新邊界安全中所定義的新邊界包括網(wǎng)絡(luò)安全邊界���、應(yīng)用安全邊界����、數(shù)據(jù)安全邊界、內(nèi)容安全邊界以及云計(jì)算安全邊界五大部分����。其中,網(wǎng)絡(luò)安全邊界已逐步向應(yīng)用安全邊界發(fā)酵并轉(zhuǎn)化�����,傳統(tǒng)的防火墻也在逐步向應(yīng)用級智能防火墻發(fā)展��。在Gartner看來���,NGFW是一個(gè)線速(Wire-Speed)網(wǎng)絡(luò)安全處理平臺(tái)��,定位于企業(yè)網(wǎng)絡(luò)防火墻(Enterprise Network Firewall����,F(xiàn)irewall指宏觀意義上的防火墻)市場����。在網(wǎng)御星云看來,NGFW+則是一個(gè)高性能多線程專用平臺(tái)�,通過應(yīng)用感控技術(shù)進(jìn)行識別��,同時(shí)能進(jìn)行智能流量控制的綜合型下一代防火墻��,定位于政府��、行業(yè)以及電信級防火墻(Government�、Industry����、Telecom)市場。
一�����、市場NGFW屬性
傳統(tǒng)FW屬性:NGFW必須擁有傳統(tǒng)防火墻所提供的所有功能�����,如基于連接狀態(tài)的訪問控制����、NAT、VPN����、HA等等��。雖然我們總是在說傳統(tǒng)防火墻已經(jīng)不能滿足用戶需求�,但它仍然是一種無可替代的基礎(chǔ)性訪問控制手段���。
六元組屬性:網(wǎng)御提供了一個(gè)全網(wǎng)絡(luò)視圖的六元組安全策略,其與以往的五元組相比��,最大的優(yōu)勢在于可使得管理員能夠基于實(shí)時(shí)情況�����、應(yīng)用ID定義安全策略���。同時(shí)���,此策略還可以辨別出來自同一網(wǎng)站的不同應(yīng)用并且可以啟用服務(wù)質(zhì)量選項(xiàng)為這些應(yīng)用優(yōu)先分配帶寬。在訪問控制基礎(chǔ)上取得了質(zhì)的飛躍�。
云防御屬性:云安全防御技術(shù)融合了并行處理、網(wǎng)格計(jì)算�����、未知病毒行為判斷等新興技術(shù)和概念,通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測�,獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息�,傳送到服務(wù)器端進(jìn)行自動(dòng)分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端�,實(shí)現(xiàn)立體全面的防護(hù)。
應(yīng)用感控屬性:NGFW必須具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進(jìn)行應(yīng)用識別的能力��,并執(zhí)行訪問控制策略���。例如允許用戶使用QQ的文本聊天��、文件傳輸功能但不允許進(jìn)行語音視頻聊天��,或者允許使用WebMail收發(fā)郵件但不允許附加文件等���。應(yīng)用識別帶來的額外好處是可以合理優(yōu)化帶寬的使用情況,保證關(guān)鍵業(yè)務(wù)的暢通��。雖然嚴(yán)格意義上來講應(yīng)用流量優(yōu)化(俗稱應(yīng)用QoS)不是一個(gè)屬于安全范疇的特性����,但P2P下載、在線視頻等網(wǎng)絡(luò)濫用確實(shí)會(huì)導(dǎo)致業(yè)務(wù)中斷等嚴(yán)重安全事件�����。
智能聯(lián)動(dòng)屬性:獲取來自“防火墻外面”的信息,做出更合理的訪問控制�,例如從域控制器上獲取用戶身份信息,將權(quán)限與訪問控制策略聯(lián)系起來���,或是來自URL Filter判定的惡意地址的流量直接由防火墻去阻擋����,而不再浪費(fèi)IPS或其他產(chǎn)品的資源去判定���。我們理解這個(gè)“外面”也可以是NGFW+本體內(nèi)的其他安全業(yè)務(wù),它們應(yīng)該像之前提到的IPS那樣與防火墻形成緊密的耦合關(guān)系��,實(shí)現(xiàn)自動(dòng)聯(lián)動(dòng)的效果�。
二、NGFW直面UTM
需要注意的是���,不同機(jī)構(gòu)對NGFW做出的定義都是最小化的功能集合�。站在廠商的角度�����,勢必要根據(jù)自身技術(shù)積累的情況,在產(chǎn)品上集成更多的安全功能��。這導(dǎo)致不同廠商的NGFW產(chǎn)品在功能上可能存在差異�,同時(shí)更像一個(gè)大而全的集中化解決方案,給用戶造成了很混亂的印象����。用戶大多數(shù)會(huì)產(chǎn)生同一個(gè)疑問:NGFW是不是相當(dāng)于一個(gè)加強(qiáng)型的UTM?
實(shí)際上����,這里提到的NGFW和UTM都是對廠商包裝后的產(chǎn)品的認(rèn)知,已經(jīng)脫離了最原始的定義�����。市場分析咨詢機(jī)構(gòu)IDC曾經(jīng)這樣定義UTM:這是一類集成了常用安全功能的設(shè)備����,必須包括傳統(tǒng)防火墻、網(wǎng)絡(luò)入侵檢測與防護(hù)和網(wǎng)關(guān)防病毒功能���,并且可能會(huì)集成其他一些安全或網(wǎng)絡(luò)特性���。它簡單明了���,讓人易于接受并容易做出判斷。而安全業(yè)務(wù)的集成化�����,也確實(shí)符合當(dāng)時(shí)的市場需求���。有了這樣一個(gè)寬泛的準(zhǔn)入條件�,UTM的概念一經(jīng)推出便受到廠商與用戶到一致認(rèn)同�����,市場份額迅速擴(kuò)大����,成長為目前安全市場上的主流產(chǎn)品����。
Gartner在其市場分析報(bào)告中對NGFW產(chǎn)品形態(tài)則有著更為細(xì)致的描述。該機(jī)構(gòu)在調(diào)研后認(rèn)為�,除了傳統(tǒng)防火墻、VPN��,NGFW至少還應(yīng)該具有APP、User���、URL過濾和內(nèi)容過濾的能力��,并且要支持反惡意軟件(包括病毒����、木馬�、間諜軟件等)范疇;作為邊緣網(wǎng)關(guān)��,NGFW必須滿足時(shí)延敏感型應(yīng)用的需求�����,與之有悖的功能不適合出現(xiàn)在NGFW上�。
通過上面的分析,我們可以得出明確的結(jié)論:UTM和NGFW只是針對不同級別用戶的需求�,對宏觀意義上的防火墻的功能進(jìn)行了更有針對性的歸納總結(jié),是互為補(bǔ)充的關(guān)系����。無論從產(chǎn)品與技術(shù)發(fā)展角度還是市場角度看,它們與IDC定義的UTM一樣����,都是不同時(shí)間情況下對邊緣網(wǎng)關(guān)集成多種安全業(yè)務(wù)的階段性描述����,其出發(fā)點(diǎn)就是用戶需求變化產(chǎn)生的牽引力�����。
三���、NGFW產(chǎn)品現(xiàn)狀
目前�����,在國內(nèi)安全市場��,各安全廠商也在為自己的NGFW產(chǎn)品造勢���,但基本上都是處于宣傳階段����,無實(shí)際產(chǎn)品正式發(fā)布,NGFW的市場前景會(huì)進(jìn)一步擴(kuò)大化����,國內(nèi)安全廠商將在更細(xì)化的區(qū)域進(jìn)行白刃PK����。網(wǎng)御星云公司則早在2010年初就已立項(xiàng)啟動(dòng)下一代智能感控防火墻的研發(fā)����,當(dāng)前正經(jīng)歷臨床試驗(yàn)階段,其功能包括所有NGFW的特質(zhì)����,并融合網(wǎng)御的云防御理念,預(yù)計(jì)2011年下半年將全面上市�。
四、如何評估NGFW
NGFW屬于新生產(chǎn)品����,目前業(yè)界對其還沒有一個(gè)公認(rèn)的測試標(biāo)準(zhǔn),甚至獨(dú)立的測試報(bào)告都寥寥無幾��。隨著網(wǎng)絡(luò)應(yīng)用的增加以及云計(jì)算的發(fā)展��,對網(wǎng)絡(luò)帶寬提出了更高的要求���。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)��。另外����,在以后幾年里,多媒體應(yīng)用將會(huì)越來越普遍���,它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小��,所以如何判斷下一代防火墻好壞應(yīng)從以下幾個(gè)方面綜合評估:
硬件架構(gòu)方面:在近幾年��,一些防火墻制造商開發(fā)了基于ASIC的防火墻����,從執(zhí)行速度的角度看來�����,基于加上芯片的防火墻也是取決于軟件的解決方案���,它需要在很大程度上依賴于軟件的性能���,雖然這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎��,能減輕CPU的負(fù)擔(dān),性能要比傳統(tǒng)防火墻的性能好許多���,但這也存在很多問題�,ASIC主要處理網(wǎng)絡(luò)層數(shù)據(jù)����,而當(dāng)今應(yīng)用層已經(jīng)占據(jù)半壁江山,雖然起到加速作用���,但效果甚微��,另一方面�,由于ASIC對新建并發(fā)���、最大并發(fā)連接并不起多大作用����,防火墻的并發(fā)瓶頸并未得到真正解決�,人們更多的傾向于多核MIPS技術(shù),所以�,多核多線程并行處理技術(shù)既能解決高并發(fā)的問題,也能處理應(yīng)用層協(xié)議,這一方向得到了多數(shù)安全廠商的認(rèn)可��。
易用界面方面:管理界面的易用性也是不容忽視的評估要素��。雖然用戶識別/控制和統(tǒng)一的策略框架不是NGFW定義中的強(qiáng)制功能�����,但根據(jù)用戶的實(shí)際需求出發(fā)�����,在該領(lǐng)域應(yīng)做出更加深入的用戶體驗(yàn)改善�����。用戶應(yīng)當(dāng)考察NGFW產(chǎn)品是否可以通過獲取域控制器信息或Web認(rèn)證等手段�,做到IP與用戶身份的綁定,再通過統(tǒng)一的策略框架進(jìn)行更加直觀����、簡單的權(quán)限定義,以達(dá)到“允許市場部門的所有員工從任何位置訪問新浪微博”�、“只允許IT部門員工從特定位置使用SSH、Telnet�、遠(yuǎn)程桌面應(yīng)用”等以用戶��、應(yīng)用為核心元素的訪問控制策略配置模式����。易用性的另一個(gè)重要體現(xiàn)是設(shè)備是否提供中文的WebUI�、報(bào)表系統(tǒng)���、端點(diǎn)套件和集中管理系統(tǒng)�����。
性能測試方面:許多用戶都知道針對傳統(tǒng)防火墻有RFC2544�、RFC3511�、GB/T 20281-2006這樣公認(rèn)的測試規(guī)范。這類產(chǎn)品的業(yè)務(wù)模型比較單一���,有經(jīng)驗(yàn)的測試人員或管理員會(huì)依照規(guī)范測得的結(jié)果�����,甚至可以憑經(jīng)驗(yàn)去預(yù)估防火墻在某個(gè)特定場景中的性能衰減幅度�����。而當(dāng)網(wǎng)關(guān)設(shè)備使用的訪問控制技術(shù)走進(jìn)應(yīng)用層感控時(shí)代開始�,實(shí)驗(yàn)室環(huán)境中進(jìn)行的標(biāo)準(zhǔn)化測試就失去了原有的指導(dǎo)意義。而NGFW產(chǎn)品在進(jìn)行性能評估時(shí)會(huì)更復(fù)雜�����,用戶必須根據(jù)自身的業(yè)務(wù)需求�,抽象出與之吻合的流量模型,進(jìn)行細(xì)致的�����、有針對性的測試工作�,才能得到有價(jià)值的評估依據(jù)。并且在測試過程中���,應(yīng)時(shí)刻以“尋找最差性能”的目標(biāo)��,方可在未來的實(shí)際使用中規(guī)避性能瓶頸���。
五、網(wǎng)御NGFW+產(chǎn)品
網(wǎng)御星云公司早在2010年初就已立項(xiàng)啟動(dòng)下一代智能感控防火墻的研發(fā)���,當(dāng)前正經(jīng)歷臨床試驗(yàn)階段���,功能包括所有NGFW的特質(zhì)���,并融合網(wǎng)御的云防御理念的NGFW+新生代產(chǎn)品,預(yù)計(jì)2011年下半年將全面上市�����,其產(chǎn)品特點(diǎn)及核心技術(shù)有以下幾點(diǎn):
5.1�����、應(yīng)用感控
應(yīng)用感控技術(shù)不同于傳統(tǒng)的基于端口和協(xié)議的狀態(tài)包過濾技術(shù)���,這種技術(shù)能通過流量識別網(wǎng)絡(luò)上的應(yīng)用程序,基于應(yīng)用ID進(jìn)行智能識別與控制��,同時(shí)�,可以辨別出來自同一網(wǎng)站的不同應(yīng)用并且可以啟用服務(wù)質(zhì)量選項(xiàng)為這些應(yīng)用優(yōu)先分配帶寬。達(dá)到了六元組的新型智能應(yīng)用過濾技術(shù)��,既可以進(jìn)行應(yīng)用識別����,也可以做到對應(yīng)用的細(xì)粒度控制����。
5.2���、云安全防御
云安全防御技術(shù)融合了并行處理����、網(wǎng)格計(jì)算��、未知病毒行為判斷等新興技術(shù)和概念�����,通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測��,獲取互聯(lián)網(wǎng)中木馬����、惡意程序的最新信息,傳送到服務(wù)器端進(jìn)行自動(dòng)分析和處理�,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。實(shí)現(xiàn)立體全面的防護(hù)��。
5.3�、WEB主動(dòng)過濾
這種技術(shù)通常認(rèn)為是在UTM上實(shí)現(xiàn)���,但在下一代防火墻中,這種需求也越來越明顯�,實(shí)際上Web過濾是指上網(wǎng)監(jiān)控功能,具備內(nèi)容過濾的安全網(wǎng)關(guān)通過多重過濾與保護(hù)�,對內(nèi)容和網(wǎng)址進(jìn)行監(jiān)控,對內(nèi)容不良的網(wǎng)站實(shí)行過濾���,從而實(shí)現(xiàn)對網(wǎng)絡(luò)內(nèi)部人員上網(wǎng)進(jìn)行監(jiān)控URL的屏蔽列表�。
5.4�、IPv6網(wǎng)絡(luò)安全
雖然IPv6在網(wǎng)絡(luò)廠商應(yīng)用較為廣泛����,但在安全廠商中,支持IPv6的網(wǎng)絡(luò)安全產(chǎn)品(如防火墻����、UTM、IPS等)還是較少�����,具體功能包括:IPv6環(huán)境下的狀態(tài)包過濾���、靜態(tài)路由���、OSPF動(dòng)態(tài)路由���、FTP、ALG等基本安全控制�,以及IPv6/v4 雙協(xié)議棧功能;設(shè)備在同一信息安全網(wǎng)絡(luò)中同時(shí)支持 IPv4 和IPv6協(xié)議的安全控制日漸得到關(guān)注���。
5.5�、多核高性能
高性能多核技術(shù)為工程師們打開了另一扇門-它是把更多的CPU壓在一個(gè)芯片當(dāng)中以提高整個(gè)芯片處理交易事務(wù)的能力�����。以8核為例��,在一塊CPU基板上集成8個(gè)處理器核心���,通過并行總線將各處理器核心連接起來�,一般多核芯片都會(huì)集成一些針對比較耗費(fèi)資源處理的硬件加速引擎���。比如XLR內(nèi)置的網(wǎng)絡(luò)加速器可以對從網(wǎng)絡(luò)接口進(jìn)入XLR的數(shù)據(jù)包進(jìn)行高速預(yù)處理�����。拿以太網(wǎng)包舉例����,XLR的網(wǎng)絡(luò)加速器可以對以太網(wǎng)包2層、3層�����、4層的內(nèi)容進(jìn)行辨析��,提取特征串�����,自動(dòng)完成校驗(yàn)和驗(yàn)證�,把包DMA(Direct Memory Access)到內(nèi)存�����,構(gòu)造以太網(wǎng)包描述符(Descriptor)�����,然后可以基于多種策略把以太網(wǎng)描述符快速均衡的分流到指定的vCPU。這樣�����,既可以提升網(wǎng)絡(luò)層處理性能���,也可以加速處理應(yīng)用層檢測速率�����,小包性能以及并發(fā)數(shù)顯著提升���,并且多核芯片內(nèi)建應(yīng)用加速安全引擎,在硬件層面上就可以支持AES����,DES/3DES,SHA-1,SHA-256,MD5算法,最大可提供10Gbps的VPN加密解密運(yùn)算能力����。
5.6、NGFW+自身高安全
如果防火墻系統(tǒng)本身被攻擊者突破或迂回��,對內(nèi)部系統(tǒng)來說它就毫無意義。因此����,保障防火墻自身的安全是實(shí)現(xiàn)系統(tǒng)安全的前提。一個(gè)防火墻要抵御黑客的攻擊必須具有嚴(yán)密的體系結(jié)構(gòu)和安全的網(wǎng)絡(luò)結(jié)構(gòu)���。 不同類型的拒絕服務(wù)攻擊����。理想情況下�,防火墻應(yīng)該采取直截了當(dāng)?shù)姆绞剑热鐚?shù)據(jù)包打回或干脆關(guān)閉防火墻的方式����。
六、網(wǎng)御NGFW+安全解決方案
網(wǎng)御下一代防火墻分為KingGuard萬兆系列�����、Super V高端系列����、Power V中高端系列和Smart V低端系列��,共計(jì)80余款,可為各種規(guī)模的企業(yè)和政府機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)提供相適應(yīng)的產(chǎn)品����。網(wǎng)御防火墻已在稅務(wù)、公安����、政府、軍隊(duì)���、能源�����、交通���、電信、金融����、制造等各行業(yè)中部署50000臺(tái)以上。KingGuard����、Super V系列采用高性能的RSIC多核架構(gòu)�,并結(jié)合國內(nèi)首創(chuàng)的WindRunner矩陣式并行處理技術(shù)��,將多顆CPU排成矩陣��,在對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行IPv4/IPv6雙協(xié)議棧的策略匹配�、抗攻擊、內(nèi)容過濾��、加解密��、QOS����、日志等多項(xiàng)業(yè)務(wù)處理時(shí),采用并行計(jì)算和流水線兩個(gè)維度進(jìn)行并行處理�,確保了高安全的前提下的高性能處理。Power V系列采用基于應(yīng)用識別的綠色上網(wǎng)控制模塊�����,并在Power V-4000及3000系列集成了專用ASIC加速硬件芯片����,使得小包高達(dá)10Gbps;Power V是已部署3萬多臺(tái)套的高可用多威脅統(tǒng)一管理的下一代防火墻系列���。Smart V系列是集成防火墻����、VPN�、交換機(jī)、主動(dòng)防御等功能于一身�����,可采用機(jī)架型和桌面型兩種設(shè)備部署方案�����,適合各類大集團(tuán)的分支機(jī)構(gòu)�����、區(qū)縣級政府機(jī)關(guān)�、小型企業(yè)及SOHO用戶。
在應(yīng)用感控與云安全技術(shù)方面�,網(wǎng)御下一代防火墻結(jié)合VSP、USE�����、MRP等核心安全技術(shù),通過智能感控技術(shù)收集攻擊檢測源和掛馬網(wǎng)站URL等特征���,���,與已部署的防病毒網(wǎng)關(guān)、IPS���、UTM����、Guard等設(shè)備聯(lián)合抓取病毒源���、攻擊檢測源和掛馬網(wǎng)站URL等特征��,匯集至云防御服務(wù)器定時(shí)收納合并���,云防御服務(wù)器動(dòng)態(tài)更新病毒庫、攻擊特征庫�����、掛馬庫等并同步到所有網(wǎng)御安全網(wǎng)關(guān)設(shè)備中���,使其他設(shè)備也具有防病毒�����、IPS�、防掛馬等功能��,同時(shí)使其具備更高的處理性能����,共同形成整體可信架構(gòu)云防御體系。網(wǎng)御公司提前部署可信架構(gòu)“云防御”體系���,主動(dòng)防御未知威脅��,網(wǎng)御下一代防火墻在不斷變化的威脅環(huán)境�����、不斷變化的業(yè)務(wù)IT流程����、不斷更新的云威脅下��,為用戶提供真正有價(jià)值的信息安全整體防護(hù)方案,使信息安全3.0時(shí)代提前到來��。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商����!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
