第二代防火墙应该能够为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案,具有包括如下的技术特点:
(一) 基于用户进行防护。
传统防火墙策略都是依赖IP与MAC地址来区分数据流,这不利于管理也很难完成对网络状况的清晰掌握与精确的控制。第二代防火墙集成了安全准入控制功能,支持多种认证协议和认证的方式,实现了基于用户的安全防护策略部署和可视化管控。
(二) 更加安全的面向应用。
在应用安全方面,第二代防火墙应可以做到对各种应用的深层次的识别;另外在数据安全性问题方面的解决方面,通过远程接入技术,虚拟化技术相结合,为远程接入终端提供虚拟应用发布和虚拟桌面功能,不用执行任何应用系统客户端程序,使其本地完成和内网服务器端的数据交互,实现了终端到业务系统的“无痕访问”,从而达到了终端与业务分离的目的。
(三) 转发平台更加高效。
第二代防火墙将NSE(网络服务引擎)和sE(安全引擎)独立部署。网络服务引擎完成底层路由/交换转发,并且,对整机各模块进行管理和状态监控;安全引擎负责把数据流进行网络层安全处理和应用层安全处理。通过部署多安全引擎与多网络服务引擎的方式来实现整机流量的分布式并行处理与故障切换功能。第二代防火墙为了突破传统网关设备的性能瓶颈。
(四) 拥有多层级冗余架构。
第二代防火墙在设计中,通过板卡冗余,模块冗余和链路冗余来构建底层物理级冗余,它使用双操作系统来提供系统级冗余,而采用多机冗余及负载均衡进行设备部署实现了方案级冗余。由物理级,系统级和方案级共同构成了多层级的冗余化架构体系结构。第二代防火墙设备拥有完善的业务连续性保障方案。采用多层级冗余化设计方案。
(五) 可视化全方位视角。
第二代防火墙对于管理范围内所有主机,设备的网络应用情况和安全事件信息进行准确的定位和实时跟踪,包括对历史精确还原与对各种数据智能的统计分析,使得管理者清晰的认知网络运行状态。从应用和用户视角多层面的将网络应用的状态展现出来,对于全网产生的海量安全事件信息内容,通过深入的数据挖掘能够形成安全趋势的分析,与各种图形化的统计分析报告。
(六) 防护和安全技术融合。
第二代防火墙的整套安全防御体系都应该是基于动态云防护而进行设计的。一方面可以通过云来收集安全威胁信息并且快速寻找解决方案,及时的更新攻击防护规则库,并且以动态的方式实时部署到各用户设备中,从而保证用户的安全防护策略得到及时的,准确的动态更新。动态云防护和全网威胁联防是技术的一大融合。
第二代防火墙的优势
第二代防火墙作为边界安全防护手段的核心技术,在经历了无数次的技术变革后,早已不是传统防概念了。第二代防火墙之所以受到各界的追捧,主要原因是由于当今的网络威胁来源发生了重大的变化,过去以邮件附件形式为主的攻击手段已经构不成威胁了,取而代之的是,来自隐藏的在数以万计的网络应用中的网络攻。第二代防火墙可以让管理员分别控制管理与业务相关的网络数据流,能够保证企业的网络生产效率保持高水平,还可以将所有安全和程序控制技术应用到SSL加密数据流中,确保SSL数据流中没有恶意代码。扫描各个端口的文件,不限制文件大小,也不会在扫描时影响数据的安全性或网络的效率。
结束语
云计算、大数据和移动技术都正以迅猛的速度发展,反映在企业网络安全领域。第二代防火墙为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案,以智能化识别、
精细化控制、一体化扫描为核心理念,满足了在第二代网络中的安全应用需求,集中体现了识别安全风险、保障应用安全的客户价值。