随着互联网的发展,网络安全威胁也在不断发生变化。传统基于网络层的安全威胁已经转变为以应用层攻击行为为主的安全威胁。据Gartner统计表明高达3/4的网络威胁是基于应用层而非网络层的,在这一发展趋势下,基于网络层的传统防火墙显得日益先天不足和力不从心。
传统防火墙只能提供一般意义上的数据包转发和拦截功能,以及一些简单的包检测机制。UTM和传统防火墙相比,确实增加了很多过滤功能,包括应用层的识别和过滤。但是UTM的致命缺陷是由于采用串行扫描方式,处理效率低下。即便是增加了单点解决方案,能提供对email业务、Web应用、远程接入、即时通讯软件等病毒防护,但运营成本也会大幅度提高。
由此可见,面对基于应用层的威胁,防火墙演进已经变得十分重要。据相关调查数据显示,如今70%以上的成功攻击均以应用程序为目标。Web、电子邮件等应用安全防护是下一代防火墙需要重点解决的问题。而下一代防火墙采用了高效的并行处理机制,并集成了网络安全、内容安全以及基于七层应用管理的网络接入控制保护能够抵御来自应用层的攻击。
虽然下一代防火墙目前没有一个明确的定义,但是不并妨碍由市场需求推动技术产品的发展。梭子鱼网络有限公司在Gartner的基础上对下一代防火墙做了一个更为明确的定义,即是集成了虚拟化软件和硬件架构的智能网络平台,可对各种流量实施深层探测并阻止各类攻击。
梭子鱼推出的下一代防火墙从TCP 7层出发,采用了高效的并行处理机制,并集成了网络安全、内容安全以及基于七层应用管理的网络接入控制保护能够抵御来自应用层的攻击,同时还包含了传统防火墙和IPS的所有功能。并且提供两个维度防护:终端防护(AV、Web安全过滤等)、服务器防护(IPS、WAF、DDoS防护等)。其中WAF(web application firewall)的各种功能包括了:对弱密码的保护、对数据注入攻击的保护、服务器信息隐藏等。
梭子鱼下一代防火墙是一款集成了硬件和虚拟技术的综合网关产品,全面保护企业网络基础架构,提高点对点接入,简化网络运维管理流程。产品可以通过中央平台统一管理,无论企业信息管理人员身处何地——企业总部大楼、数据中心甚至远程在家或者分支机构都可以对整个企业的网络系统进行管理。信息管理人员通过梭子鱼下一代防火墙控制中心的界面轻松制定安全、内容和流量管理政策。集中化的安全管理和内容政策有以下优势:
1、整个企业贯彻统一的安全态势和政策执行
2、多重网关的即时报告
3、整个网络的配置和政策改变的综合历史和回顾
4、对反垃圾邮件、病毒防护、安全网关和网络接入管理更新的统一视图
值得一提的是,梭子鱼推出的下一代防火墙通过多核并行计算技术,数据包一次扫描技术,深度内容识别及快速还原等技术,在全功能开启后最高性能依然能达到8-10G。
除了强大的防火墙和VPN功能以外,产品还集成了一系列下一代防火墙的复杂技术,包括身份认证的7层应用控制、入侵检测、安全网关、垃圾邮件防护以及网络准入控制等。梭子鱼NGFW(下一代防火墙)突出了智能点对点流量管理功能,大大优化了广域网的性能和功能。信息管理人员可以轻松管理基于应用的路由配置,根据多链路、多通道和不同的流量情况安排链路的优先顺序。产品支持多种链接接入方式,包括专用线路、XDSL、3G/UMTS无线移动网络及支持以电口/光口为代表的以太网链路方式。不仅如此,除了上述领先的下一代防火墙的卓越性能外,产品还配备了业界领先的中央管理控制平台,提供更具弹性的VPN以及智能流量管理技术,保障用户在全面提升网络的同时缩减成本支出。
目前,国内的下一代防火墙市场处于起步阶段,却发展迅速。主流的安全硬件厂商都已推出了基于下一代防火墙概念的产品也恰恰验证了这一市场的广阔前景;国内用户在选择安全产品时,肯定会发现下一代防火墙产品正是能解决日益增多的企业网络安全问题,日益下降的网络性能问题,困扰网管们的网络管理问题的最佳产品。