我们一直所称为下一代防火墙(NGFW)中“下一代”到底是什么?不妨参照专注网络安全的Fortinet公司的FortiGate安全平台;运行于该平台的操作系统FortiOS 5的操作版本最近已升级到了5.0.3版本,升级的新功能包括功能部署预配置、关联可视性和高级威胁防护,充分反映了企业防火墙“下一代”所蕴含的意义所在。
FortiOS操作系统的“下一代”功能,具体描述如下:
1. 功能部署预配置:用户在进入安全防御FortiGate设备平台后,首先呈现的是安全部署配置选项,包括高速防火墙、下一代防火墙(NGFW)、高级威胁防护(ATP)、网页过滤与统一威胁管理(UTM)等。企业用户的需求有一些相对的共性,譬如:高吞吐量低延迟防火墙;但是基于不同规模下的个性化的需求譬如分布式企业安全控制管理的多功能应用;这样的部署选项设置目的在于对用户提供随需应变的网络与安全选择。
2. 关联可视性:此项功能赋予企业用户可以基于网络中应用、用户与设备即时或查看过往的网络使用状况,及时的调配流量、应用控制以及安全策略。
3. 高级威胁防护(ATP):提供强化的安全工具,抵御多面向的持续性渗透攻击。
Gartner研究主管Eric Ahlm表示,‘安全设备的采购者会寻求各种防火墙功能的组合,例如NGFW、UTM、虚拟或静态防火墙,来符合一般企业的各种不同需求,像是数据中心、小型办公室或高度分布式的企业,而且成本效益愈高愈好。’
Fortinet行销副总裁John Maddison表示,‘为了强化防护能力、简化管理并降低成本,现今企业已逐渐采用单一厂商的防火墙环境,避免采行多家厂商的产品让环境复杂化。例如,企业数据中心可建置高速防火墙,NGFW可应用于校园网络,UTM则可保护所有的分布式办公室。然而,目前只有专注于安全研发与创新的Fortinet,能提供具备各种完善安全功能有机整合的网络安全平台,满足数据中心、校园网络与分散型办公室的需求。’
Fortinet网络安全:随需应变的部署选择
藉由最新的“功能部署预配置”选项,企业可以依其商业与安全需求,很快地设定FortiGate设备。这些预设的安全选项,可在设备安装时,或是任何时候按个键便完成。功能组选项包括高速防火墙(涵盖VPN)、NGFW(涵盖防火墙、入侵防护和应用控制与管理)、ATP(涵盖高级威胁防护和端点控管)、WF(涵盖网页过滤和显示代理),以及NGFW+ATA(涵盖NGFW和ATP功能)和UTM(涵盖所有上述功能,再加上邮件过滤、数据泄漏防护与漏洞扫瞄)。
更佳的可视性提供更佳的保护
FortiOS操作系统5.0.3版本中,新的”关联可视性”功能,让管理人员能更深入解析过往或即时的网路活动。可被撷取的数据型态,包括IP和端口号、地理IP、会话类型、用户名称、网路使用率、网络覆盖范围,以及应用程序与联网设备的种类。透过此项功能,管理员可依据关联数据找出最可能与威胁相关的客户端,并进一步先行封阻可疑的网站和IP地址,该操作可通过客户端信誉(client reputation)的选项进入。
防护高级目标式攻击(ATA; Advanced Targeted Attacks)
先进目标式攻击,又称为高级持续性渗透攻击 (APT: Advanced Persistent Threats)。APT锁定特定的组织,透过各种方法渗透进入,而且在窃取资料之前,潜伏期较长。FortiGate ATP防护配置,采行多管齐下的方式,协助防护可能藉由零日攻击、未发现的恶意软件、网络钓鱼电邮或密码破解而潜入的威胁攻击。此项功能于ATP服务中,包括僵尸网路封阻名单、恶意软件特征和云端沙箱功能。
定制化ASIC带来的卓越效能
FortiGate安全平台设计中专有的FortiASIC网络和内容单芯片处理器,已获各个业界领先的评测实验室认证,例如NSS Labs、ICSA Labs、Common Criteria、Virus Bulletin和FIPS,让网络管理人员有能力以Gigabit的速度来检测恶意的内容。无论防火墙变得多么智能,支撑其智能与可控的基础首先是性能,这也是不断发展的网络的要求。FortiGate设备的FortiASIC处理器,能确保网络安全不会成为网络效能的瓶颈。