以用户的名义重新定义.PDFVIP

以用户的名义重新定义NGFW 袁沈钢 网康科技创始人、CEO China Internet Security Conference 2014 2014中国互联网安全大会 防火墙的发展 1990年，CheckPoint 2009年，Gartner • 基于IP、端口的访问控制 • 基于应用特征的访问控制 • 检查数据包头的异常特征 2004年，IDC • 检查数据包头及载荷部分 • 较强的三、四层转发能力 • 基于IP、端口的访问控制 • 较理想的性能衰减 • 检查数据包头及载荷部分 • 较高的性能衰减 Stateful Firewall UTM NGFW • 禁止越权访问以及非法连接的建立是防火墙的核心目标和基本功能 • 防火墙技术的历次升级是为了在新的安全背景下更好的实现其功能 防火墙的进化逻辑 始终通过三大能力的增强提升用户的安全性 数据通信 访问控制 特征匹配 • 网关产品的必要条件 • 防火墙的最核心目标 • 为了更好的访问控制 • NGFW的能力体现 • 数据通信：较高的性能、IPv6、虚拟防火墙等 • 访问控制：由元组控制提升为人、应用、内容控制 • 特征匹配：病毒、木马等应用层威胁的识别和防御 防火墙用户的“怪现状” 从不登录的防火墙，何谈三分技术、七分管理？ • 75%的防火墙用户在最 不爱用 近三个月内没有登录过 防火墙设备 • 80%的在线防火墙仅配 置了一条 “any any any permit all”的策略 不会用 不管用 • 更多的IT管理者在网络 出现问题后束手无策 改配置？千万别断网！ 安全吗？该如何安全？ 为了业务，全部放通！ 根因分析：关键信息未知 看不清、看不懂、看不全让安全举步维艰 现状 • 决策阶段 • 缺乏基本信息的了解 效果 风险 • 执行阶段 安全决 • 缺乏合理的安全建议 策资源