下一代防火墻需求分析

傳統(tǒng)邊界安全只是在事中堆疊防御，事前：缺乏風險預知能力，事中：傳統(tǒng)邊界安全是拼湊的防御，堆疊防御的手段無法提供有效保護，并且將安全復雜化，事后：缺乏檢測和響應能力。

下一代防火墻產(chǎn)品價值

產(chǎn)品價值：融合安全 讓安全更簡單 更有效

下一代防火墻產(chǎn)品概述

讓安全更有效、更簡單
下一代防火墻通過提出“融合安全，簡單有效”價值主張，為用戶業(yè)務提供全生命周期保護，真正實現(xiàn)全程可視和全程保護。
事前：下一代防火墻幫助用戶在事前自動發(fā)現(xiàn)新增資產(chǎn)、評估漏洞及是否有保護策略。
事中：構(gòu)建L2-7層縱深防御體系，屏蔽防護短板且具備聯(lián)動和關聯(lián)分析能力。
事后：持續(xù)檢測繞過防御的威脅，并通過云端安全服務提供7*24小時快速響應的技術服務。在IT業(yè)務運維全過程內(nèi)向用戶提供對風險的認知、對保護過程的認知和對結(jié)果的認知，幫助您的IT系統(tǒng)更簡單、更安全、更有價值。

我們?yōu)槟峁﹫鼍盎慕鉀Q方案

互聯(lián)網(wǎng)出口終端
上網(wǎng)安全防護解決方案
該方案在用戶、行為、業(yè)務等維度實現(xiàn)更多元素的可視，并對可視數(shù)據(jù)進行綜合分析，實現(xiàn)風險定位及圖形化威脅展示。同時針對黑客攻擊鏈所有環(huán)節(jié)均可持續(xù)檢測，利用云沙盒技術和大數(shù)據(jù)威脅情報分析平臺，可以及時、準確的響應安全事件，將威脅影響面降到更低。

網(wǎng)站安全立體
保護解決方案
該方案針對用戶Web業(yè)務網(wǎng)站防護，將過去以特征更新為主的靜態(tài)防御體系，通過深信服下一代防火墻賦予云端安全檢測能力，從而實現(xiàn)主動積極的防御，一旦某臺設備發(fā)現(xiàn)新型、未知威脅可以通過云端快速進行更新，24小時內(nèi)實現(xiàn)全網(wǎng)攔截。結(jié)合云端自動化網(wǎng)站安全異常監(jiān)測技術，可以在網(wǎng)站出現(xiàn)漏洞、篡改、黑鏈、掛馬等安全事件時，在數(shù)分鐘之內(nèi)讓用戶獲得通報和預警。

廣域網(wǎng)全網(wǎng)
安全感知解決方案
該方案不僅可以提升廣域網(wǎng)的安全防護能力，還能夠幫助用戶實時了解分支機構(gòu)安全風險，避免分支機構(gòu)存在安全建設薄弱點從而成為入侵短板，以便真正實現(xiàn)管理集中化和運維自動化

數(shù)據(jù)中心應用層
安全加固方案
該方案可對數(shù)據(jù)中心安全進行有效補充，解決在設計初期僅規(guī)劃防火墻，缺乏完善的安全防御和檢測技術所帶來的風險。主要包含應用層安全加固、增強安全檢測技術和簡化安全管理三個方面，可以保障在復雜業(yè)務環(huán)境下數(shù)據(jù)中心信息安全。

數(shù)據(jù)中心安全
域隔離解決方案

該方案可以將數(shù)據(jù)中心按照不同安全等級進行區(qū)域劃分，實現(xiàn)層次化、重點化、全面化的保護和訪問控制。有效解決傳統(tǒng)防火墻中存在的上線部署、業(yè)務新增和日常管理策略復雜、可視性差等問題。

下一代防火墻，即Next Generation Firewall，簡稱NG Firewall，是一款可以全面應對應用層威脅的高性能防火墻。通過深入洞察網(wǎng)絡流量中的用戶、應用和內(nèi)容，并借助全新的高性能單路徑異構(gòu)并行處理引擎，NGFW能夠為用戶提供有效的應用層一體化安全防護，幫助用戶安全地開展業(yè)務并簡化用戶的網(wǎng)絡安全架構(gòu)。

為什么要發(fā)展下一代防火墻？

一、 傳統(tǒng)防火墻無法適應新的網(wǎng)絡威脅和挑戰(zhàn)

在網(wǎng)絡安全的實際應用中通過安全防護體系保障網(wǎng)絡安全，安全防范體系具體實施的第一項內(nèi)容就是在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)筑一道防線，以抵御來自外部的絕大多數(shù)攻擊，完成這項任務的網(wǎng)絡邊防產(chǎn)品我們稱其為防火墻。傳統(tǒng)防火墻可以分為四種類型，分別為包過濾、應用級網(wǎng)關、代理服務器和狀態(tài)檢測。

作為邊界網(wǎng)絡安全的第一道關卡防火墻經(jīng)歷了包過濾技術、代理技術和狀態(tài)監(jiān)視技術的技術革命，通過ACL訪問控制策略、NAT地址轉(zhuǎn)換策略以及抗網(wǎng)絡攻擊策略，有效的阻斷了一切未被明確允許的包通過，保護了網(wǎng)絡的安全，過濾不安全服務、阻止非法用戶和控制對特殊站點的訪問。

狀態(tài)檢測防火墻是上一代防火墻應用最廣泛的產(chǎn)品，但是它們面對新一代的安全威脅的作用越來越小。狀態(tài)檢測防火墻通過檢查數(shù)據(jù)包頭，分析和監(jiān)視網(wǎng)絡層(L3)和協(xié)議層(L4)，基于一套用戶自定義的防火墻策略來允許、拒絕或轉(zhuǎn)發(fā)網(wǎng)絡流量。

然而隨著網(wǎng)絡的發(fā)展，黑客已經(jīng)研究出大量的方法來繞過防火墻策略。狀態(tài)檢測防火墻存在著以下不足之處：1、無法檢測加密的Web流量；2、普通應用程序加密后，也能輕易躲過防火墻的檢測；3、對于Web 2.0應用程序防范能力不足；4、應用防護特性只適用于簡單情況；5、無法擴展深度檢測功能。

網(wǎng)絡環(huán)境的新需求迫使防火墻進行根本性的變革，因而催生出革命性的防火墻產(chǎn)品——下一代防火墻。

二、 下一代防火墻的到來和技術突破

1. 下一代防火墻的誕生

狀態(tài)檢測防火墻在地址/端口的網(wǎng)絡時代發(fā)揮了巨大作用，合理分隔了安全域，有效的阻止了外部攻擊。但對于使用僵尸網(wǎng)絡等傳播方式的威脅，第一代防火墻基本上是看不到的。隨著面向服務的架構(gòu)和Web 2.0使用的增加，更多的通信通過更少的端口(如HTTP和HTTPS)和使用更少的協(xié)議傳輸，這意味著基于端口/協(xié)議的政策已經(jīng)變得不能很好適應和奏效。

Gartner在2009年發(fā)布了一份名為《Defining the Next-Generation Firewall》，將下一代防火墻(NGFW)定義為在不同信任級別的網(wǎng)絡之間實時執(zhí)行網(wǎng)絡安全政策的聯(lián)機控制。Gartner使用“下一代防火墻”這個術語來說明防火墻在應對業(yè)務流程使用IT的方式和威脅試圖入侵業(yè)務系統(tǒng)的方式發(fā)生變化時應采取的必要的演進。 根據(jù)Gartner的理論，NGFW 應該是一個高性能網(wǎng)絡安全處理平臺，至少應當具備以下幾個屬性：

（1）標準的第一代防火墻能力：包過濾、網(wǎng)絡地址轉(zhuǎn)換(NAT)、狀態(tài)性協(xié)議檢測、VPN等等；

（2）集成的而非僅僅共處一個位置的網(wǎng)絡入侵檢測：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應當大于這兩部分效果的總和。集成具有高質(zhì)量的IPS引擎和特征碼；

（3）應用意識和全棧可見性：識別應用和在應用層上執(zhí)行的獨立端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務的網(wǎng)絡安全政策；

（4） 額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

2. 下一代防火墻的革新

應用識別是防火墻未來發(fā)展的重要技術方向，基于應用的攻擊不斷變化，也要求防御技術必須有所提升。

下一代防火墻在性能、安全性、易用性、可管理性等方面有了質(zhì)的飛躍，滿足用戶新的防御和管理需求。相比傳統(tǒng)防火墻和UTM（統(tǒng)一威脅管理，Unified Threat Management），下一代防火墻與它們的主要區(qū)別在于：

1）傳統(tǒng)防火墻局限于IP地址、接口層面的安全防護。從基于簡單包過濾技術防火墻到基于狀態(tài)檢測技術的防火墻，重點的防護還僅僅是停留在OSI模型的四層以內(nèi)；

2）UTM是在“瘦防火墻”基礎上發(fā)展而來的，集防火墻、IPS、VPN等安全功能于一體的集成安全網(wǎng)關，其不足之處在于處理機制煩瑣，效率低下，內(nèi)部安全模塊間缺少智能關聯(lián)；

3）下一代防火墻除了具備傳統(tǒng)防火墻功能外，更關注針對應用層面的安全防護。實時性、準確性、高效性也成為下一代防火墻的主要特點。它會根據(jù)深度包檢測引擎的檢測結(jié)果，自動識別到該流量在應用層執(zhí)行的安全策略。流量控制需要更“精細化”的管理，不僅僅能夠?qū)Ξ惓９袅髁窟M行阻止或允許動作，更可用來進行基于應用層的QoS控制，控制粒度更為細致。

三、 下一代防火墻優(yōu)勢和價值

1. 應用識別與控制

下一代防火墻依托先進的應用識別技術，在性能、安全性、易用性、可管理性等方面有了質(zhì)的飛躍，下一代防火墻一般可識別超過上千種應用程序，而不論應用程序使用何種端口、協(xié)議、SSL、加密技術或逃避策略，有以下幾種應用識別方式：

1）第一步基于協(xié)議和端口的檢測 (傳統(tǒng)防火墻做法)。固定端口小于1024的協(xié)議，其端口通常是相對穩(wěn)定，可以根據(jù)端口快速識別應用。

2）基于應用特征碼的識別，深入讀取IP包載荷內(nèi)容中的OSI中的應用層信息，將解包后的應用信息與后臺特征庫進行比較來確定應用類型。

3）基于流量特征的識別，不同的應用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)各有不同，例如，基于P2P下載應用的流量模型特點為平均包長都在450字節(jié)以上、下載時間長、連接速率高、首選傳輸層協(xié)議為TCP等；NGFW基于這一系列流量的行為特征，通過分析會話連接流的包長、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來鑒別應用類型。

2. 用戶識別與控制

通過與認證系統(tǒng)的完美集成，對應用程序使用者實現(xiàn)基于策略的可視化和控制功能。提供基于用戶與用戶組的訪問控制策略，使管理員能夠基于各個用戶和用戶組來查看和控制應用使用情況。在所有功能中均可獲得用戶信息，包括應用控制策略的制定和創(chuàng)建、取證調(diào)查和報表分析。

管理員亦可將用戶信息編輯成Excel、TXT文件，將賬戶導入，實現(xiàn)快捷的創(chuàng)建用戶和分組信息。 支持多種身份認證方式，幫助組織管理員有效區(qū)分用戶，建立組織身份認證體系，進而形成樹形用戶分組，映射組織行政結(jié)構(gòu)，實現(xiàn)用戶與資源的一一對應。下一代防火墻支持為未認證通過的用戶分配受限的網(wǎng)絡訪問權(quán)限，將通過Web認證的用戶重定向至顯示指定網(wǎng)頁，方便組織管理員發(fā)布通知。

3. 內(nèi)容識別與管控

下一代防火墻可以將數(shù)據(jù)包還原的內(nèi)容級別進行全面的威脅檢測，還可以針對黑客入侵過程中使用的不同攻擊方法進行關聯(lián)分析，從而精確定位出一個黑客的攻擊行為，有效阻斷威脅風險的發(fā)生，幫助用戶最大程度減少風險短板的出現(xiàn)，保證業(yè)務系統(tǒng)穩(wěn)定運行。通過內(nèi)容識別技術，下一代防火墻實現(xiàn)了阻止病毒、間諜軟件和漏洞攻擊，限制未經(jīng)授權(quán)的文件和敏感數(shù)據(jù)的傳輸，控制與工作無關的網(wǎng)絡瀏覽等功能。

4. 流量管理與控制

傳統(tǒng)防火墻的QoS流量管理策略是簡單的基于數(shù)據(jù)包優(yōu)先級的轉(zhuǎn)發(fā)，當用戶帶寬流量過大、垃圾流量占據(jù)大量帶寬，而這些流量來源于同一合法端口的不同非法應用時，傳統(tǒng)防火墻的QoS無能為力。

下一代防火墻提供基于用戶和應用的流量管理功能，能夠基于應用做流量控制，實現(xiàn)阻斷非法流量、限制無關流量保證核心業(yè)務的可視化流量管理價值。首先，下一代防火墻將數(shù)據(jù)流根據(jù)各種條件進行分類（如IP地址，URL，文件類型，應用類型等分類），分類后的數(shù)據(jù)包被放置于各自的分隊列中，每個分類都被分配了一定帶寬值，相同的分類共享帶寬，當一個分類上的帶寬空閑時，可以分配給其他分類，其中帶寬限制是通過限制每個分隊列上數(shù)據(jù)包的發(fā)送速率來限制每個分類的帶寬，提高了帶寬限制的精確度。

下一代防火墻可以基于不同用戶(組)、出口鏈路、應用類型、網(wǎng)站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配，精細智能的流量管理既防止帶寬濫用，提升帶寬使用效率。