深信服和您一起解析防火墻的前世今生
面對(duì)現(xiàn)在網(wǎng)絡(luò)復(fù)雜的應(yīng)用情況,傳統(tǒng)防火墻已經(jīng)顯得力不從心,下一代防火墻應(yīng)運(yùn)而生。作為國(guó)內(nèi)規(guī)模最大、創(chuàng)新能力最強(qiáng)的前沿網(wǎng)絡(luò)設(shè)備供應(yīng)商——深信服科技推出下一代應(yīng)用防火墻(NGAF)產(chǎn)品,也是中國(guó)首家推出下一代防火墻的本土廠商。
前世
防火墻自誕生以來(lái),在網(wǎng)絡(luò)安全防御系統(tǒng)中就建立了不可替代的地位。防火墻就像城墻,對(duì)進(jìn)出防火墻的一切數(shù)據(jù)包進(jìn)行檢查,保證合法數(shù)據(jù)包能夠進(jìn)入網(wǎng)絡(luò)訪問合法資源同時(shí)防止非法人員通過非法手段進(jìn)入網(wǎng)絡(luò)或干擾網(wǎng)絡(luò)的正常運(yùn)行。隨著時(shí)代的變遷,曾經(jīng)如城墻般穩(wěn)固的傳統(tǒng)防火墻已黯然失色,失去了它原有的防御能力。面對(duì)網(wǎng)絡(luò)的高速發(fā)展、應(yīng)用不斷增多的時(shí)代,逐漸被新的繼任者重新定義了“防火墻”。
曾經(jīng)在IP/端口的網(wǎng)絡(luò)時(shí)代發(fā)揮了巨大作用的“傳統(tǒng)防火墻”為什么會(huì)被歷史所淘汰?最主要的原因還在于“對(duì)網(wǎng)絡(luò)應(yīng)用快速發(fā)展的3大不適應(yīng)癥狀”。
1. 安全不適癥
傳統(tǒng)防火墻基于IP/端口無(wú)法對(duì)應(yīng)用層進(jìn)行識(shí)別與控制,無(wú)法確定哪些應(yīng)用經(jīng)過了防火墻。面對(duì)應(yīng)用層的攻擊,無(wú)法檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼,比如病毒、蠕蟲、木馬等。
2. 管理不適癥
傳統(tǒng)防火墻的網(wǎng)絡(luò)訪問控制需要配置大量的策略,并且這些基于IP/端口策略可讀性非常之差,經(jīng)常會(huì)造成錯(cuò)配、漏配的情況,留下的這些隱患,往往給黑客們以可乘之機(jī)。
3. 維護(hù)不適癥
由于防火墻功能上的缺失使得企業(yè)在網(wǎng)絡(luò)安全建設(shè)的時(shí)候針對(duì)現(xiàn)有多樣化的攻擊類型采取了打補(bǔ)丁式的設(shè)備疊加方案,在一定程度上能彌補(bǔ)防火墻功能單一的缺陷。但在這種環(huán)境中, 同一數(shù)據(jù)包經(jīng)過串聯(lián)的各類設(shè)備,被重復(fù)拆包,重復(fù)解析,使整個(gè)網(wǎng)絡(luò)的效率變得低下,運(yùn)行速度緩慢。而獨(dú)立設(shè)備、管理復(fù)雜,需要培養(yǎng)熟悉各類設(shè)備、各廠商設(shè)備的高級(jí)管理人員。無(wú)法進(jìn)行統(tǒng)一的安全風(fēng)險(xiǎn)分析,以及無(wú)法提供足夠的空間和環(huán)境支持,大大提高了維護(hù)成本。
今生
2009年10月Gartner提出“Defining the Next-Generation Firewall(NGFW)”一文,重新定義下一代防火墻,下一代防火墻的概念在業(yè)內(nèi)便得到了普遍的認(rèn)可。目前僅有不到1%的Internet連接采用NGFW來(lái)保護(hù)。Gartner認(rèn)為,到2014年底,這個(gè)比例將增加到占安裝量的35%,60%新購(gòu)買的防火墻將是下一代防火墻(NGFW)。
在這個(gè)全新領(lǐng)域,國(guó)內(nèi)規(guī)模最大的前沿網(wǎng)絡(luò)設(shè)備廠商,同時(shí)也是全球網(wǎng)絡(luò)設(shè)備領(lǐng)域發(fā)展最快的廠商之一的“深信服公司”在10年網(wǎng)絡(luò)安全技術(shù)和6年應(yīng)用安全技術(shù)的沉淀之后,于2011年正式發(fā)布了下一代應(yīng)用防火墻(NGAF)產(chǎn)品(Next-Generation Applications Firewall)。
它面向應(yīng)用層設(shè)計(jì),能夠識(shí)別用戶、應(yīng)用和內(nèi)容,重新定義了防火墻產(chǎn)品,加速了傳統(tǒng)防火墻解決方案推出歷史舞臺(tái)的步伐。
1. 更精細(xì)的應(yīng)用層安全策略
深信服下一代應(yīng)用防火墻(NGAF)產(chǎn)品具備了精確的用戶和應(yīng)用的識(shí)別能力,可以針對(duì)每個(gè)數(shù)據(jù)包找出相對(duì)應(yīng)的用戶角色和應(yīng)用的訪問權(quán)限,可制定出2-7層一體化的訪問控制策略,從而恢復(fù)了對(duì)網(wǎng)絡(luò)資源的有效管控。
2. 更全面的內(nèi)容級(jí)安全防護(hù)
深信服下一代應(yīng)用防火墻(NGAF)產(chǎn)品不但具備了傳統(tǒng)應(yīng)用層設(shè)備的防護(hù)功能(如: 防掃描、信息隱藏、弱口令保護(hù)、漏洞防護(hù)、防web攻擊、防止網(wǎng)頁(yè)掛馬等),還可以基于應(yīng)用的內(nèi)容做安全檢查,包括掃描所有應(yīng)用內(nèi)容,過濾有風(fēng)險(xiǎn)的內(nèi)容,甚至讓用戶自定義哪些內(nèi)容可以進(jìn)出,哪些內(nèi)容不能進(jìn)出,從而有效的去除各類安全短板,實(shí)現(xiàn)多層次完整的安全防護(hù),同時(shí)節(jié)約了投資成本,提高了性價(jià)比。
3. 更高性能的應(yīng)用層處理能力
深信服下一代應(yīng)用防火墻(NGAF)產(chǎn)品采用單次解析架構(gòu),結(jié)合多核并行處理技術(shù),對(duì)數(shù)據(jù)包進(jìn)行一次拆包、一次解析,極大提高了NGAF的應(yīng)用層性能,相對(duì)于多數(shù)UTM僅有幾百兆到1G的應(yīng)用層性能來(lái)說(shuō),NGAF實(shí)現(xiàn)10G的應(yīng)用層吞吐能力更能滿足用戶對(duì)高性能場(chǎng)景的需求。
了解更多下一代防火墻產(chǎn)品信息請(qǐng)登陸:sangfor.com.cn