技术篇

下一代防火墙的由来

2009年，著名咨询机构Gartner指出，为应对当前与未来新一代的网络安全威胁，防火墙必需要再一次升级为“下一代防火墙”。第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁。全新的下一代防火墙应具备以下基本功能来应对威胁的进化：

1.     标准的基本防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。

2.     应用的洞察与控制：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。

3.     集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。集成具有高质量的IPS引擎和特征码，是NGFW的一个主要特征。

4.     额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。

Gartner认为，随着防火墙和IPS更新周期的自然到来，或者随着带宽需求的增加和随着成功的攻击，促使更新防火墙，大企业将用下一代防火墙替换已有的防火墙。不断变化的威胁环境，以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找下一代防火墙。

Gartner预计到2014年底，用户采购防火墙的比例将增加到占安装量的35%，60%新购买的防火墙将是下一代防火墙。

下一代防火墙技术特色

l  多核硬件架构：采用MIPS多核硬件架构，提高处理性能

l  应用层全并行处理：多线程实现应用层过滤，避免串行处理的低效

l  一体化处理引擎：一次报文解封装，全流程走完所有处理步骤

l  启发式病毒扫描：根据已知病毒特征和经验，探测和发现未知病毒

下一代防火墙究竟可以替代谁？

下一代防火墙具备高度的融合性和可迁移性，可适用于FW、IPS、AV、VPN等安全需求，可以替代传统防火墙（包括UTM）、入侵检测防御系统、防病毒网关、VPN安全网关等安全设备。

产品篇

锐捷网络RG-WALL 1600系列下一代防火墙是锐捷网络推出的接口丰富、配置灵活、网络适应能力好的千兆防火墙产品。可以广泛应用于政府、运营商、金融、教育、医疗、军队、企业等行业的千兆网络环境。

锐捷网络RG-WALL 1600系列下一代防火墙采用锐捷网络自主开发的RGOS和独创的HiSpeed算法使得它的高速性能不受策略数和会话数多少的影响；同时，在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。

锐捷网络RG-WALL 1600系列下一代防火墙面向法规和人本；基于“人本网络”，实现“智能感知”。能实现基于用户、资源、应用的访问控制。RG-WALL下一代防火墙采用RG-Slab锐捷网络安全研究组最新发表的HiSpeed安全处理算法，突破硬件处理器对应用层安全检测的性能瓶颈，能以高性能提供防病毒、IPS、行为监管、反垃圾邮件模块。支持深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持GRE、L2TP、IPSEC和SSL等多种全面的VPN业务，可以构建多种形式的VPN；提供强大的路由能力，支持NAT、静态/RIP/OSPF/路由策略及策略路由；支持双机热备，支持Active/Active和Active/Standby两种工作模式以及丰富的QoS特性，充分满足客户对网络高可靠性的要求。

具备以下安全特性：

高效安全

       使用多核平台，实现应用层全并行处理；并配以一体化分析处理引擎，提高各功能模块同时运行时的效率，保证功能全开情况下的高性能安全检测，提供网络处理效率

融合安全

       下一代防火墙融合IPS、AV、多样VPN、高性能NAT、上网行为管理等功能，一台设备完成全部安全防护

简单安全

一体化配置策略，20s完成基础策略配置； 包含功能设置向导，避免策略配置错误；内置基础配置模板，可满足特定应用场景安全防护需求

人本安全

以用户业务为导向，实现基于用户/应用的访问控制；全面采用先进芯片，延长使用周期；高效率模块化电源，智能调整供电，绿色节能

应用篇

产品采购指南

目前市场上防火墙种类众多，主要包含下一代防火墙、UTM、传统防火墙等种类，在选取过程中需要注意以下要点：

（1）     安全性：下一代防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。

（2）     高效性： 下一代防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。

（3）     融合性：防火墙是否能满足防御应用层攻击、防病毒、流量管控、行为审计等功能。

（4）     配置便利性：硬件防火墙系统具有强大的功能，但是其配置安装也较为复杂，需要网管员对原网络配置进行较大的改动。下一代防火墙需要具备简单的配置管理页面，最好具备配置向导功能和配置策略模板。

（5）     可靠性：对于防火墙来说，其可靠性直接影响受控网络的可用性，它在重要行业及关键业务系统中的重要作用是显而易见的。提高防火墙的可靠性通常是在设计中采取措施，具体措施是提高部件的强健性、增加冗余部件，能够实现设备的HA部署。

（6）     可扩展性：对于下一代防火墙而言，它的规模和功能应该能够适应网络规模和安全策略的变化。应该是一个可随意伸缩的模块化解决方案，包括从最基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。

 

标签： isp ssl 安全 标准 防火墙 防火墙技术 防火墙系统 金融 漏洞 企业 网络 网络安全 网络安全威胁 问题 行业 硬件防火墙 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。