NGFW實現一次拆包并行處理 將向更大網絡環境延伸
下一代防火墻從字面上來看,它不像“IPS入侵防御系統”、“AV防病毒”、“上網行為管理”直觀表現產品形態,而是在傳統防火墻基礎之上的概念升級。在山石網科技術市場經理任磊看來,下一代防火墻代表著用戶對防火墻產品提出的更高要求,他們期待防火墻能夠脫胎換骨,無論什么名稱,能夠滿足當前用戶所有關注點和解決傳統防火墻問題的特征,都應該納入下一代防火墻的概念范疇內。
傳統防火墻的訪問控制是基于IP地址和端口方式實現的,隨著網絡應用的不斷發展,用戶對網絡控制也提出了更高的要求:在互聯網接入場景中,大量帶寬占用率的背后到底是什么應用、什么人、什么行為在吞噬帶寬,如何去管理、限制這些動態端口、動態IP的網絡行為?如何對訪問網頁中夾雜的病毒、釣魚站點、敏感信息、內嵌游戲、內嵌視頻、涉黃地址進行控制?在數據中心場景中,如何在網絡高突發、高并發、網絡及應用多重威脅的環境中高效率、高可靠的工作?傳統防火墻及UTM在多個功能同時開啟時性能急劇下降所帶來的高時延、丟包甚至宕機導致業務中斷,使企業用戶非常迫切的期望通過下一代安全設備來解決這些問題。
單一安全設備暴露出采購成本高、維護工作量大、難以統一管理、多個單點故障和增加網絡時延等諸多問題。UTM的出現,降低了用戶采購、維護成本,簡化了管理工作,由此贏得了大部分中小企業用戶。但由于其設備內部仍然串行的工作模式使效率上難以滿足中大型網絡客戶需求,同時專業性方面也有待加強。下一代防火墻比起UTM來最大的變化就是實現在一次拆包中的并行處理,解決了串行帶來的諸多問題,同時多個功能無縫整合到一起后更加便于用戶對整個網絡的管理,使得競爭力有了很大提升,這種提升使很多原本無法采用多功能于一體設備的環境變得可用,從這個角度看,這種趨勢將逐漸由中小企業不斷向更高端、更大網絡環境的用戶延伸。
對于最常見的網絡層入侵,NGFW所具備的更高每秒新建會話能力在相同軟件算法的情況下可以提供更強壯的抗攻擊能力,比如Hillstone山石網科SG系列安全網關,其每秒新建會話數是傳統設備的5~10倍,也就意味著在大多數環境下攻擊發起者要付出多幾倍的攻擊量才有可能對安全設備造成威脅;對于應用層攻擊,NGFW真正集成IPS后在一次拆包就可以實現對入侵行為的識別、動作和記錄,這種無縫對接保證了對網絡入侵行為出現時的時效性、準確性和高處理性能。
同樣是企業用戶,不同應用場景下對安全設備的要求是不盡相同的。比如企業的IDC數據中心,最需要防火墻提供的特性是抗攻擊能力強、高可靠穩定性;企業的內網,部門之間、區域之間的隔離,最需要防火墻提供的特性是千兆甚至萬兆內網環境下的安全管控;而對于幾乎每個企業都有的互聯網接入環境,為了在網絡邊界處建立穩固、有效的安全防御層,最需要防火墻提供的特征是綜合安全防護能力、應用管控、高性能、良好的擴展等,而這正是下一代防火墻最大的市場。
下一代防火墻代表著防火墻產品發展的一種趨勢,在數據處理模式和效率方面有質的提升,這種提升是為了滿足網絡發展的需求,這樣的話也就理應成為未來用戶解決網絡安全問題的主流選擇,而隨著云計算環境下安全的需求和虛擬化技術的不斷普及,在安全方面針對應用的高性能深層防護將出現井噴性需求,市場潛力是巨大的。
【編輯推薦】
