7

Solution&Product

方案与产品

下一代防火墙

定义:

防火墙功能基于状态检测包过滤技术,可以针对IP地址、服务、端口等参数决定是否允许数据包通过,在第三层(网络层)和第四层(传输层)进行数据过滤。不过,防火墙并非万能的。由于其自身属性与部署特点,防火墙只适合处理企业网络边界的安全防护任务,对于内部的恶意攻击或蓄意破坏无法有效管制。同时,由于所有互联网的数据包都经过防火墙过滤,往往会造成网络交通的瓶颈。而且传统防火墙采用端口和IP协议进行控制的策略已经落伍,对于利用僵尸网络作为传输方法的新威胁,基本无法探测到。

  为此,以应用层管理为核心的下一代防火墙(Next-Generation Firewall,NGFW),以及可强化发现和响应高级威胁的智慧防火墙纷纷亮相,成为当今网络环境下企业安全防护的新选择。

传统墙与NGFW有什么区别:

1. 从架构看,NGFW下一代防火墙采用集成化、单引擎:NGFW下一代防火墙将应用层安全检测模块统一到一个检测引擎,各个功能模块还可以形成联动。 虽然UTM也提供多种安全功能的单一设备,也包含第一代防火墙和IPS功能,但它只是把多种安全引擎叠加在了一起,这会使数据流在每个安全引擎分别执行解码、状态复原等操作,导致大量的资源消耗。

2. 性能更强,管理更高效:传统UTM在功能叠加上无法实现应用高效,在管理控制上也有不足之处。一些UTM设备有很多功能,如:等,但这仅仅是各种功能的堆叠,当这些功能全开时,性能会大打折扣。下一代防火墙采用一体防火墙、上网行为、应用识别、IPS化引擎,可一次性对数据流完成识别、扫描,达到更高的性能,通过融合,还可让管理者更加轻松。

3. 提供更全面的L2-L7层攻击防护,适应不同规模的企业:UTM适合在分支办事机构中节省费用,适用于较小的公司,但很难满足大型企业需要。而NGFW下一代防火墙不仅对web攻击、漏洞攻击、病毒木马等类型的应用层攻击有很好的防护效果,还能对服务器或终端外发的流量进行检查。

 

NGFW优势:

1.    应用识别数据包进行完初始的防火墙安全策略匹配并创建对应会话信息后,会进行应用识别检测和处理,应用标记完成后,会查找对应的应用安全策略,如果策略允许则准备下一阶段流程;如果策略不允许,则直接丢弃。

2.    内容检测对数据包进行深层次的协议解码、内容解析、模式匹配等操作,实现对数据包内容的完全解析;然后通过查找相对应的内容安全策略进行匹配,最后依据安全策略执行诸如:丢弃、报警、记录日志等动作。