下一代防火墙技术与优势.docVIP

下一代防火墙技术与优势 　　摘 要：防火墙是企业应用安全的第一道防御系统，所以其设计思想就决定了整个网络系统的安全性能。下一代防火墙从底层处理器芯片，到引擎，到样本库无疑都有新的设计和安全策略，而在产品的功能组合方面，也比以前要丰富实用了许多本文分析防火墙的技术，阐述下一代防火墙的应用优势。 　　关键词：下一代防火墙，；云计算；，SSL加密 　　中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2013） 24-0000-01 　　一、什么是下一代防火墙 　　随着云计算、移动、社交网络等新兴IT技术的发展，互联网应用类型的不断增加以及应用形式的不断变化，越来越多的安全威胁伴随着我们，这为IT系统的安全带来全新的挑战，同时也给企业IT基础架构带来了翻天覆地的变化。在这种情况下，第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁。传统的安全防护手段无法识别出网络应用，仅仅根据目的地IP地址阻止对此类服务的已知源访问再也无法达到安全要求，没有办法对其进行管理和防护，是必须要经过改进来应对各种各样新的安全威胁挑战，下一代防火墙，即Next Generation Firewall，简称NG Firewall适时出现。下一代防火墙就是以应用识别技术为基础的。下一代防火墙的执行范例包括阻止与针对细粒度网络安全策略违规情况发出警报，如：使用Web邮件、anonymizer、端到端或计算机远程控制等。“下一代”功能，具体描述如下： 　　1.（1）功能部署预配置： 提供高吞吐量低延迟防火墙，基于不同规模下的个性化的需求譬如分布式企业安全控制管理的多功能应用，这种部署选项设置目的在于对用户提供随需应变的网络与安全选择。 　　（2）2.关联可视性： 基于网络中应用，用户与设备即时或查看过往的网络使用状况，及时的调配流量，应用控制以及安全策略。 　　3.（3）高级威胁防护（ATP）：提供强化的安全工具，抵御多面向的持续性渗透攻击。能确保网络安全不会成为网络效能的瓶颈。 　　二、下一代防火墙技术特点 　　下一代防火墙应该能够为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案，具有包括如下的技术特点： 　　（一）基于用户进行防护 　　传统防火墙策略都是依赖IP与MAC地址来区分数据流，这不利于管理也很难完成对网络状况的清晰掌握与精确的控制。下一代防火墙集成了安全准入控制功能，支持多种认证协议和认证的方式，实现了基于用户的安全防护策略部署和可视化管控。 　　（二）更加安全的面向应用 　　在应用安全方面，下一代防火墙应可以做到对各种应用的深层次的识别；；另外在数据安全性问题方面的解决方面，通过远程接入技术，虚拟化技术相结合，为远程接入终端提供虚拟应用发布和虚拟桌面功能，不用执行任何应用系统客户端程序，使其本地完成和内网服务器端的数据交互，实现了终端到业务系统的“无痕访问”，从而达到了终端与业务分离的目的。 　　（三）转发平台更加高效 　　下一代防火墙将NSE（网络服务引擎）和SE（安全引擎）独立部署。网络服务引擎完成底层路由/交换转发，并且，对整机各模块进行管理和状态监控；；安全引擎负责把数据流进行网络层安全处理和应用层安全处理。通过部署多安全引擎与多网络服务引擎的方式来实现整机流量的分布式并行处理与故障切换功能。下一代防火墙为了突破传统网关设备的性能瓶颈。 　　（四）拥有多层级冗余架构 　　下一代防火墙在设计中，通过板卡冗余，模块冗余和链路冗余来构建底层物理级冗余，它使用双操作系统来提供系统级冗余，而采用多机冗余及负载均衡进行设备部署实现了方案级冗余。由物理级，系统级和方案级共同构成了多层级的冗余化架构体系结构。下一代防火墙设备拥有完善的业务连续性保障方案。采用多层级冗余化设计方案。 　　（五）可视化全方位视角 　　下一代防火墙对于管理范围内所有主机，设备的网络应用情况和安全事件信息进行准确的定位和实时跟踪，包括对历史精确还原与对各种数据智能的统计分析，使得管理者清晰的认知网络运行状态。从应用和用户视角多层面的将网络应用的状态展现出来，对于全网产生的海量安全事件信息内容，通过深入的数据挖掘能够形成安全趋势的分析，与各种图形化的统计分析报告。 　　（六）防护和安全技术融合 　　下一代防火墙的整套安全防御体系都应该是基于动态云防护而进行设计的。一方面可以通过云来收集安全威胁信息并且快速寻找解决方案，及时的更新攻击防护规则库，并且以动态的方式实时部署到各用户设备中，从而保证用户的安全防护策略得到及时的，准确的动态更新。动态云防护和全网威胁联防是技术的一大融合。 　　三、下一代防火墙的优势 　　下一代防火墙作为边界安全防护手段的核心技术，在经历了无数次的技术变革后，早已