深信服詳析下一代防火墻
2011年,深信服科技率先在國內發布下一代防火墻,成為國內首家發布下一代防火墻的網絡安全廠商。深信服下一代防火墻以其全面的應用層攻擊防護能力、獨特的雙向內容檢測技術、智能的網絡安全防御體系以及更高效的應用層處理能力等特點引起國內網絡安全市場、各行業的廣泛關注。
深信服說下一代防火墻的三個拐點
拐點一:國外下一代防火墻現雛形
2009年著名的分析機構Gartner年發布的一份名為《Defining the Next-Generation Firewall》的文章重新定義了防火墻,它集成了深度包檢測入侵測試、應用識別與精細控制。這個定義一經發布便受到了國外一些安全廠商的熱捧,認為傳統防火墻十多年緩慢的發展確實越來越不匹配其網絡邊界第一道防線的稱號。首當其沖的是美國一家叫PaloAlto的公司,該公司率先發布下一代防火墻產品,并憑借僅有的一條產品線在國外市場獲得眾多用戶的青睞。并連續獲得Gartner企業防火墻魔力象限最有潛力廠商的稱號。隨著國外用戶對應用增多、攻擊復雜的新安全環境的逐步認識,下一代防火墻也逐步由網絡安全市場破壞者逐步轉為備受關注的創新性產品。下一代防火墻能夠成功打響網絡安全產品變革第一槍的關鍵在于,下一代防火墻產品確實更順應應用增多、攻擊發雜的安全現狀。以其對網絡流量可視化的訪問控制,緊密集成入侵防御防應用層攻擊,并且通過一次解析引擎保證防火墻性能等優勢性特點真正滿足用戶使用安全產品的需求。
拐點二:下一代防火墻在國內市場引爭議
下一代防火墻在國外首現雛形,也必然影響國內網絡安全市場的發展。2011年,深信服科技率先在國內發布下一代防火墻,此后,梭子魚、東軟、銳捷、天融信、網康等廠商也紛紛發布下一代防火墻以順應網絡安全產品變革的趨勢。下一代防火墻在2011年到2012年期間并沒有嚴格的標準,各廠商發布的下一代防火墻也各不相同。這也引起了業內不少爭議,以統一威脅管理UTM和以傳統安全產品為主的安全廠商認為下一代防火墻其實就是功能更全面、性能更強的UTM,甚至認為這款產品并不會引起用戶的興趣也不會對傳統穩定的安全市場格局造成什么影響。
拐點三:國內下一代防火墻醞釀成熟
國內的下一代防火墻從2011年發展至今,已經經過近兩年的發展。越來越多的用戶使用下一代防火墻來構建自己的網絡安全防御體系,各行業也逐步在制定下一代防火墻的行業規范。下一代防火墻也逐步獲得了業界和用戶的認可,越來越多的用戶發現,在選擇五花八門的各類傳統安全產品如防火墻、入侵防御、防病毒、web應用防火墻的時候下一代防火墻似乎能更好的滿足其對網絡安全建設的需求,因此越來越多的用戶也逐步過渡到使用下一代防火墻的大軍中來。以深信服下一代防火墻為例,經過近兩年的發展,使用深信服下一代防火墻的用戶已經超過2000家,其中有400多家高端的客戶。其下一代防火墻的銷售額也比2011年翻了四倍,創造了國內安全市場單產品增長的一段佳話,給長年穩定沒有發展的國內網絡安全市場增添了新的活力。與此同時國內外的網絡安全廠商如飛塔、checkpoint等廠商也紛紛加入到下一代防火墻的大軍中來。國內下一代防火墻市場隨著用戶不斷認可、廠商不斷熱捧、行業不斷重視,已經逐步醞釀成熟。根據Gartner的預測,到 2014 年,35% 的企業將會安裝下一代防火墻,而60%用戶新購買的防火墻將是NGFW。相比這個數字在國內很快就會得到驗證。#p#
深信服下一代防火墻NGAF三個最顯著特點
第一:完整應用層安全防御
深信服NGAF可以提供完整的應用層安全防御功能,包括主流的Web攻擊、漏洞攻擊等各類型的應用層攻擊,消除用戶網絡在應用層安全防護上的短板。
第二:獨特的雙向內容檢測
深信服NGAF不僅僅能夠檢測外到內流量中是否有攻擊,對服務器、終端外發的流量也會進行深入內容的安全檢測。包括外發的數據是否存在信息泄密的風險、終端中毒之后是否向外發起惡意流量以及正常服務器返回的信息里是否還有可以給被黑客利用的信息等。
第三:智能的安全防御體系
深信服NGAF除了滿足Gartner定義中緊密集成入侵防御之外,在智能這個特點上也是獨具特色,目前包括兩個方面:
1、自動建模技術,采用自動學習并自動生成白名單的形式防御未知攻擊;
2、模塊間聯動技術,模塊間的智能聯動包括模塊間的聯動、風險評估與策略聯動。模塊間的聯動,指的是應用層安全防護的模塊與防火墻訪問控制模塊之間的聯動,可通過聯動自動生成訪問控制策略提高黑客攻擊的成本,降低安全的風險。
此外,深信服NGAF中的風險評估與策略聯動技術,會主動發現服務器的安全風險,從而一鍵生成生成針對性的安全策略可達到用戶簡化運維的效果。#p#
下一代防火墻的防護功能比UTM更專業、更全面
從防護層面來看:
下一代防火墻能夠提供更全面L2-L7層的攻擊的防護,尤其是應用層攻擊,如web攻擊、漏洞攻擊、病毒木馬等類型的應用層攻擊都有很好的防護效果,使網絡安全防護沒有短板;下一代防火墻不僅能夠防護攻擊本身,還能對服務器或終端外發的流量進行檢查,檢查終端是否有惡意流量外發,服務器是否還有信息泄露的問題。
在構架上來看:
下一代防火墻采用的單次解析引擎,應用層安全檢測模塊統一到了統一個檢測引擎中。這樣數據包經過防火墻使就不必經過多次L2-L7層的拆包解包了,由此可以大大提升下一代防火墻的檢測效率。
從聯動性來看:
兩者同屬融合型產品,下一代防火墻中各個功能模塊不是割裂的,可以形成聯動。
