yl23455永利(中国)有限公司

NGAF 下一代防火墙 您当前的位置:yl23455永利官网 » 产品中心 » NGAF 下一代防火墙

一、 下一代防火墙的定位

下一代防火墙的背景

全球权威的IT研究与顾问咨询公司——Gartner在2009年发布了一篇名为《Defining the Next-Generation Firewall》的文章,给出了真正能够满足用户当前安全需求的下一代防火墙定义:下一代防火墙是一种深度包检测防火墙,超越了基于端口、协议的检测和阻断,增加了应用层的检测和入侵防护,下一代防火墙不应该与独立的网络入侵检测系统混为一谈,后者只包含了日常的或是非企业级的防火墙,或者把防火墙和IPS简单放到一个设备里,整合得并不紧密。

适用于国内环境的下一代防火墙

结合目前国内的互联网安全环境来看,越来越多的安全事件是由于Web层面的设计漏洞被黑客利用所引发的。据统计,国内用户上网流量与对外发布业务流量混合在一起的比例超过50%。以政府为例,60%以上的政府单位门户网站和用户上网是共用电子政务外网的线路。在这种场景下,如果作为出口安全网关的防火墙不具备Web应用防护能力,那么在新出现的APT攻击的大环境下,现有的安全设备很容易被绕过,形同虚设。下一代防火墙作为一款融合型安全产品,不能存在针对基于Web应用的安全短板。

下一代防火墙(Next-Generation Application Firewall)NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,而且在开启安全功能的情况下还保持着强劲的应用层处理性能。

二、 为什么需要下一代防火墙

近年来,越来越多的网络安全事件告诉我们,安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化,网络攻击愈加频繁,客户对自己的网络安全建设变得越来越不自信。如何加强安全建设?安全建设的核心问题是什么?采用何种安全防护手段更为合适?这些问题已成为困扰客户安全建设的关键问题。

问题一:看不看得到真正的风险?

一方面,只有看到L2-L7层的攻击才能了解网络的整体安全状况,基于多产品的组合方案使大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。另一方面,没有攻击并不意味着业务不存在漏洞,一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞,防患于未然。最后,即使有大量的攻击也不意味着业务安全威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的方案,就无法让客户看到网络和业务的真实安全情况。

问题二:防不防得住潜藏的攻击?

一方面,防护技术不能存在短板,存在短板必然会被绕过,原有设备就形同虚设;另一方面,单纯防护外部黑客对内网终端和服务器的攻击是不够的,终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测,进而才能找到黑客针对内网的控制通道,同时发现泄密的风险,最后通过针对性的安全防护技术加以防御。

综上所述,真正能看到攻击与业务漏洞,及时查漏补缺,并能及时防住攻击才是有效的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢?

 

传统组合方案(FW+IPS+WAF)能否满足?

 

组合方案不足点一:有几款设备就可以看到几种攻击,但由于信息是割裂的难以对安全日志进行统一分析;有攻击才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导用户进行安全建设。

 

组合方案不足点二:有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流进行防护,在面临新的未知攻击的情况下缺乏有效的防御措施,还是存在被绕过的风险。

 

三、下一代防火墙介绍

结合安全发展趋势和国内用户的安全建设现状,适合中国用户本土需求的下一代防火墙需要满足以下几个方面的特点:

1.安全可视

下一代防火墙可以理解网络中的应用、应用中的威胁和攻击、威胁带走的数据内容,并能简单易懂地呈现,实现真正的L2-L7层统一的安全可视化;能通过主动或者被动流量检测及时发现业务漏洞,即使没有攻击也能找到业务中潜在的风险。

通过攻击与业务漏洞的关联分析,可以帮助用户准确地找到有效攻击,使用户看到网络和业务的真实安全情况。

2.双向防御

下一代防火墙具备L2-L7层的攻击防护技术,使防护技术不存在短板。NGAF不仅能够防护外部攻击,还能检查服务器/终端外发流量是否有风险,弥补了传统安全设备只防外不防内的不足之处。NGAF可检测服务器外发数据是否存在泄密或篡改行为,也可检测内网终端电脑是否被黑客控制。

3.智能联动

正所谓道高一尺,魔高一丈,各种应用层攻击、变种、逃逸攻击行为层出不穷,能够智能地针对攻击行为或者防护对象进行学习,动态形成智能防护规则也是下一代防火墙必备的特征之一,让安全检测模块与防护策略联动生效,能够提高黑客的攻击成本,降低客户的运维管理成本。

4.高效稳定

虽然多功能网关具备部分应用安全防护能力,但其传统安全设备的集成、串行部署的方式,使其在多种功能开启之后性能急剧下降,最终只能当传统防火墙使用。下一代防火墙从软件构架、硬件构架两方面彻底改变了多功能网关由于多功能堆叠、串行部署导致的性能瓶颈问题,具备高效的应用层处理能力,实现万兆吞吐。

© 2000-2024 yl23455永利官网   |   苏ICP备16051456号-1

              技术支持:汇成传媒

苏公网安备 32050602010082号

华苏服务
Baidu
sogou