梭子鱼下一代防火墙技术白皮书.pdfVIP

梭子鱼NG 防火墙技术白皮书 梭子鱼 NG 防火墙产品家族包括硬件及虚拟平台等一系列型号，用于保护企业网络架构，改善点到点连接， 简化网络管理；拥有强大的网络防火墙与VPN 功能，此外，梭子鱼 NG 防火墙吸收了一整套下一代防火墙技术， 包括7 层应用控制、入侵防御、Web 过滤、反病毒、反垃圾邮件及网络访问控制等技术。 Central Management Home Travel Internet Barracuda NG Network Access Clients Barracuda NG 55L VPN WAN Branch Office Small Office Barracuda NG Firewall F100 Barracuda NG Firewall F10 Management Path Branch Office Headquarters Data Path Barracuda NG Firewall F300 Barracuda NG Firewall F800 梭子鱼 NG 防火墙具有最新且最全面的下一代防火墙技术。不同于一些单项技术领先的下一代防火墙，梭子鱼 NG 防火墙为分布式网络设计，从十几个到 数以千记的分支地点的网络互联、安全防护 与安全管理，甚至不管员工在公司还是漫游， 只要通过VPN 方式远程接入都可以得到防护 和管理。 梭子鱼 NG 防火墙极大的简化管理，批 量推送安全策略到整个广域网（WAN ）中。 其高级安全机制，能够提供面向应用的流量 管理，优化对 WAN 的访问，根据流量状况和 链路状况快速智能的路由流量。例如，一条 高质量的 WAN 链路 Down 掉，则备份的链路 将自动激活，并且根据 QoS 策略分配带宽， 确保最重要的商业应用享有足够带宽。又或 者让某个子网或某些用户或某个重要的终端 梭子鱼NG 全球地图以3D 方式实时的监控所有 VPN 点到点隧道及应用状态 优先享有带宽。 什么是下一代防火墙？网络安全威胁不断变 化，传统的网络安全威胁已经改变。新的威胁，如社交网络蠕虫、僵尸网络及其他一些狡猾的攻击改变了网络安 全游戏，传统防火墙已经基本无法解决这些威胁。Web2.0 的普及、带宽增长的需求、私人设备接入企业网络等变化， 使得更多的通讯量仅通过少数端口和协议进行，这就意味着基于端口/协议类安全策略的关联性与效率都越来越低。 例如，80 或443 的流量在传统防火墙看起来都是一样的，传统防火墙是无法防御其中基于应用的威胁。IPS 虽然能 够根据已知的攻击特征阻止一些攻击，能是由于无法识别应用，因而不能对具体应用进行防护，也无法阻止特定 应用的滥用。因此，当前企业已经开始尝试重构其网络防御体系，即升级为“下一代防火墙”--面向应用、身份识 别、多链路、带宽控制等结合的安全策略。 面向应用与身份 7 层应用控制 下一代防火墙采用 7 层的应用控制技术，能够识别、检测、过滤一些 伪装的应用。有些应用使用 http 这种看似安全的端口。Skype 和 P2P 工具常常使用 http 协议，只有七层应用控制才能进行限制。梭 子鱼 NG 防火墙将7 层应用控制技术融合到其防火墙核心功能中，依 据应用、用户ID，安全模型，位置、时间等制定控制策略。策略的动 作包括阻止、允许、限制，甚至可以在整个网络启用或关闭某个特别 的应用。梭子鱼将七层应用控制技术深度嵌入到 NG 防火墙的内核中 ，深度包检测技术结合行为分析使得梭子鱼能识别超过800 中应用， 包括