“下一代應用防火墻”NGAF即將來襲
防火墻自誕生以來,在網絡安全防御系統中就建立了不可替代的地位。作為邊界網絡安全的第一道關卡防火墻經歷了包過濾技術、代理技術和狀態監視技術的技術革命,通過ACL訪問控制策略、NAT地址轉換策略以及抗網絡攻擊策略有效的阻斷了一切未被明確允許的包通過,保護了網絡的安全。防火墻就像故宮的城墻,對進出防火墻的一切數據包進行檢查,保證合法數據包能夠進入網絡訪問合法資源同時防止非法人員通過非法手段進入網絡或干擾網絡的正常運行。防火墻技術在當時被堪稱完美!隨著時代的變遷,故宮的城墻已黯然失色,失去了它原有的防御能力。同樣防火墻在面對網絡的高速發展,應用的不斷增多的時代也失去了它不可替代的地位。自2009年10月Gartner提出"Defining the Next-Generation Firewall"一文,重新定義下一代防火墻,下一代防火墻的概念在業內便得到了普遍的認可。深信服也在經過10年網絡安全技術6年的應用安全技術沉淀之后,于2011年正式發布深信服"下一代應用防火墻"NGAF.
為什么防火墻會衰退?
防火墻作為一款歷史悠久的經典產品,在IP/端口的網絡時代,發揮了巨大的作用:合理的分隔了安全域,有效的阻止了外部的網絡攻擊。防火墻在設計時的針對性,在當時顯然是網絡安全的最佳選擇。但在網絡應用高速發展,網絡規劃復雜化的今天防火墻的不適應性就越發明顯,從用戶對網絡安全建設的需求來看,傳統防火墻存在以下問題:
1、應用安全防護的問題:傳統防火墻基于IP/端口,無法對應用層進行識別與控制,無法確定哪些應用經過了防火墻,自然就談不上對各類威脅進行有效防御了。面對應用層的攻擊,防火墻顯得力不從心,無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼,比如病毒、蠕蟲、木馬等。
2、安全管理的問題:傳統防火墻的訪問控制策略對于大型網絡來說簡直就是噩夢。嚴格控制網絡需要配置大量的策略,并且這些基于IP/端口策略可讀性非常之差,經常會造成錯配、漏配的情況,留下的這些隱患,往往給黑客們以可乘之機。
網絡安全建設呈現"打補丁式的方案"
由于防火墻功能上的缺失使得企業在網絡安全建設的時候針對現有多樣化的攻擊類型采取了打補丁式的設備疊加方案,形成了"串糖葫蘆"式部署。通常我們看到的網絡安全規劃方案的時候都會以防火墻+入侵防御系統+網關殺毒+……的形式。這種方式在一定程度上能彌補防火墻功能單一的缺陷,對網絡中存在的各類攻擊形成了似乎全面的防護。但在這種環境中,管理人員通常會遇到如下的困難:
效率低:同一數據包經過串聯的各類設備,被重復拆包,重復解析,使整個網絡的效率變得低下,運行速度變得十分緩慢。
維護成本高:眾多設備需要提供足夠的空間和環境支持,大大提高了維護成本。
管理復雜:獨立設備、管理復雜,需要培養熟悉各類設備、各廠商設備的高級管理人員。同時也無法進行統一的安全風險分析
UTM只是曇花一現
2004年IDC推出統一威脅管理UTM的概念。這種設備的理念是將多個功能模塊集中如:FW、IPS、AV,聯合起來達到統一防護,集中管理的目的。這無疑給安全建設者們提供了更新的思路。
事實證明國內市場UTM產品確實得到用戶認可,據IDC統計數據09年UTM市場增長迅速,但2010年UTM的增長率同比有明顯的下降趨勢。這是因為UTM設備僅僅將FW、IPS、AV進行簡單的整合,傳統防火墻安全與管理上的問題依然存在,比如缺乏對WEB服務器的有效防護等;另外,UTM開啟多個模塊時是串行處理機制,一個數據包先過一個模塊處理一遍,再重新過另一個模塊處理一遍,一個數據要經過多次拆包,多次分析,性能和效率使得UTM難以令人信服。Gartner認為"UTM安全設備只適合中小型企業使用,而NGFW才適合員工大于1000的大型企業使用。"
深信服下一代應用防火墻幫您解決
深信服NGAF是面向應用層設計的,能夠識別用戶、應用和內容,具備完整的安全防護能力的高性能下一代防火墻。
針對上述問題,深信服NGAF解決了傳統方案無法解決的實際問題。
更精細的應用層安全策略:NGAF具備了精確的用戶和應用的識別能力,可以針對每個數據包找出相對應的用戶角色和應用的訪問權限,可制定出2-7層一體化的訪問控制策略,從而恢復了對網絡資源的有效管控。
更全面的內容級安全防護:NGAF不但具備了傳統應用層設備的防護功能(如: 防掃描、信息隱藏、弱口令保護、漏洞防護、防web攻擊、防止網頁掛馬等),還可以基于應用的內容做安全檢查,包括掃描所有應用內容,過濾有風險的內容,甚至讓用戶自定義哪些內容可以進出,哪些內容不能進出,從而有效的去除各類安全短板,實現多層次完整的安全防護,同時節約了投資成本,提高了性價比。
更高性能的應用層處理能力:NGAF采用單次解析架構,結合多核并行處理技術,對數據包進行一次拆包、一次解析,極大提高了NGAF的應用層性能,相對于多數UTM僅有幾百兆到1G的應用層性能來說NGAF實現10G的應用層吞吐能力更能滿足用戶對高性能場景的需求。
