深信服詳析下一代防火墻
2011年,深信服科技率先在國(guó)內(nèi)發(fā)布下一代防火墻,成為國(guó)內(nèi)首家發(fā)布下一代防火墻的網(wǎng)絡(luò)安全廠商。深信服下一代防火墻以其全面的應(yīng)用層攻擊防護(hù)能力、獨(dú)特的雙向內(nèi)容檢測(cè)技術(shù)、智能的網(wǎng)絡(luò)安全防御體系以及更高效的應(yīng)用層處理能力等特點(diǎn)引起國(guó)內(nèi)網(wǎng)絡(luò)安全市場(chǎng)、各行業(yè)的廣泛關(guān)注。
深信服說(shuō)下一代防火墻的三個(gè)拐點(diǎn)
拐點(diǎn)一:國(guó)外下一代防火墻現(xiàn)雛形
2009年著名的分析機(jī)構(gòu)Gartner年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文章重新定義了防火墻,它集成了深度包檢測(cè)入侵測(cè)試、應(yīng)用識(shí)別與精細(xì)控制。這個(gè)定義一經(jīng)發(fā)布便受到了國(guó)外一些安全廠商的熱捧,認(rèn)為傳統(tǒng)防火墻十多年緩慢的發(fā)展確實(shí)越來(lái)越不匹配其網(wǎng)絡(luò)邊界第一道防線的稱號(hào)。首當(dāng)其沖的是美國(guó)一家叫PaloAlto的公司,該公司率先發(fā)布下一代防火墻產(chǎn)品,并憑借僅有的一條產(chǎn)品線在國(guó)外市場(chǎng)獲得眾多用戶的青睞。并連續(xù)獲得Gartner企業(yè)防火墻魔力象限最有潛力廠商的稱號(hào)。隨著國(guó)外用戶對(duì)應(yīng)用增多、攻擊復(fù)雜的新安全環(huán)境的逐步認(rèn)識(shí),下一代防火墻也逐步由網(wǎng)絡(luò)安全市場(chǎng)破壞者逐步轉(zhuǎn)為備受關(guān)注的創(chuàng)新性產(chǎn)品。下一代防火墻能夠成功打響網(wǎng)絡(luò)安全產(chǎn)品變革第一槍的關(guān)鍵在于,下一代防火墻產(chǎn)品確實(shí)更順應(yīng)應(yīng)用增多、攻擊發(fā)雜的安全現(xiàn)狀。以其對(duì)網(wǎng)絡(luò)流量可視化的訪問(wèn)控制,緊密集成入侵防御防應(yīng)用層攻擊,并且通過(guò)一次解析引擎保證防火墻性能等優(yōu)勢(shì)性特點(diǎn)真正滿足用戶使用安全產(chǎn)品的需求。
拐點(diǎn)二:下一代防火墻在國(guó)內(nèi)市場(chǎng)引爭(zhēng)議
下一代防火墻在國(guó)外首現(xiàn)雛形,也必然影響國(guó)內(nèi)網(wǎng)絡(luò)安全市場(chǎng)的發(fā)展。2011年,深信服科技率先在國(guó)內(nèi)發(fā)布下一代防火墻,此后,梭子魚(yú)、東軟、銳捷、天融信、網(wǎng)康等廠商也紛紛發(fā)布下一代防火墻以順應(yīng)網(wǎng)絡(luò)安全產(chǎn)品變革的趨勢(shì)。下一代防火墻在2011年到2012年期間并沒(méi)有嚴(yán)格的標(biāo)準(zhǔn),各廠商發(fā)布的下一代防火墻也各不相同。這也引起了業(yè)內(nèi)不少爭(zhēng)議,以統(tǒng)一威脅管理UTM和以傳統(tǒng)安全產(chǎn)品為主的安全廠商認(rèn)為下一代防火墻其實(shí)就是功能更全面、性能更強(qiáng)的UTM,甚至認(rèn)為這款產(chǎn)品并不會(huì)引起用戶的興趣也不會(huì)對(duì)傳統(tǒng)穩(wěn)定的安全市場(chǎng)格局造成什么影響。
拐點(diǎn)三:國(guó)內(nèi)下一代防火墻醞釀成熟
國(guó)內(nèi)的下一代防火墻從2011年發(fā)展至今,已經(jīng)經(jīng)過(guò)近兩年的發(fā)展。越來(lái)越多的用戶使用下一代防火墻來(lái)構(gòu)建自己的網(wǎng)絡(luò)安全防御體系,各行業(yè)也逐步在制定下一代防火墻的行業(yè)規(guī)范。下一代防火墻也逐步獲得了業(yè)界和用戶的認(rèn)可,越來(lái)越多的用戶發(fā)現(xiàn),在選擇五花八門(mén)的各類傳統(tǒng)安全產(chǎn)品如防火墻、入侵防御、防病毒、web應(yīng)用防火墻的時(shí)候下一代防火墻似乎能更好的滿足其對(duì)網(wǎng)絡(luò)安全建設(shè)的需求,因此越來(lái)越多的用戶也逐步過(guò)渡到使用下一代防火墻的大軍中來(lái)。以深信服下一代防火墻為例,經(jīng)過(guò)近兩年的發(fā)展,使用深信服下一代防火墻的用戶已經(jīng)超過(guò)2000家,其中有400多家高端的客戶。其下一代防火墻的銷售額也比2011年翻了四倍,創(chuàng)造了國(guó)內(nèi)安全市場(chǎng)單產(chǎn)品增長(zhǎng)的一段佳話,給長(zhǎng)年穩(wěn)定沒(méi)有發(fā)展的國(guó)內(nèi)網(wǎng)絡(luò)安全市場(chǎng)增添了新的活力。與此同時(shí)國(guó)內(nèi)外的網(wǎng)絡(luò)安全廠商如飛塔、checkpoint等廠商也紛紛加入到下一代防火墻的大軍中來(lái)。國(guó)內(nèi)下一代防火墻市場(chǎng)隨著用戶不斷認(rèn)可、廠商不斷熱捧、行業(yè)不斷重視,已經(jīng)逐步醞釀成熟。根據(jù)Gartner的預(yù)測(cè),到 2014 年,35% 的企業(yè)將會(huì)安裝下一代防火墻,而60%用戶新購(gòu)買(mǎi)的防火墻將是NGFW。相比這個(gè)數(shù)字在國(guó)內(nèi)很快就會(huì)得到驗(yàn)證。#p#
深信服下一代防火墻NGAF三個(gè)最顯著特點(diǎn)
第一:完整應(yīng)用層安全防御
深信服NGAF可以提供完整的應(yīng)用層安全防御功能,包括主流的Web攻擊、漏洞攻擊等各類型的應(yīng)用層攻擊,消除用戶網(wǎng)絡(luò)在應(yīng)用層安全防護(hù)上的短板。
第二:獨(dú)特的雙向內(nèi)容檢測(cè)
深信服NGAF不僅僅能夠檢測(cè)外到內(nèi)流量中是否有攻擊,對(duì)服務(wù)器、終端外發(fā)的流量也會(huì)進(jìn)行深入內(nèi)容的安全檢測(cè)。包括外發(fā)的數(shù)據(jù)是否存在信息泄密的風(fēng)險(xiǎn)、終端中毒之后是否向外發(fā)起惡意流量以及正常服務(wù)器返回的信息里是否還有可以給被黑客利用的信息等。
第三:智能的安全防御體系
深信服NGAF除了滿足Gartner定義中緊密集成入侵防御之外,在智能這個(gè)特點(diǎn)上也是獨(dú)具特色,目前包括兩個(gè)方面:
1、自動(dòng)建模技術(shù),采用自動(dòng)學(xué)習(xí)并自動(dòng)生成白名單的形式防御未知攻擊;
2、模塊間聯(lián)動(dòng)技術(shù),模塊間的智能聯(lián)動(dòng)包括模塊間的聯(lián)動(dòng)、風(fēng)險(xiǎn)評(píng)估與策略聯(lián)動(dòng)。模塊間的聯(lián)動(dòng),指的是應(yīng)用層安全防護(hù)的模塊與防火墻訪問(wèn)控制模塊之間的聯(lián)動(dòng),可通過(guò)聯(lián)動(dòng)自動(dòng)生成訪問(wèn)控制策略提高黑客攻擊的成本,降低安全的風(fēng)險(xiǎn)。
此外,深信服NGAF中的風(fēng)險(xiǎn)評(píng)估與策略聯(lián)動(dòng)技術(shù),會(huì)主動(dòng)發(fā)現(xiàn)服務(wù)器的安全風(fēng)險(xiǎn),從而一鍵生成生成針對(duì)性的安全策略可達(dá)到用戶簡(jiǎn)化運(yùn)維的效果。#p#
下一代防火墻的防護(hù)功能比UTM更專業(yè)、更全面
從防護(hù)層面來(lái)看:
下一代防火墻能夠提供更全面L2-L7層的攻擊的防護(hù),尤其是應(yīng)用層攻擊,如web攻擊、漏洞攻擊、病毒木馬等類型的應(yīng)用層攻擊都有很好的防護(hù)效果,使網(wǎng)絡(luò)安全防護(hù)沒(méi)有短板;下一代防火墻不僅能夠防護(hù)攻擊本身,還能對(duì)服務(wù)器或終端外發(fā)的流量進(jìn)行檢查,檢查終端是否有惡意流量外發(fā),服務(wù)器是否還有信息泄露的問(wèn)題。
在構(gòu)架上來(lái)看:
下一代防火墻采用的單次解析引擎,應(yīng)用層安全檢測(cè)模塊統(tǒng)一到了統(tǒng)一個(gè)檢測(cè)引擎中。這樣數(shù)據(jù)包經(jīng)過(guò)防火墻使就不必經(jīng)過(guò)多次L2-L7層的拆包解包了,由此可以大大提升下一代防火墻的檢測(cè)效率。
從聯(lián)動(dòng)性來(lái)看:
兩者同屬融合型產(chǎn)品,下一代防火墻中各個(gè)功能模塊不是割裂的,可以形成聯(lián)動(dòng)。
