NGFW实现一次拆包并行处理 向更大环境延伸NGFW实现一次拆包并行处理 向更大环境延伸.pdf

NGFW 实现一次拆包并行处理向更大环境延 伸 下一代防火墙从字面上来看，它不像IPS 入侵防御 系统、AV 防病毒、上网行为管理直观表现产品形态， 而是在传统防火墙基础之上的概念升级。在山石网科技术 市场经理任磊看来，下一代防火墙代表着用户对防火墙产 品提出的更高要求，他们期待防火墙能够脱胎换骨，无论 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 1 什么名称，能够满足当前用户所有关注点和解决传统防火 墙问题的特征，都应该纳入下一代防火墙的概念范畴内。 传统防火墙的访问控制是基于IP 地址和端口方式实 现的，随着网络应用的不断发展，用户对网络控制也提出 了更高的要求：在互联网接入场景中，大量带宽占用率的 背后到底是什么应用、什么人、什么行为在吞噬带宽，如 何去管理、限制这些动态端口、动态IP 的网络行为？如何 对访问网页中夹杂的病毒、钓鱼站点、敏感信息、内嵌游 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 2 戏、内嵌视频、涉黄地址进行控制？在数据中心场景中， 如何在网络高突发、高并发、网络及应用多重威胁的环境 中高效率、高可靠的工作？传统防火墙及UTM 在多个功能 同时开启时性能急剧下降所带来的高时延、丢包甚至宕机 导致业务中断，使企业用户非常迫切的期望通过下一代安 全设备来解决这些问题。 单一安全设备暴露出采购成本高、维护工作量大、难 以统一管理、多个单点故障和增加网络时延等诸多问题。 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 3 UTM 的出现，降低了用户采购、维护成本，简化了管理工 作，由此赢得了大部分中小企业用户。但由于其设备内部 仍然串行的工作模式使效率上难以满足中大型网络客户需 求，同时专业性方面也有待加强。下一代防火墙比起UTM 来最大的变化就是实现在一次拆包中的并行处理，解决了 串行带来的诸多问题，同时多个功能无缝整合到一起后更 加便于用户对整个网络的管理，使得竞争力有了很大提升， 这种提升使很多原本无法采用多功能于一体设备的环境变 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 4 得可用，从这个角度看，这种趋势将逐渐由中小企业不断 向更高端、更大网络环境的用户延伸。 对于最常见的网络层入侵，NGFW 所具备的更高每秒新 建会话能力在相同软件算法的情况下可以提供更强壮的抗 攻击能力，比如Hillstone 山石网科SG 系列安全网关，其 每秒新建会话数是传统设备的5~10 倍，也就意味着在大多 数环境下攻击发起者要付出多几倍的攻击量才有可能对安 全设备造成威胁；对于应用层攻击，NGFW 真正集成IPS 后 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 5 在一次拆包就可以实现对入侵行为的识别、动作和记录， 这种无缝对接保证了对网络入侵行为出现时的时效性、准 确性和高处理性能。 同样是企业用户，不同应用场景下对安全设备的要求 是不尽相同的。比如企业的IDC 数据中心，最需要防火墙 提供的特性是抗攻击能力强、高可靠稳定性；企业的内网， 部门之间、区域之间的隔离，最需要防火墙提供的特性是 千兆甚至万兆内网环境下的安全管控；而对于几乎每个企 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 6 业都有的互联网接入环境，为了在网络边界处建立稳固、 有效的安全防御层，最需要防火墙提供的特征是综合安全 防护能力、应用管控、高性能、良好的扩展等，而这正是 下一代防火墙最大的市场。 下一代防火墙代表着防火墙产品发展的一种趋势，在 数据处理模式和效率方面有质的提升，这种提升是为了满 足网络发展的需求，这样的话也就理应成为未来用户解决 网络安全问题的主流选择，而随着云计算环境下安全的需