安全資訊

下一代防火墻需求分析

傳統邊界安全只是在事中堆疊防御，事前：缺乏風(fēng)險預知能力，事中：傳統邊界安全是拼湊的防御，堆疊防御的手段無(wú)法提供有效保護，并且將安全復雜化，事后：缺乏檢測和響應能力。

下一代防火墻產(chǎn)品價(jià)值

產(chǎn)品價(jià)值：融合安全 讓安全更簡(jiǎn)單 更有效

下一代防火墻產(chǎn)品概述

讓安全更有效、更簡(jiǎn)單
下一代防火墻通過(guò)提出“融合安全，簡(jiǎn)單有效”價(jià)值主張，為用戶(hù)業(yè)務(wù)提供全生命周期保護，真正實(shí)現全程可視和全程保護。
事前：下一代防火墻幫助用戶(hù)在事前自動(dòng)發(fā)現新增資產(chǎn)、評估漏洞及是否有保護策略。
事中：構建L2-7層縱深防御體系，屏蔽防護短板且具備聯(lián)動(dòng)和關(guān)聯(lián)分析能力。
事后：持續檢測繞過(guò)防御的威脅，并通過(guò)云端安全服務(wù)提供7*24小時(shí)快速響應的技術(shù)服務(wù)。在IT業(yè)務(wù)運維全過(guò)程內向用戶(hù)提供對風(fēng)險的認知、對保護過(guò)程的認知和對結果的認知，幫助您的IT系統更簡(jiǎn)單、更安全、更有價(jià)值。

我們?yōu)槟峁﹫?chǎng)景化的解決方案

互聯(lián)網(wǎng)出口終端
上網(wǎng)安全防護解決方案
該方案在用戶(hù)、行為、業(yè)務(wù)等維度實(shí)現更多元素的可視，并對可視數據進(jìn)行綜合分析，實(shí)現風(fēng)險定位及圖形化威脅展示。同時(shí)針對黑客攻擊鏈所有環(huán)節均可持續檢測，利用云沙盒技術(shù)和大數據威脅情報分析平臺，可以及時(shí)、準確的響應安全事件，將威脅影響面降到更低。

網(wǎng)站安全立體
保護解決方案
該方案針對用戶(hù)Web業(yè)務(wù)網(wǎng)站防護，將過(guò)去以特征更新為主的靜態(tài)防御體系，通過(guò)深信服下一代防火墻賦予云端安全檢測能力，從而實(shí)現主動(dòng)積極的防御，一旦某臺設備發(fā)現新型、未知威脅可以通過(guò)云端快速進(jìn)行更新，24小時(shí)內實(shí)現全網(wǎng)攔截。結合云端自動(dòng)化網(wǎng)站安全異常監測技術(shù)，可以在網(wǎng)站出現漏洞、篡改、黑鏈、掛馬等安全事件時(shí)，在數分鐘之內讓用戶(hù)獲得通報和預警。

廣域網(wǎng)全網(wǎng)
安全感知解決方案
該方案不僅可以提升廣域網(wǎng)的安全防護能力，還能夠幫助用戶(hù)實(shí)時(shí)了解分支機構安全風(fēng)險，避免分支機構存在安全建設薄弱點(diǎn)從而成為入侵短板，以便真正實(shí)現管理集中化和運維自動(dòng)化

數據中心應用層
安全加固方案
該方案可對數據中心安全進(jìn)行有效補充，解決在設計初期僅規劃防火墻，缺乏完善的安全防御和檢測技術(shù)所帶來(lái)的風(fēng)險。主要包含應用層安全加固、增強安全檢測技術(shù)和簡(jiǎn)化安全管理三個(gè)方面，可以保障在復雜業(yè)務(wù)環(huán)境下數據中心信息安全。

數據中心安全
域隔離解決方案

該方案可以將數據中心按照不同安全等級進(jìn)行區域劃分，實(shí)現層次化、重點(diǎn)化、全面化的保護和訪(fǎng)問(wèn)控制。有效解決傳統防火墻中存在的上線(xiàn)部署、業(yè)務(wù)新增和日常管理策略復雜、可視性差等問(wèn)題。

下一代防火墻，即Next Generation Firewall，簡(jiǎn)稱(chēng)NG Firewall，是一款可以全面應對應用層威脅的高性能防火墻。通過(guò)深入洞察網(wǎng)絡(luò )流量中的用戶(hù)、應用和內容，并借助全新的高性能單路徑異構并行處理引擎，NGFW能夠為用戶(hù)提供有效的應用層一體化安全防護，幫助用戶(hù)安全地開(kāi)展業(yè)務(wù)并簡(jiǎn)化用戶(hù)的網(wǎng)絡(luò )安全架構。

為什么要發(fā)展下一代防火墻？

一、 傳統防火墻無(wú)法適應新的網(wǎng)絡(luò )威脅和挑戰

在網(wǎng)絡(luò )安全的實(shí)際應用中通過(guò)安全防護體系保障網(wǎng)絡(luò )安全，安全防范體系具體實(shí)施的第一項內容就是在內部網(wǎng)和外部網(wǎng)之間構筑一道防線(xiàn)，以抵御來(lái)自外部的絕大多數攻擊，完成這項任務(wù)的網(wǎng)絡(luò )邊防產(chǎn)品我們稱(chēng)其為防火墻。傳統防火墻可以分為四種類(lèi)型，分別為包過(guò)濾、應用級網(wǎng)關(guān)、代理服務(wù)器和狀態(tài)檢測。

作為邊界網(wǎng)絡(luò )安全的第一道關(guān)卡防火墻經(jīng)歷了包過(guò)濾技術(shù)、代理技術(shù)和狀態(tài)監視技術(shù)的技術(shù)革命，通過(guò)ACL訪(fǎng)問(wèn)控制策略、NAT地址轉換策略以及抗網(wǎng)絡(luò )攻擊策略，有效的阻斷了一切未被明確允許的包通過(guò)，保護了網(wǎng)絡(luò )的安全，過(guò)濾不安全服務(wù)、阻止非法用戶(hù)和控制對特殊站點(diǎn)的訪(fǎng)問(wèn)。

狀態(tài)檢測防火墻是上一代防火墻應用最廣泛的產(chǎn)品，但是它們面對新一代的安全威脅的作用越來(lái)越小。狀態(tài)檢測防火墻通過(guò)檢查數據包頭，分析和監視網(wǎng)絡(luò )層(L3)和協(xié)議層(L4)，基于一套用戶(hù)自定義的防火墻策略來(lái)允許、拒絕或轉發(fā)網(wǎng)絡(luò )流量。

然而隨著(zhù)網(wǎng)絡(luò )的發(fā)展，黑客已經(jīng)研究出大量的方法來(lái)繞過(guò)防火墻策略。狀態(tài)檢測防火墻存在著(zhù)以下不足之處：1、無(wú)法檢測加密的Web流量；2、普通應用程序加密后，也能輕易躲過(guò)防火墻的檢測；3、對于Web 2.0應用程序防范能力不足；4、應用防護特性只適用于簡(jiǎn)單情況；5、無(wú)法擴展深度檢測功能。

網(wǎng)絡(luò )環(huán)境的新需求迫使防火墻進(jìn)行根本性的變革，因而催生出革命性的防火墻產(chǎn)品——下一代防火墻。

二、 下一代防火墻的到來(lái)和技術(shù)突破

1. 下一代防火墻的誕生

狀態(tài)檢測防火墻在地址/端口的網(wǎng)絡(luò )時(shí)代發(fā)揮了巨大作用，合理分隔了安全域，有效的阻止了外部攻擊。但對于使用僵尸網(wǎng)絡(luò )等傳播方式的威脅，第一代防火墻基本上是看不到的。隨著(zhù)面向服務(wù)的架構和Web 2.0使用的增加，更多的通信通過(guò)更少的端口(如HTTP和HTTPS)和使用更少的協(xié)議傳輸，這意味著(zhù)基于端口/協(xié)議的政策已經(jīng)變得不能很好適應和奏效。

Gartner在2009年發(fā)布了一份名為《Defining the Next-Generation Firewall》，將下一代防火墻(NGFW)定義為在不同信任級別的網(wǎng)絡(luò )之間實(shí)時(shí)執行網(wǎng)絡(luò )安全政策的聯(lián)機控制。Gartner使用“下一代防火墻”這個(gè)術(shù)語(yǔ)來(lái)說(shuō)明防火墻在應對業(yè)務(wù)流程使用IT的方式和威脅試圖入侵業(yè)務(wù)系統的方式發(fā)生變化時(shí)應采取的必要的演進(jìn)。 根據Gartner的理論，NGFW 應該是一個(gè)高性能網(wǎng)絡(luò )安全處理平臺，至少應當具備以下幾個(gè)屬性：

（1）標準的第一代防火墻能力：包過(guò)濾、網(wǎng)絡(luò )地址轉換(NAT)、狀態(tài)性協(xié)議檢測、VPN等等；

（2）集成的而非僅僅共處一個(gè)位置的網(wǎng)絡(luò )入侵檢測：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動(dòng)效果應當大于這兩部分效果的總和。集成具有高質(zhì)量的IPS引擎和特征碼；

（3）應用意識和全?？梢?jiàn)性：識別應用和在應用層上執行的獨立端口和協(xié)議，而不是根據純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò )安全政策；

（4） 額外的防火墻智能：防火墻收集外來(lái)信息來(lái)做出更好的阻止決定或建立優(yōu)化的阻止規則庫。例子包括利用目錄集成將阻止行為與用戶(hù)身份綁在一起，或建立地址的黑白名單。

2. 下一代防火墻的革新

應用識別是防火墻未來(lái)發(fā)展的重要技術(shù)方向，基于應用的攻擊不斷變化，也要求防御技術(shù)必須有所提升。

下一代防火墻在性能、安全性、易用性、可管理性等方面有了質(zhì)的飛躍，滿(mǎn)足用戶(hù)新的防御和管理需求。相比傳統防火墻和UTM（統一威脅管理，Unified Threat Management），下一代防火墻與它們的主要區別在于：

1）傳統防火墻局限于IP地址、接口層面的安全防護。從基于簡(jiǎn)單包過(guò)濾技術(shù)防火墻到基于狀態(tài)檢測技術(shù)的防火墻，重點(diǎn)的防護還僅僅是停留在OSI模型的四層以?xún)龋?

2）UTM是在“瘦防火墻”基礎上發(fā)展而來(lái)的，集防火墻、IPS、VPN等安全功能于一體的集成安全網(wǎng)關(guān)，其不足之處在于處理機制煩瑣，效率低下，內部安全模塊間缺少智能關(guān)聯(lián)；

3）下一代防火墻除了具備傳統防火墻功能外，更關(guān)注針對應用層面的安全防護。實(shí)時(shí)性、準確性、高效性也成為下一代防火墻的主要特點(diǎn)。它會(huì )根據深度包檢測引擎的檢測結果，自動(dòng)識別到該流量在應用層執行的安全策略。流量控制需要更“精細化”的管理，不僅僅能夠對異常攻擊流量進(jìn)行阻止或允許動(dòng)作，更可用來(lái)進(jìn)行基于應用層的QoS控制，控制粒度更為細致。

三、 下一代防火墻優(yōu)勢和價(jià)值

1. 應用識別與控制

下一代防火墻依托先進(jìn)的應用識別技術(shù)，在性能、安全性、易用性、可管理性等方面有了質(zhì)的飛躍，下一代防火墻一般可識別超過(guò)上千種應用程序，而不論應用程序使用何種端口、協(xié)議、SSL、加密技術(shù)或逃避策略，有以下幾種應用識別方式：

1）第一步基于協(xié)議和端口的檢測 (傳統防火墻做法)。固定端口小于1024的協(xié)議，其端口通常是相對穩定，可以根據端口快速識別應用。

2）基于應用特征碼的識別，深入讀取IP包載荷內容中的OSI中的應用層信息，將解包后的應用信息與后臺特征庫進(jìn)行比較來(lái)確定應用類(lèi)型。

3）基于流量特征的識別，不同的應用類(lèi)型體現在會(huì )話(huà)連接或數據流上的狀態(tài)各有不同，例如，基于P2P下載應用的流量模型特點(diǎn)為平均包長(cháng)都在450字節以上、下載時(shí)間長(cháng)、連接速率高、首選傳輸層協(xié)議為T(mén)CP等；NGFW基于這一系列流量的行為特征，通過(guò)分析會(huì )話(huà)連接流的包長(cháng)、連接速率、傳輸字節量、包與包之間的間隔等信息來(lái)鑒別應用類(lèi)型。

2. 用戶(hù)識別與控制

通過(guò)與認證系統的完美集成，對應用程序使用者實(shí)現基于策略的可視化和控制功能。提供基于用戶(hù)與用戶(hù)組的訪(fǎng)問(wèn)控制策略，使管理員能夠基于各個(gè)用戶(hù)和用戶(hù)組來(lái)查看和控制應用使用情況。在所有功能中均可獲得用戶(hù)信息，包括應用控制策略的制定和創(chuàng )建、取證調查和報表分析。

管理員亦可將用戶(hù)信息編輯成Excel、TXT文件，將賬戶(hù)導入，實(shí)現快捷的創(chuàng )建用戶(hù)和分組信息。 支持多種身份認證方式，幫助組織管理員有效區分用戶(hù)，建立組織身份認證體系，進(jìn)而形成樹(shù)形用戶(hù)分組，映射組織行政結構，實(shí)現用戶(hù)與資源的一一對應。下一代防火墻支持為未認證通過(guò)的用戶(hù)分配受限的網(wǎng)絡(luò )訪(fǎng)問(wèn)權限，將通過(guò)Web認證的用戶(hù)重定向至顯示指定網(wǎng)頁(yè)，方便組織管理員發(fā)布通知。

3. 內容識別與管控

下一代防火墻可以將數據包還原的內容級別進(jìn)行全面的威脅檢測，還可以針對黑客入侵過(guò)程中使用的不同攻擊方法進(jìn)行關(guān)聯(lián)分析，從而精確定位出一個(gè)黑客的攻擊行為，有效阻斷威脅風(fēng)險的發(fā)生，幫助用戶(hù)最大程度減少風(fēng)險短板的出現，保證業(yè)務(wù)系統穩定運行。通過(guò)內容識別技術(shù)，下一代防火墻實(shí)現了阻止病毒、間諜軟件和漏洞攻擊，限制未經(jīng)授權的文件和敏感數據的傳輸，控制與工作無(wú)關(guān)的網(wǎng)絡(luò )瀏覽等功能。

4. 流量管理與控制

傳統防火墻的QoS流量管理策略是簡(jiǎn)單的基于數據包優(yōu)先級的轉發(fā)，當用戶(hù)帶寬流量過(guò)大、垃圾流量占據大量帶寬，而這些流量來(lái)源于同一合法端口的不同非法應用時(shí)，傳統防火墻的QoS無(wú)能為力。

下一代防火墻提供基于用戶(hù)和應用的流量管理功能，能夠基于應用做流量控制，實(shí)現阻斷非法流量、限制無(wú)關(guān)流量保證核心業(yè)務(wù)的可視化流量管理價(jià)值。首先，下一代防火墻將數據流根據各種條件進(jìn)行分類(lèi)（如IP地址，URL，文件類(lèi)型，應用類(lèi)型等分類(lèi)），分類(lèi)后的數據包被放置于各自的分隊列中，每個(gè)分類(lèi)都被分配了一定帶寬值，相同的分類(lèi)共享帶寬，當一個(gè)分類(lèi)上的帶寬空閑時(shí)，可以分配給其他分類(lèi)，其中帶寬限制是通過(guò)限制每個(gè)分隊列上數據包的發(fā)送速率來(lái)限制每個(gè)分類(lèi)的帶寬，提高了帶寬限制的精確度。

下一代防火墻可以基于不同用戶(hù)(組)、出口鏈路、應用類(lèi)型、網(wǎng)站類(lèi)型、文件類(lèi)型、目標地址、時(shí)間段進(jìn)行細致的帶寬劃分與分配，精細智能的流量管理既防止帶寬濫用，提升帶寬使用效率。