下一代防火墙,缩写为NGFW,来自Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文档定义,该公司注意到,在应用模式、业务流程和安全威胁不断变化的今天,传统防火墙已经无法满足用户的需求。这种形势下,Gartner定义了NGFW这个术语来形容防火墙的必然发展阶段,以应对攻击行为和业务流程使用IT方式的变化。大多安全厂商显然受到了Gartner的影响,竞相推出更复杂的,背离传统的基于端口的检查和控制的新型防火墙,当然,他们也更乐意称之为下一代防火墙,毕竟噱头更多,更有卖相。但是仔细回头看一下NGFW定义,它不是为安全厂商的营销意图和市场炒作而创造,而是客户真正需求的体现。但绝大部分只是为了用户一时的认可,只为宣传,不为用户的需求考虑,那么“下一代防火墙”最终会像UTM产品那样被用户所放弃。作为下一代防火墙,在我们看来首先是基于用户和业务发展需求为基础的边界安全网关产品,以客户需求为导向才能为用户创造实际意义的下一代防火墙。一切只为宣传的噱头和卖相的产品,只能是伪下一代。
1 若没有传统防火墙功能,就不能是下一代防火墙
下一代防火墙,从名字来看,它仍然是网络边界安全网关,属于防火墙范畴,因此它首先是具备传统防火墙功能,基于状态检测的防火墙功能、VPN功能、网络地址转换功能、路由转发功能以及日志存储与查询功能等等。而不是一个上网行为管理功能,再加上一个简单地址过滤的安全规则功能就是下一代防火墙。网神NSG下一代防火墙具备传统防火墙功能,同时具备IPSec/SSL VPN、网络地址转换、静态以及动态路由支持等等,在传统防火墙功能基础上同时实现对应用程序及业务数据识别,实现对应用程序与用户业务程序的控制与应用层防护。
2 基于专业多核硬件架构,业务数据并行处理能力
多核对于我们大家谁都了解,在我们身边常常都能见到的就是智能手机,为什么现在智能手机都宣传多核,甚至华为快速研发出了4核手机,这一点侧面说明了多核发展趋势,同时反应出多应用的操作系统对多核的依赖。能量守恒这是一个永恒的道理,系统处理的应用越多,那么必然要有一个强有力的硬件支撑。同时,拥有多核的硬件架构,那么必然需要有一个软件操作系统协助完成多应用处理,这样才能发挥多核的最大优势,因此,我们常在使用中发现一个现象,同样大家都是多核,为什么有的手机稳定运行、而有的则会经常出现死机,其实问题在于OS。同理,作为下一代防火墙,它的主要特征之一在于专业多核硬件架构与专业的OS安全操作系统为基础。网神NSG系列下一代防火墙全线产品基于多核硬件架构,最低双核,最高可以到16核硬件架构平台,可以满足不同用户的需求。不仅我们拥有专业多核硬件架构,同时我们拥有经过多年防火墙软件开发经验而专门针对多核硬件架构研发的SecOSII并行处理系统,通过SecOSII操作系统将多核硬件平台效能发挥到极致,它不仅能够满足用户在开启多安全防御应用需求,同时为用户未来网络拓展提供了无需更换新设备的需求,突破传统UTM性能瓶颈,为用户提供综合安全防御解决方案。
3 下一代防火墙不只是简单的应用控制,而是如何保障用户关键业务下应用安全,高智能化的有效防护与感知
随着网络的快速发展,web2.0快速扩展,使我们的生活、工作、企事业办公无时无刻都在依赖它。也正因为如此,我们网络的威胁也成倍增加。我们经常听到用户抱怨:自从有了P2P和在线影院,我们带宽就不够了;自从有了人人网、QQ聊天等专业的网站和工具,我们的办公效率就变的很差了……诸如此类的话不绝于耳。然而对于绝大部分安全厂商针对用户表面现象而推出的所谓下一代防火墙解决方案是:基于传统防火墙功能+应用控制。这种产品的解决方案可能只能解决用户当前应用程序的控制,而无法真正解决实际问题。回头我们实际想想,部分程序阻断了,网管所面对的员工质疑多了,网络怎么断了?对于这种事情网管需要对每个员工解释一遍,同时,虽然部分程序得到了控制,那么我们的应用业务安全了吗?我们的企业内部资料不会外泄吗?部分应用程序所带来的病毒、攻击、网络钓鱼会少了吗?这些问题对于网管来说是无从下手。发生的这些问题,网神NSG下一代防火墙能给出最佳解决方案。网神NSG能够识别全球超过5000+种应用程序以及办公业务数据,确保网络应用程序控制最大程度无漏网之鱼,同时对这些应用实现带宽控制,保证关键业务运行;不仅如此,为提升出口带宽高效率使用,网神NSG提供动态带宽分配机制,使网络资源充分利用。另外,网神NSG下一代防火墙提供人机交互与感知功能,当员工使用违规应用程序或携带病毒攻击时,网神NSG会自动推送警告信息给客户端PC,不仅使员工了解到自己的违规行为,同时也做到了对于违规员工的预警作用。并且企业所有员工都可以通过自己的账户和密码登陆到设备指定空间查看到自己每天、每周以及每月网络使用率、病毒和攻击事件统计报表信息等,从而大大的减少了公司网络管理的运维复杂程度与成本。安全不只是限制,而同时需要大家共同参与与维护,才能真正的做到企业信息安全、个人信息安全,为此,网神NSG下一代防火墙做到了。
4 下一代网络安全保障
说到下一代防火墙,不得不说下一代网络的支持。无论是传统防火墙,还是UTM,还是下一代防火墙,它都得适应下一代网络的发展,因为它是为网络而生,为网络安全而生,否则它必将淘汰。当今,下一代网络安全防护无非就是无线局域网安全和IPv6网络安全,网神NSG下一代防火墙通过扩展可以支持无线局域网安全管理以及IPv6网络安全防护,实现无线数据安全接入、移动设备及操作系统安全防护、移动接入设备管理与准入控制。而未来用户有IPv6网络建设需求,无需购买新设备的情况下,即可实现免费升级为IPv6网络。
无论是传统防火墙,还是下一代防火墙,它的实质是为我们用户创造安全的边界防护,为用户解决实际安全需求和业务需求。三分技术,七分管理,大到一个国家,小到一个集体,无论他们每个人是多么的优秀,都需要一套行之有效的管理方法,这样一个企业才能发展的更快、更长远,一个国家才能民富国强。一个国家如此,同样网络安全不仅需要的是技术,同时更重要的是管理。网神NSG集多种安全防御技术于一体,人性化的统一管理,为用户提供多维度、高性能、高稳定性、智能化的安全防御体系。
【免责声明】本文仅代表作者个人观点,与IT09数码网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。您若对该稿件内容有任何疑问或质疑,请联系本网将迅速给您回应并做处理。