁的特征码。第 二,应用管控与可视化,能识别应用和在应用层上执行独立于端口和协议。第三,智能化联动,防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则 库。

  NGFW的功能至少应该包括:基于用户防护:下一代防火墙应具备用户身份管理系统,实现分级、分组、权限、继承关系等功能,充分考 虑到各种应用环境下不同的用户需求。面向应用安全:在应用安全方面,下一代防火墙应该包括"智能流检测"和"虚拟化远程接入"两点。安全技术融合:动态云 防护和全网威胁联防是技术融合的典范。下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。

  NGFW与UTM有三大区别:集成化、单引擎;能适应不同规模的企业;性能更有保证,管理更高效。

  目前,对于下一代防火墙,仍存在一些明显的争论,如:NGFW就是个加强型的UTM;NGFW纯粹是厂商概念炒作,没什么新东西;NGFW其实早就有,只是没归纳成概念。

   实际上,对于用户企业而言,面对业界纷纷扰扰的概念争论和林林总总的新产品,根本不必拘泥于尚未统一的概念本身,而应避免对厂商包装后的概念的肤浅认 识,理解NGFW和UTM的本质特性。最重要的是,在此基础上,根据本企业的特定安全需求,选用最适合的防火墙产品和解决方案。

标签分类:

上一篇:选择DDoS流量清洗解决方案七大误区
下一篇:从技术层面分析防火墙的分类