什么是下一代防火墙
发布时间:2017-11-24  阅读次数:

下一代防火墙,即Next Generation Firewall,简称NG Firewall,是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。

  • 简介

2009年,著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”。第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁。由于采用的是基于服务的架构与Web2.0使用的普及,更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行,这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏失部署补丁的软件进行检查,但却不能有效的识别与阻止应用程序的滥用,更不用说对于应用程序中的具体特性的保护了。

Gartner将网络防火墙定义为在线安全控制措施,即:可实时在各受信级网络间执行网络安全策略。Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性,以应对业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。

  • 属性

下一代防火墙需具有下列最低属性:
·支持在线BITW(线缆中的块)配置,同时不会干扰网络运行。
·可作为网络流量检测与网络安全策略执行的平台,并具有下列最低特性:
1)标准的第一代防火墙功能:具有数据包过滤网络地址转换(NAT)、协议状态检查以及VPN功能等。
2)集成式而非托管式网络入侵防御:支持基于漏洞的签名与基于威胁的签名。IPS与防火墙间的协作所获得的性能要远高于部件的叠加,如:提供推荐防火墙规则,以阻止持续某一载入IPS及有害流量的地址。这就证明,在下一代防火墙中,互相关联作用的是防火墙而非由操作人员在控制台制定与执行各种解决方案。高质量的集成式IPS引擎与签名也是下一代防火墙的主要特性。所谓集成可将诸多特性集合在一起,如:根据针对注入恶意软件网站的IPS检测向防火墙提供推荐阻止的地址。
3)业务识别与全栈可视性:采用非端口与协议vs仅端口、协议与服务的方式,识别应用程序并在应用层执行网络安全策略。范例中包括允许使用Skype但禁用Skype内部共享或一直阻止GoToMyPC
4)超级智能的防火墙: 可收集防火墙外的各类信息,用于改进阻止决策,或作为优化阻止规则的基础。范例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。

·支持新信息流与新技术的集成路径升级,以应对未来出现的各种威胁。

  • 功能

    1)应用层洞察与控制、威胁防护;   2)智能化主动防御;  3)完备的基础防火墙特性;   4)应用层数据防泄漏;  5)高性能单路径异构并行引擎;  6)全网设备集中管理;  7)远端云接入

  • 优异的特性

     URL过滤。一些防火墙可以执行基于URL的内容过滤以及站点信誉分析。尽管不如单独的内容过滤产品(比如来自Websense、BlueCoat或其他厂商的产品)那样强大、特征明显,但URL过滤能将应用及流量分析方面的功能添加至已经运行的入侵检测过程中。

  SSL终止和检验。攻击者非常聪明,他们制作恶意软件和攻击套件,使用像SSL之类的加密通道来运送敏感数据和机器命令。一些组织可能会认为这应该是下一代防火墙的一项必备功能,不过很多企业还没有准备好对SSL进行监管或者因为某些与隐私相关的原因无法做到。

 恶意软件虚拟沙盒。一些更新的下一代防火墙产品已经开始将恶意软件沙盒和分析集成在产品中,这将有益于检测出更为高级的恶意软件感染。
  此外,也可以将易于使用和部署、与现有环境中的工具和技术集成以及可以默认设备的用户登录等特性考虑在内。