读懂安全,从下一代防火墙开始!
今年,思科推出了新的Firepower下一代防火墙解决方案产品系列,旨在为中端市场带来更高的吞吐量和更好的保护。这次推出的思科Firepower 2100系列包括4款下一代防火墙设备:2110、2120、2130和2140。低成本型号2110和2120包括1 RU,固定16端口1 GbE连接。2130和2140型号包括1 RU下一代防火墙模块,最多提供24端口1 GbE和12端口10GbE连接。
思科网络安全产品营销总监Dave Stuart表示,新推出的2100系列专注于自给中端下一代防火墙市场带来简易的部署、简易的管理和性能。为了做到这一点,思科部署了双多核CPU架构,Stuart表示让企业可以部署IPS、高级威胁检测而不用牺牲性能。“这展示了思科让安全完整且有效的持续承诺。现在我们正在合作伙伴和商用部署中扩大适用的受众群。”
传统防火墙通过对端口及协议执行检查与防护,以实现企业网络安全保障。传统防火墙可以分为四种类型:包过滤、应用级网关、代理服务器和状态检测。但由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方,如:传统防火墙不能防范不经由防火墙的攻击、传统防火墙不能防止感染了病毒的软件或文件的传输等等。
下一代防火墙则完全不担心这类问题,它可以网络中的数据包执行深度检测,也就是将数据包解封到应用层。通过这种方式,它能确保数据包的各个组成部分被完整的检测,以识别畸形包、错误、已知攻击和其他异常数据。还能够快速识别并阻止木马、病毒、垃圾邮件、入侵行为,以及其他违反正常通信协议的行为。数据包分析通过各种方法实施,包括基于数据流的检测,漏洞特征、策略配置、协议识别、数据标准化,以及明文HTTP和加密HTTPS连接。
对于上一代防火墙的缺点,举个例子吧!大家可能都听说过一个和尚挑水喝,两个和尚抬水喝的故事,这个故事除了告诉我们分配制度重要性以外,还有一个寓意就是1+1可能小于2,从下左图中我们也可以看出一个和尚的挑水量是两个和尚挑水量的两倍。而UTM正如下右图显示那样,它虽然堆砌式地集成了很多功能,但是集成各个功能都不完善,都有其不可逃避的缺陷,设想几个并不太完整的功能简单叠加在一起,不正犹如一个瞎子背着瘸子过河一般吗?这显然是不可能快速过河,甚至两个人都会掉进河里,这张图就是对UTM性能可预测性差、功能融合度低的最好体现。
因此,说到下一代防火墙和UTM的差别,一般是诟病UTM性能这块。具体到技术上,一般会说UTM是上一代技术,采用包一次通过每一个引擎处理,采用的是串糖葫芦方式,开启安全功 能后性能会急剧下降;下一代防火墙是采用分离式引擎,一次性并行扫描处理所以性能会很高。
这几年多来众多主流厂家也都推出了各自的下一代墙。然而热闹之后,下一代墙并没有像厂家盼望的那样,对传统墙形成替代的燎原之势。与此同时,UTM也开始演进,逐渐和NGFW越来越没有区别。此外,虚拟化的兴起,对防火墙也提出了新的要求,不管是传统墙还是下一代墙,在虚拟化面前,不但摆放的位置需要重新定义,甚至对于东西向流量如何去适应也成了需要重新思考的问题。最后,态势感知、安全大数据在这两年成为了国内安全届的热门。
如何才能帮助用户看懂安全并解决问题,这才是安全防护的发展方向。当下,面对日渐复杂、攻击变化多端、病毒木马横行的互联网环境,下一代防火墙的出现是大势所趋,它可以解决传统防火墙所不能解决的问题。下一代防火墙通过技术创新,把原本高深的安全问题转化为用户很容易理解和掌握的东西,使用户不用面对复杂难懂的报表、日志,就能轻松看懂安全并解决问题。下一代防火墙的展示界面在原先基础上又进行了一次飞跃,更易理解,更优体验!
如今的市场上有不少厂商都宣称自己是下一代防火墙,如何选择一款真正下一代防火墙还是一个复杂工作。建议从下面几个下一代防火墙标签进行考虑:下一代防 火墙的几个比较显著的标签是:基于应用层构建安全、主动防御、多威胁检测机制智能融合,与这些标签相对应的参数或考量标准主要体现在以下几点:应用识别的 广度和深度以及与本土用户使用习惯的契合度;可视化及智能分析的能力和操作体验;功能全开启后的性能以及性能衰减趋势。