下一代防火墻需求分析

傳統(tǒng)邊界安全只是在事中堆疊防御，事前：缺乏風(fēng)險(xiǎn)預(yù)知能力，事中：傳統(tǒng)邊界安全是拼湊的防御，堆疊防御的手段無(wú)法提供有效保護(hù)，并且將安全復(fù)雜化，事后：缺乏檢測(cè)和響應(yīng)能力。

下一代防火墻產(chǎn)品價(jià)值

產(chǎn)品價(jià)值：融合安全 讓安全更簡(jiǎn)單 更有效

下一代防火墻產(chǎn)品概述

讓安全更有效、更簡(jiǎn)單
下一代防火墻通過(guò)提出“融合安全，簡(jiǎn)單有效”價(jià)值主張，為用戶業(yè)務(wù)提供全生命周期保護(hù)，真正實(shí)現(xiàn)全程可視和全程保護(hù)。
事前：下一代防火墻幫助用戶在事前自動(dòng)發(fā)現(xiàn)新增資產(chǎn)、評(píng)估漏洞及是否有保護(hù)策略。
事中：構(gòu)建L2-7層縱深防御體系，屏蔽防護(hù)短板且具備聯(lián)動(dòng)和關(guān)聯(lián)分析能力。
事后：持續(xù)檢測(cè)繞過(guò)防御的威脅，并通過(guò)云端安全服務(wù)提供7*24小時(shí)快速響應(yīng)的技術(shù)服務(wù)。在IT業(yè)務(wù)運(yùn)維全過(guò)程內(nèi)向用戶提供對(duì)風(fēng)險(xiǎn)的認(rèn)知、對(duì)保護(hù)過(guò)程的認(rèn)知和對(duì)結(jié)果的認(rèn)知，幫助您的IT系統(tǒng)更簡(jiǎn)單、更安全、更有價(jià)值。

我們?yōu)槟峁﹫?chǎng)景化的解決方案

互聯(lián)網(wǎng)出口終端
上網(wǎng)安全防護(hù)解決方案
該方案在用戶、行為、業(yè)務(wù)等維度實(shí)現(xiàn)更多元素的可視，并對(duì)可視數(shù)據(jù)進(jìn)行綜合分析，實(shí)現(xiàn)風(fēng)險(xiǎn)定位及圖形化威脅展示。同時(shí)針對(duì)黑客攻擊鏈所有環(huán)節(jié)均可持續(xù)檢測(cè)，利用云沙盒技術(shù)和大數(shù)據(jù)威脅情報(bào)分析平臺(tái)，可以及時(shí)、準(zhǔn)確的響應(yīng)安全事件，將威脅影響面降到更低。

網(wǎng)站安全立體
保護(hù)解決方案
該方案針對(duì)用戶Web業(yè)務(wù)網(wǎng)站防護(hù)，將過(guò)去以特征更新為主的靜態(tài)防御體系，通過(guò)深信服下一代防火墻賦予云端安全檢測(cè)能力，從而實(shí)現(xiàn)主動(dòng)積極的防御，一旦某臺(tái)設(shè)備發(fā)現(xiàn)新型、未知威脅可以通過(guò)云端快速進(jìn)行更新，24小時(shí)內(nèi)實(shí)現(xiàn)全網(wǎng)攔截。結(jié)合云端自動(dòng)化網(wǎng)站安全異常監(jiān)測(cè)技術(shù)，可以在網(wǎng)站出現(xiàn)漏洞、篡改、黑鏈、掛馬等安全事件時(shí)，在數(shù)分鐘之內(nèi)讓用戶獲得通報(bào)和預(yù)警。

廣域網(wǎng)全網(wǎng)
安全感知解決方案
該方案不僅可以提升廣域網(wǎng)的安全防護(hù)能力，還能夠幫助用戶實(shí)時(shí)了解分支機(jī)構(gòu)安全風(fēng)險(xiǎn)，避免分支機(jī)構(gòu)存在安全建設(shè)薄弱點(diǎn)從而成為入侵短板，以便真正實(shí)現(xiàn)管理集中化和運(yùn)維自動(dòng)化

數(shù)據(jù)中心應(yīng)用層
安全加固方案
該方案可對(duì)數(shù)據(jù)中心安全進(jìn)行有效補(bǔ)充，解決在設(shè)計(jì)初期僅規(guī)劃防火墻，缺乏完善的安全防御和檢測(cè)技術(shù)所帶來(lái)的風(fēng)險(xiǎn)。主要包含應(yīng)用層安全加固、增強(qiáng)安全檢測(cè)技術(shù)和簡(jiǎn)化安全管理三個(gè)方面，可以保障在復(fù)雜業(yè)務(wù)環(huán)境下數(shù)據(jù)中心信息安全。

數(shù)據(jù)中心安全
域隔離解決方案

該方案可以將數(shù)據(jù)中心按照不同安全等級(jí)進(jìn)行區(qū)域劃分，實(shí)現(xiàn)層次化、重點(diǎn)化、全面化的保護(hù)和訪問(wèn)控制。有效解決傳統(tǒng)防火墻中存在的上線部署、業(yè)務(wù)新增和日常管理策略復(fù)雜、可視性差等問(wèn)題。

下一代防火墻，即Next Generation Firewall，簡(jiǎn)稱(chēng)NG Firewall，是一款可以全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻。通過(guò)深入洞察網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容，并借助全新的高性能單路徑異構(gòu)并行處理引擎，NGFW能夠?yàn)橛脩籼峁┯行У膽?yīng)用層一體化安全防護(hù)，幫助用戶安全地開(kāi)展業(yè)務(wù)并簡(jiǎn)化用戶的網(wǎng)絡(luò)安全架構(gòu)。

為什么要發(fā)展下一代防火墻？

一、 傳統(tǒng)防火墻無(wú)法適應(yīng)新的網(wǎng)絡(luò)威脅和挑戰(zhàn)

在網(wǎng)絡(luò)安全的實(shí)際應(yīng)用中通過(guò)安全防護(hù)體系保障網(wǎng)絡(luò)安全，安全防范體系具體實(shí)施的第一項(xiàng)內(nèi)容就是在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)筑一道防線，以抵御來(lái)自外部的絕大多數(shù)攻擊，完成這項(xiàng)任務(wù)的網(wǎng)絡(luò)邊防產(chǎn)品我們稱(chēng)其為防火墻。傳統(tǒng)防火墻可以分為四種類(lèi)型，分別為包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)、代理服務(wù)器和狀態(tài)檢測(cè)。

作為邊界網(wǎng)絡(luò)安全的第一道關(guān)卡防火墻經(jīng)歷了包過(guò)濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)的技術(shù)革命，通過(guò)ACL訪問(wèn)控制策略、NAT地址轉(zhuǎn)換策略以及抗網(wǎng)絡(luò)攻擊策略，有效的阻斷了一切未被明確允許的包通過(guò)，保護(hù)了網(wǎng)絡(luò)的安全，過(guò)濾不安全服務(wù)、阻止非法用戶和控制對(duì)特殊站點(diǎn)的訪問(wèn)。

狀態(tài)檢測(cè)防火墻是上一代防火墻應(yīng)用最廣泛的產(chǎn)品，但是它們面對(duì)新一代的安全威脅的作用越來(lái)越小。狀態(tài)檢測(cè)防火墻通過(guò)檢查數(shù)據(jù)包頭，分析和監(jiān)視網(wǎng)絡(luò)層(L3)和協(xié)議層(L4)，基于一套用戶自定義的防火墻策略來(lái)允許、拒絕或轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量。

然而隨著網(wǎng)絡(luò)的發(fā)展，黑客已經(jīng)研究出大量的方法來(lái)繞過(guò)防火墻策略。狀態(tài)檢測(cè)防火墻存在著以下不足之處：1、無(wú)法檢測(cè)加密的Web流量；2、普通應(yīng)用程序加密后，也能輕易躲過(guò)防火墻的檢測(cè)；3、對(duì)于Web 2.0應(yīng)用程序防范能力不足；4、應(yīng)用防護(hù)特性只適用于簡(jiǎn)單情況；5、無(wú)法擴(kuò)展深度檢測(cè)功能。

網(wǎng)絡(luò)環(huán)境的新需求迫使防火墻進(jìn)行根本性的變革，因而催生出革命性的防火墻產(chǎn)品——下一代防火墻。

二、 下一代防火墻的到來(lái)和技術(shù)突破

1. 下一代防火墻的誕生

狀態(tài)檢測(cè)防火墻在地址/端口的網(wǎng)絡(luò)時(shí)代發(fā)揮了巨大作用，合理分隔了安全域，有效的阻止了外部攻擊。但對(duì)于使用僵尸網(wǎng)絡(luò)等傳播方式的威脅，第一代防火墻基本上是看不到的。隨著面向服務(wù)的架構(gòu)和Web 2.0使用的增加，更多的通信通過(guò)更少的端口(如HTTP和HTTPS)和使用更少的協(xié)議傳輸，這意味著基于端口/協(xié)議的政策已經(jīng)變得不能很好適應(yīng)和奏效。

Gartner在2009年發(fā)布了一份名為《Defining the Next-Generation Firewall》，將下一代防火墻(NGFW)定義為在不同信任級(jí)別的網(wǎng)絡(luò)之間實(shí)時(shí)執(zhí)行網(wǎng)絡(luò)安全政策的聯(lián)機(jī)控制。Gartner使用“下一代防火墻”這個(gè)術(shù)語(yǔ)來(lái)說(shuō)明防火墻在應(yīng)對(duì)業(yè)務(wù)流程使用IT的方式和威脅試圖入侵業(yè)務(wù)系統(tǒng)的方式發(fā)生變化時(shí)應(yīng)采取的必要的演進(jìn)。 根據(jù)Gartner的理論，NGFW 應(yīng)該是一個(gè)高性能網(wǎng)絡(luò)安全處理平臺(tái)，至少應(yīng)當(dāng)具備以下幾個(gè)屬性：

（1）標(biāo)準(zhǔn)的第一代防火墻能力：包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、狀態(tài)性協(xié)議檢測(cè)、VPN等等；

（2）集成的而非僅僅共處一個(gè)位置的網(wǎng)絡(luò)入侵檢測(cè)：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動(dòng)效果應(yīng)當(dāng)大于這兩部分效果的總和。集成具有高質(zhì)量的IPS引擎和特征碼；

（3）應(yīng)用意識(shí)和全棧可見(jiàn)性：識(shí)別應(yīng)用和在應(yīng)用層上執(zhí)行的獨(dú)立端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策；

（4） 額外的防火墻智能：防火墻收集外來(lái)信息來(lái)做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫(kù)。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

2. 下一代防火墻的革新

應(yīng)用識(shí)別是防火墻未來(lái)發(fā)展的重要技術(shù)方向，基于應(yīng)用的攻擊不斷變化，也要求防御技術(shù)必須有所提升。

下一代防火墻在性能、安全性、易用性、可管理性等方面有了質(zhì)的飛躍，滿足用戶新的防御和管理需求。相比傳統(tǒng)防火墻和UTM（統(tǒng)一威脅管理，Unified Threat Management），下一代防火墻與它們的主要區(qū)別在于：

1）傳統(tǒng)防火墻局限于IP地址、接口層面的安全防護(hù)。從基于簡(jiǎn)單包過(guò)濾技術(shù)防火墻到基于狀態(tài)檢測(cè)技術(shù)的防火墻，重點(diǎn)的防護(hù)還僅僅是停留在OSI模型的四層以內(nèi)；

2）UTM是在“瘦防火墻”基礎(chǔ)上發(fā)展而來(lái)的，集防火墻、IPS、VPN等安全功能于一體的集成安全網(wǎng)關(guān)，其不足之處在于處理機(jī)制煩瑣，效率低下，內(nèi)部安全模塊間缺少智能關(guān)聯(lián)；

3）下一代防火墻除了具備傳統(tǒng)防火墻功能外，更關(guān)注針對(duì)應(yīng)用層面的安全防護(hù)。實(shí)時(shí)性、準(zhǔn)確性、高效性也成為下一代防火墻的主要特點(diǎn)。它會(huì)根據(jù)深度包檢測(cè)引擎的檢測(cè)結(jié)果，自動(dòng)識(shí)別到該流量在應(yīng)用層執(zhí)行的安全策略。流量控制需要更“精細(xì)化”的管理，不僅僅能夠?qū)Ξ惓９袅髁窟M(jìn)行阻止或允許動(dòng)作，更可用來(lái)進(jìn)行基于應(yīng)用層的QoS控制，控制粒度更為細(xì)致。

三、 下一代防火墻優(yōu)勢(shì)和價(jià)值

1. 應(yīng)用識(shí)別與控制

下一代防火墻依托先進(jìn)的應(yīng)用識(shí)別技術(shù)，在性能、安全性、易用性、可管理性等方面有了質(zhì)的飛躍，下一代防火墻一般可識(shí)別超過(guò)上千種應(yīng)用程序，而不論應(yīng)用程序使用何種端口、協(xié)議、SSL、加密技術(shù)或逃避策略，有以下幾種應(yīng)用識(shí)別方式：

1）第一步基于協(xié)議和端口的檢測(cè) (傳統(tǒng)防火墻做法)。固定端口小于1024的協(xié)議，其端口通常是相對(duì)穩(wěn)定，可以根據(jù)端口快速識(shí)別應(yīng)用。

2）基于應(yīng)用特征碼的識(shí)別，深入讀取IP包載荷內(nèi)容中的OSI中的應(yīng)用層信息，將解包后的應(yīng)用信息與后臺(tái)特征庫(kù)進(jìn)行比較來(lái)確定應(yīng)用類(lèi)型。

3）基于流量特征的識(shí)別，不同的應(yīng)用類(lèi)型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)各有不同，例如，基于P2P下載應(yīng)用的流量模型特點(diǎn)為平均包長(zhǎng)都在450字節(jié)以上、下載時(shí)間長(zhǎng)、連接速率高、首選傳輸層協(xié)議為T(mén)CP等；NGFW基于這一系列流量的行為特征，通過(guò)分析會(huì)話連接流的包長(zhǎng)、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來(lái)鑒別應(yīng)用類(lèi)型。

2. 用戶識(shí)別與控制

通過(guò)與認(rèn)證系統(tǒng)的完美集成，對(duì)應(yīng)用程序使用者實(shí)現(xiàn)基于策略的可視化和控制功能。提供基于用戶與用戶組的訪問(wèn)控制策略，使管理員能夠基于各個(gè)用戶和用戶組來(lái)查看和控制應(yīng)用使用情況。在所有功能中均可獲得用戶信息，包括應(yīng)用控制策略的制定和創(chuàng)建、取證調(diào)查和報(bào)表分析。

管理員亦可將用戶信息編輯成Excel、TXT文件，將賬戶導(dǎo)入，實(shí)現(xiàn)快捷的創(chuàng)建用戶和分組信息。 支持多種身份認(rèn)證方式，幫助組織管理員有效區(qū)分用戶，建立組織身份認(rèn)證體系，進(jìn)而形成樹(shù)形用戶分組，映射組織行政結(jié)構(gòu)，實(shí)現(xiàn)用戶與資源的一一對(duì)應(yīng)。下一代防火墻支持為未認(rèn)證通過(guò)的用戶分配受限的網(wǎng)絡(luò)訪問(wèn)權(quán)限，將通過(guò)Web認(rèn)證的用戶重定向至顯示指定網(wǎng)頁(yè)，方便組織管理員發(fā)布通知。

3. 內(nèi)容識(shí)別與管控

下一代防火墻可以將數(shù)據(jù)包還原的內(nèi)容級(jí)別進(jìn)行全面的威脅檢測(cè)，還可以針對(duì)黑客入侵過(guò)程中使用的不同攻擊方法進(jìn)行關(guān)聯(lián)分析，從而精確定位出一個(gè)黑客的攻擊行為，有效阻斷威脅風(fēng)險(xiǎn)的發(fā)生，幫助用戶最大程度減少風(fēng)險(xiǎn)短板的出現(xiàn)，保證業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行。通過(guò)內(nèi)容識(shí)別技術(shù)，下一代防火墻實(shí)現(xiàn)了阻止病毒、間諜軟件和漏洞攻擊，限制未經(jīng)授權(quán)的文件和敏感數(shù)據(jù)的傳輸，控制與工作無(wú)關(guān)的網(wǎng)絡(luò)瀏覽等功能。

4. 流量管理與控制

傳統(tǒng)防火墻的QoS流量管理策略是簡(jiǎn)單的基于數(shù)據(jù)包優(yōu)先級(jí)的轉(zhuǎn)發(fā)，當(dāng)用戶帶寬流量過(guò)大、垃圾流量占據(jù)大量帶寬，而這些流量來(lái)源于同一合法端口的不同非法應(yīng)用時(shí)，傳統(tǒng)防火墻的QoS無(wú)能為力。

下一代防火墻提供基于用戶和應(yīng)用的流量管理功能，能夠基于應(yīng)用做流量控制，實(shí)現(xiàn)阻斷非法流量、限制無(wú)關(guān)流量保證核心業(yè)務(wù)的可視化流量管理價(jià)值。首先，下一代防火墻將數(shù)據(jù)流根據(jù)各種條件進(jìn)行分類(lèi)（如IP地址，URL，文件類(lèi)型，應(yīng)用類(lèi)型等分類(lèi)），分類(lèi)后的數(shù)據(jù)包被放置于各自的分隊(duì)列中，每個(gè)分類(lèi)都被分配了一定帶寬值，相同的分類(lèi)共享帶寬，當(dāng)一個(gè)分類(lèi)上的帶寬空閑時(shí)，可以分配給其他分類(lèi)，其中帶寬限制是通過(guò)限制每個(gè)分隊(duì)列上數(shù)據(jù)包的發(fā)送速率來(lái)限制每個(gè)分類(lèi)的帶寬，提高了帶寬限制的精確度。

下一代防火墻可以基于不同用戶(組)、出口鏈路、應(yīng)用類(lèi)型、網(wǎng)站類(lèi)型、文件類(lèi)型、目標(biāo)地址、時(shí)間段進(jìn)行細(xì)致的帶寬劃分與分配，精細(xì)智能的流量管理既防止帶寬濫用，提升帶寬使用效率。