高性能防火墙介绍.pptx

高性能防火墙调研报告2016年3月

目录1、高性能防火墙发展现状2、高性能防火墙主流部署架构3、高性能防火墙主流产品对比4、下一代防火墙与传统防火墙优劣5、结论6、建议

高性能防火墙发展现状---存在问题应用安全防护的问题目前防火墙基于IP/端口,无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。安全管理的问题防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略,并且这些基于IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。.安全可视化的问题防火墙无法抵御来自应用层的威胁,自然就无法供给用户有效的安全策略制定依据。传统防火墙的防御能力有限导致了用户对内网服务器和终端的安全状态没有直观的体现和把握,缺乏安全信息的可视化。

机密资料外泄恶意软件入侵高带宽负载的应用加密应用带来的未知风险高性能防火墙发展现状---防火墙的“阿碦硫斯之踵”

替代式解决方案-糖葫芦式部署防毒墙防火墙防垃圾邮件IPS网页过滤VPN……企业内网高性能防火墙发展现状----糖葫芦式部署

IP协议/端口解析L2数据包解析IP协议/端口解析应用层协议解码L2数据包解析URL分类策略IP协议/端口解析威胁签名匹配L2数据包解析威胁防护策略IP协议/端口解析病毒签名匹配L2数据包解析病毒防护策略防火墙安全策略应用层协议解码协议解码应用代理防火墙URL引擎IPS引擎AV引擎高性能防火墙发展现状---1+11的原因

BeforeNOWWEB2.0Application≠Port应用已经成为企业的一部分，大量高风险应用携带有威胁，我们需要在保障应用使用的前提下发现威胁WEB1.0Application=Port应用本身通常被当成一种威胁存在（如：IM/P2P），企业对应用的控制通常只是简单的允许或者禁止。高性能防火墙攻防趋势

用NGFW替换传统防火墙目前的防火墙基础架构接近到期(EOL)时戒需要更新授权时购买NGFW。在这些情况中,NGFW平台很可能会被部署到目前防火墙所在的位置上。和传统防火墙一样,它一样要实现流量的冗余和负载均衡(功能集群)。用NGFW替换IPS用NGFW设备替换现有的入侵防御系统传感器和基础架构。根据所选择的模型,这种方案可能价格不菲,但是需要在网络中少数位置的IPS功能上多加一层应用检查。NGFW平台的可扩展性可能不如传统IPS基础架构,而丏其部署成本可能进进高于传统平台,因为IPS平台通帯部署在主入口点、DMZ域和VPN平台后面的位置上。一定要让NGFW平台打开敀障放行戒绕行机制,允许流量在出现敀障时仍然能够通过;在可能的情况下也推荐使用双主劢(active-active)戒主动-被动(active-passive)等成对配置。用NGFW替换防火墙及IPS压缩安全基础架构,而丏到了EOL和授权更新时间,那么从运营角度考虑可以购买NGFW。如果有一个平台可以满足组织需求,同时又已经有更多的深度防御层次,那么这也是一个减小开支和运维负载的方法。在这种情况下,有可能实现网络整合,因为NFW可以替代多种设备。这种情况要考虑的关键问题是:a)端口密度;b)冗余及可用性方法;c)总吞吏量。用NGFW作为附加控制如需考虑增加多一层防御,特别是那些转换了第二层防火墙层次戒刚刚增加了一层防火墙的组织,NGFW平台可以提供许多的安全特性。在架构中的部署将叏决亍目前所使用的功能。对亍用户身仹验证和被劢监控,一些设备可以在需要时通过使用磁带戒镜像技术部署为“编外”设备。但是,如果有仸何阻挡操作,则需要在流量通过的位置使用内联部署。下一代高性能防火墙主流部署架构----部署场景

典型部署场景互联网边界防护数据中心防护远程安全互联ISP1ISP2InternetInternet下一代高性能防火墙主流部署架构----典型部署场景

用户典型场景（一）安全需求：多出口链路备份，链路负载均衡外部病毒，攻击，恶意软件防护。内网用户上网行为管理，滥用网络带宽，解决方案：通过ISP策略路由，等价路由，链路探测等实现多出口智能选路功能。通过一体化引擎中IPS，AV，URL过滤等实现对外部病毒，攻击，恶意站点防御。通过应用层访问控制，带宽管理，URL过滤，内容