适用场景

随着互联网技术的高速发展,企业的网络环境也发生了巨大变化。越来越多的应用不再需要通过特定的网络端口进行通信,Web应用越来越普及,IP地址无法有效关联到自然人用户,传统的基于IP、端口进行控制的状态监测的防火墙已经无法有效地对当前网络当中的应用进行有效的识别和防护,越来越多的威胁来自于应用层而不是网络层,传统防火墙在新的网络环境下所发挥的作用越来越有限,而企业也将面临着越发严峻的由应用爆发而带来的安全隐患。

目前基于大部分企业比较常规的做法是不断地引入新的专用设备,如IPS、AV、QoS、URL Filtering、Proxy等设备,与防火墙一起串接在网络中,弥补防火墙的功能缺陷。然而这样的做法在很多情况下并不是最优的解决办法,过多的安全设备带来了成本的增加;管理的复杂程度较高,往往需要专门的、专业的管理员对不同设备进行维护;越来越多的安全设备串联在网络中,单点故障的几率大大增加;效果并不理想——性能瓶颈、不同厂家的安全设备无法进行关联分析。

另外一部分用户选择通过UTM类设备解决上述问题,但UTM设备同样存在诸多弊端:性能不佳,由于其内部模块接相互串联的软件架构,导致在开启多项防护功能后性能完全无法保证;相互独立的防护模块无法提供有效的关联分析依据,安全事件仍然难以判断。

下一代防火墙,即Next Generation Firewall,简称NG Firewall,是一款可以全面应对应用层威胁的高性能防火墙。在实现传统防火墙功能的同时,通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。

下一代防火墙方案可以适用于不同规模的网络环境,从SMB至大型校园网、运营商网络,均有对应的解决方案。一般部署在互联网出口和核心网络前段,对网络中的资产进行防护。

需求分析

在当前的网络环境下,传统的防火墙解决方案已经无法满足不断变化的网络、应用环境,需要重新对用户的需求进行分析,以使方案满足当前环境:

控制和安全启用应用程序——下一代防火墙具备识别和控制应用的能力,能够深度识别网络中应用流量,并加以控制,大大提高了网络应用流量和威胁的可视性和控制力。

实时检查应用内容中的威胁——能够提供完整的内容安全检查和防护功能,包括入侵防御、病毒检测、恶意软件检测、URL过滤等。

高吞吐量和性能——下一代防火墙具备强大的处理能力,能够在完全打开各项防护功能时仍然保持设备处理性能不下降。

简化基础设施并降低TCO——通过单一设备即能够实现传统方式下多台安全设备的防护功能和效果,降低了网络中的单点故障风险,并降低整体拥有成本。

灵活的部署方案——下一代防火墙支持灵活的部署方式,包括三层模式、透明模式、旁路监听模式等,能够适应不同的部署场景。

实现方式

下一代防火墙方案基于当前网络环境存在主要问题,并针对传统防火墙及相关安全解决方案的不足,通过以下核心技术来实现上述各项功能。

paloalto01

APP-ID技术

应用识别技术,能够对网络流量中正在传输的应用进行深度识别,而不仅仅是对网络流量的IP、端口进行检测。通过应用协议检测、解密,应用协议解码,应用指纹,启发式识别等技术,使下一代防火墙真正做到认识应用、控制应用。比如,限制QQ文件传输、但QQ聊天不受限制等功能,就是基于深度理解应用协议并进行控制的基础上实现的。

目前已经能够对超过1500种应用程序进行识别并实施基于策略的控制,包含各种业务、互联网应用以及各种网络协议。在国内专门设备了研发团队针对国内环境的特有应用进行应用特征库的不断扩充。

User-ID技术

传统的防火墙只能够对IP地址进行识别,所有的安全策略也必须基于IP地址等条件进行配置。不仅在配置策略时需要通过将原本需要设置给特定用户的策略设置到特定的IP地址这样简介的方法,同时在进行日志分析时往往又需要将IP地址重新关联到用户,增加了管理和安全分析的复杂程度。何况大部分公司的IP往往采用动态分配的方式,基于IP设置策略根本无法完全满足需求。

下一代防火墙可以与用户现有的AD、代理服务器等设备进行整合,自动获取用户与IP的对应关系,从而实现了识别用户应用与威胁行为、根据用户/组进行策略实施与管理、更加直观的安全分析。

Content-ID技术

下一代防火墙具备完整的内部安全防护功能,能够对网络中的敏感数据进行识别,如信用卡号、身份证号或其他用户自定的敏感信息,避免数据泄露;同时,能够对网络中的各种威胁如入侵、恶意软件、病毒等进行防护;能够对URL进行识别和防护。更为重要的是,这些功能都是基于串流所进行的实施扫描,而非文件的实时扫描,能够有效地避免由于扫描所带来的网络延迟。

SP3架构

与传统的UTM设备的不同在于采用一次扫描一次处理的原则,大大提高的处理的性能。

传统的UTM由于实现不同防护功能的模块相互独立,数据包在设备处理流程中需要进行多次拆包和封装,导致设备在开启多项防护功能后处理能力大幅下降。而下一代防火墙全新设计的处理架构,使各项防护功能在一次扫描中全部完成,数据包只需拆封一次,即便开启多项防护功能,对性能也几乎不会有影响。

产品推荐

推荐使用PaloAlto Networks作为下一代防火墙产品。

PaloAlto Networks是著名的网络安全公司,也是率先提出下一代防火墙概念的公司。迄今为止,在世界各地超过10000企业组织安装了PaloAlto的下一代防火墙产品,其中包括许多财富500强企业。 Gartner评价中,PaloAlto处在最新企业网络防火墙魔力象限的领导者的位置。

其主要产品型号如下:

PA-5200系列:有四款机型用于大型的企业网络,最大性能60Gbps。

PA-5000系列:有三款型号用于在企业和互联网的大型数据中心,最大的性能为20Gbps。

PA-3200系列:有二款机型用于大中型的企业网络,最大性能7.9Gbps。

PA-3000系列:有二款机型用于大中型的企业网络,最大性能4Gbps。

PA-500系列:经济型并具有全功能的防火墙,适合中型企业和分支机构的环境,最大性能250Mbps。

PA-200系列:经济型并具有全功能的防火墙,适合小型企业和分支机构的环境,最大性能100Mbps。

更多成功案例及具体解决方案欢迎致电或通过邮件进行索取:

Tel: 4008853464 E-mail: Sales@dingtech.com.cn

白皮书
 
DataSheet