防火墙要升级到下一代

安全
对于防火墙,大家并不陌生,它与防病毒、入侵检测系统一起被称为安全产品的"老三样",在安全防护的过程中,帮我们挡住了无数的攻击。

对于防火墙,大家并不陌生,它与防病毒、入侵检测系统一起被称为安全产品的"老三样",在安全防护的过程中,帮我们挡住了无数的攻击。然而,在应用日渐复杂、威胁愈演愈烈的今天,传统的防火墙能否依然坚固?呼声越来越高的"下一代防火墙"是否能够带给我们新的惊喜?市场对此众说纷纭。

传统防火墙尚能饭否?

早在设计之初,传统防火墙其实就存在明显缺陷,只是在几年前没有明显地表现出来,但在应用日渐丰富的今天却表现得越发明显:首先是安全方面的缺陷。传统防火墙无法对应用层进行控制和识别,无法确定是哪种应用通过了防火墙,自然就谈不上对各类网络威胁进行有效防御了。

其次是流控方面的缺陷。在用户只有一条链路时,当不同的应用在使用不同的带宽时,重要的应用如何识别并进行保障?这是传统防火墙无法兼顾的。第三就是运维管理方面的缺陷。尤其是当公司的分支机构遍布全国时,因为没有完善的策略管理,无论是部署还是管理传统的防火墙,都需要消耗大量的人力和物力,最终导致管理和维护成本居高不下。

"裱糊匠"的缝补方案不可取

很多人都会想,既然传统防火墙有这么多缺陷,那可不可以部署一台IPS,或者其他安全设备,甚至用UTM来替代?事实上,改良虽然可以暂时弥补一些缺陷,但所做的毕竟是"修修补补"的裱糊匠工作,是不可能从根本上解决问题的。此外这种做法还会带来其他的安全隐患,可谓既不治标又不治本。

因此,我们必须要改革,将防火墙进行更新换代,以满足现代网络发展的需要,这也是"下一代防火墙"产品出现的根本?因。那么,下一代的防火墙要增加哪些内容呢?首先,应该能识别出某个行为是视频还是游戏,要做到对应用层的识别,识别之后还要对应用层能进行控制。其次,还要做到基于用户的识别与控制,包括对用户当前的环境、使用的电脑或操作系统、是否感染病毒等,一旦违反安全规范就拒绝访问,以免感染整个企业网络。

Firewall@the Speed of Cloud

不过,梭子鱼认为做到这些还不够,因为传统防火墙在运维管理方面还存在缺陷,因此需要对广域网进行分析和优化。例如,能够支持路由,可以做到对带宽的优化和控制,可以实现远程访问以便维护,并具备足够的扩展性,还能够进行集中管理。这样的下一代防火墙,才是真正的革新,才能在高速的云计算时代为企业网络应用安全觅得一席之地。

梭子鱼推出的下一代防火墙NG Firewall是一款安全、低成本、可集中性管理的私有安全云的防护产品,具备传统防火墙所没有的智能化流量管理、带宽优化和集中管理能力。该产品除了使用状态包过滤技术之外,还提供七层的应用控制技术,可以对应用层的业务加以识别、过滤和控制。

需要强调的是,梭子鱼的下一代防火墙在集中管理上也能满足用户提出的苛刻要求。举个简单的实例,德国邮政银行部署了超过2500台梭子鱼下一代防火墙,但管理这些防火墙却仅仅只有三名网络工程师,通过集中化配置、政策发布和报表反馈,工程师在总部就能进行WAN接入优化,加强了点对点流量管理性。

作为传统防火墙的技术演进,梭子鱼下一代防火墙可以说是一种七层的防火墙,它不同于UTM仅仅是一种功能的简单拼凑,而是多层防御技术的有机结合体。

 

责任编辑:于爽 来源: 51CTO.com
相关推荐

2012-12-10 16:15:43

下一代防火墙NGWF

2011-06-30 11:02:22

2012-12-12 10:29:57

2011-06-27 13:31:21

2013-06-27 11:21:17

2011-12-08 10:16:53

2010-12-10 10:16:54

下一代防火墙

2014-08-06 11:46:53

2010-09-29 11:01:46

2013-09-11 20:09:08

下一代防火墙NGFW

2013-02-21 10:25:57

2013-09-27 10:14:46

2011-07-13 10:30:34

2010-12-08 09:33:51

2010-12-06 16:45:32

下一代防火墙

2014-10-11 10:47:50

2013-06-19 10:38:58

下一代防火墙下一代智能防火墙山石网科

2010-12-08 09:02:24

2014-12-15 16:51:11

2011-06-24 09:33:23

点赞
收藏

51CTO技术栈公众号