下一代防火墙从其推出的安全形势来看,一是安全威胁的演进,安全威胁日益高级和复杂,并具有更高的目的性和获利性。二是网络架构的演进,数据中心带来大规模整合和互联,云计算和移动计算环境让安全需求变得更为分散和全方位,并且安全将日益作为一种服务来进行提供,第三更加复杂的终端设备和用户应用以及大数据对安全规模和性能要求持续高速增长。造成传统的基于状态协议过滤和有限应用感知的安全产品难以有效应对日益高级和高目的性的应用安全威胁,其次单一的防火墙或者IDS等安全产品难以有效整合以提供更好的安全和运维特性。最后传统的防火墙架构难以满足进行精细化应用安全检测和防御所需的高性能和可扩展性。
正如Gartner等机构的观点,与传统的网络防火墙和UTM产品相比,NGFW的独到之处在于以下几个方面:
1、 有机整合的多种安全能力,而不是简单拼凑的威胁检测防御功能。
2、 应用感知和深度可视化。
3、 超越传统防火墙的智能以利用各种相关信息实现更好的阻断策略。
4、 具备高度可扩展性和性能以确保高效灵活的实现以上特性。
这些特性将帮助企业提升对新型安全威胁的应对能力,提高对传统安全防护的效率,降低网络和运维复杂度和降低TCO上起到明显效果。
NGFW需要从架构上真正实现模块化和软硬分离,控制和处理的分离,具备非常好的可扩展性和高性能,不仅是在软件特性上可支持模块化扩展,按需购买和ISSU部署,在I/O和安全处理能力上,也应具备随着应用安全威胁的增加,不间断服务的进行在线平滑扩容,从而能够从容应对各种新的应用威胁和攻击类型或者规模。
像NGFW这种融合产品作为发展的方向,是适合大多数企业的网络安全需求的。随着网络基础架构的不断发展,针对网络基础架构的威胁也越来越多,我们不得不使用大量的网络安全解决方案来保护企业的安全。同时,新一代基于Web的应用和不断增加的移动设备,也让网络管理员面临更为严峻的挑战:在有效管理业务流量和数据访问的同时,还要确保网络安全和服务交付。过去,网络管理员只需购买一台新设备,就可以解决一个安全或网络问题。然而,这种做法的后果是:网络日益复杂,管理费用超支,同时整体性能下降。如今的网络安全解决方案必须具有正确的架构,能够为不断变化的网络环境提供适当的性能、规模和安全服务,使网络管理员能够查看和控制正在网络中运行的各类应用。
企业部署NGFW,将有效地简化传统安全架构并提升其感知应用和用户的能力。但NGFW并不是一个孤立的元素,更需要整合到整体的安全体系中才能充分发挥其效果,实现有效地全面安全防护。
作为企业而言,在迁移中需要基于当前需求,以及下一步虚拟化,云计算的应用趋势来考虑整合安全架构的设计。首先要选择满足相应容量,性能和可靠性要求的平台,其次要在该平台上部署高度集成的NGFW安全服务,最后还要注意该方案能够具备方便的,不影响业务的添加新的安全服务和扩充新的容量的能力。