7

Solution&Product

方案與產品

下一代防火墻

定義:

防火墻功能基于狀態檢測包過濾技術,可以針對IP地址、服務、端口等參數決定是否允許數據包通過,在第三層(網絡層)和第四層(傳輸層)進行數據過濾。不過,防火墻并非萬能的。由于其自身屬性與部署特點,防火墻只適合處理企業網絡邊界的安全防護任務,對于內部的惡意攻擊或蓄意破壞無法有效管制。同時,由于所有互聯網的數據包都經過防火墻過濾,往往會造成網絡交通的瓶頸。而且傳統防火墻采用端口和IP協議進行控制的策略已經落伍,對于利用僵尸網絡作為傳輸方法的新威脅,基本無法探測到。

  為此,以應用層管理為核心的下一代防火墻(Next-Generation Firewall,NGFW),以及可強化發現和響應高級威脅的智慧防火墻紛紛亮相,成為當今網絡環境下企業安全防護的新選擇。

傳統墻與NGFW有什么區別:

1. 從架構看,NGFW下一代防火墻采用集成化、單引擎:NGFW下一代防火墻將應用層安全檢測模塊統一到一個檢測引擎,各個功能模塊還可以形成聯動。 雖然UTM也提供多種安全功能的單一設備,也包含第一代防火墻和IPS功能,但它只是把多種安全引擎疊加在了一起,這會使數據流在每個安全引擎分別執行解碼、狀態復原等操作,導致大量的資源消耗。

2. 性能更強,管理更高效:傳統UTM在功能疊加上無法實現應用高效,在管理控制上也有不足之處。一些UTM設備有很多功能,如:等,但這僅僅是各種功能的堆疊,當這些功能全開時,性能會大打折扣。下一代防火墻采用一體防火墻、上網行為、應用識別、IPS化引擎,可一次性對數據流完成識別、掃描,達到更高的性能,通過融合,還可讓管理者更加輕松。

3. 提供更全面的L2-L7層攻擊防護,適應不同規模的企業:UTM適合在分支辦事機構中節省費用,適用于較小的公司,但很難滿足大型企業需要。而NGFW下一代防火墻不僅對web攻擊、漏洞攻擊、病毒木馬等類型的應用層攻擊有很好的防護效果,還能對服務器或終端外發的流量進行檢查。

 

NGFW優勢:

1.    應用識別數據包進行完初始的防火墻安全策略匹配并創建對應會話信息后,會進行應用識別檢測和處理,應用標記完成后,會查找對應的應用安全策略,如果策略允許則準備下一階段流程;如果策略不允許,則直接丟棄。

2.    內容檢測對數據包進行深層次的協議解碼、內容解析、模式匹配等操作,實現對數據包內容的完全解析;然后通過查找相對應的內容安全策略進行匹配,最后依據安全策略執行諸如:丟棄、報警、記錄日志等動作。