没有合适的资源?快使用搜索试试~ 我知道了~
深信服SANGFOR_下一代防火墙_白皮书V1.0-1108
需积分: 0 16 下载量 153 浏览量
2018-01-10
11:05:52
上传
评论
收藏 1.01MB PDF 举报
温馨提示
试读
17页
深信服SANGFOR_下一代防火墙_白皮书V1.0-1108 深信服SANGFOR_下一代防火墙_白皮书V1.0-1108
资源推荐
资源详情
资源评论
NGAF 技术白皮书 文档密级:公开
2 / 17
目录
1.概述 ............................................................................................................................................... 3
2. 为什么需要下一代防火墙 .......................................................................................................... 3
2.1 网络发展的趋势使防火墙以及传统方案失效 ................................................................. 3
2.2 替代性方案能否弥补 ......................................................................................................... 4
2.2.1“打补丁式的方案” ............................................................................................... 4
2.2.2 UTM 统一威胁管理 ................................................................................................. 4
3.下一代防火墙的诞生与价值 ........................................................................................................ 4
3.1Gantner 定义下一代防火墙 ............................................................................................... 4
3.2 深信服下一代应用防火墙—NGAF ................................................................................... 5
4.产品功能特点 ................................................................................................................................ 6
4.1 更精细的应用层安全控制 ................................................................................................. 6
4.1.1 可视化应用识别 ...................................................................................................... 7
4.1.2 多种用户识别方式 .................................................................................................. 7
4.1.3 一体化应用访问控制策略 ...................................................................................... 8
4.1.4 基于应用的流量管理 .............................................................................................. 9
4.2 更全面的内容级安全防护 ............................................................................................... 10
4.2.1 灰度威胁关联分析技术 ........................................................................................ 10
4.2.2 基于攻击过程的服务器保护 ................................................................................ 12
4.2.3 强化的 WEB 安全防护 .......................................................................................... 13
4.2.4 完整的终端安全保护 ............................................................................................ 14
4.3 更高性能的应用层处理能力 ........................................................................................... 15
4.3.1 单次解析架构 ........................................................................................................ 15
4.3.2 多核并行处理技术 ................................................................................................ 16
4.4 更完整的安全防护方案 ................................................................................................... 16
5.关于深信服.................................................................................................................................. 17
NGAF 技术白皮书 文档密级:公开
3 / 17
1.概述
防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安
全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过 ACL
访问控制策略、NAT 地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包
通过,保护了网络的安全。防火墙就像故宫的城墙,对进出防火墙的一切数据包进行检查,
保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干
扰网络的正常运行。防火墙技术在当时被堪称完美!随着时代的变迁,故宫的城墙已黯然失
色,失去了它原有的防御能力。同样防火墙在面对网络的高速发展,应用的不断增多的时代
也失去了它不可替代的地位。自 2009 年 10 月 Gartner 提出“Defining the Next-Generation
Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。
深信服也在经过 10 年网络安全技术 6 年的应用安全技术沉淀之后,于 2011 年正式发布深信
服“下一代应用防火墙”——NGAF。
2. 为什么需要下一代防火墙
2.1 网络发展的趋势使防火墙以及传统方案失效
防火墙作为一款历史悠久的经典产品,在 IP/端口的网络时代,发挥了巨大的作用:合
理的分隔了安全域,有效的阻止了外部的网络攻击。防火墙在设计时的针对性,在当时显然
是网络安全的最佳选择。但在网络应用高速发展,网络规划复杂化的今天防火墙的不适应性
就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题:
1、应用安全防护的问题:
传统防火墙基于 IP/端口,无法对应用层进行识别与控制,无法确定哪些应用经过了防
火墙,自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击,防火墙显得力不从心,
无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。
2、安全管理的问题:
传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大
量的策略,并且这些基于 IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留
下的这些隐患,往往给黑客们以可乘之机。
NGAF 技术白皮书 文档密级:公开
4 / 17
2.2 替代性方案能否弥补
2.2.1“打补丁式的方案”
由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型
采取了打补丁式的设备叠加方案,形成了“串糖葫芦”式部署。通常我们看到的网络安全规
划方案的时候都会以防火墙+入侵防御系统+网关杀毒+„„的形式。这种方式在一定程度上
能弥补防火墙功能单一的缺陷,对网络中存在的各类攻击形成了似乎全面的防护。但在这种
环境中,管理人员通常会遇到如下的困难:
效率低:同一数据包经过串联的各类设备,被重复拆包,重复解析,使整个网络的效率
变得低下,运行速度变得十分缓慢。
维护成本高:众多设备需要提供足够的空间和环境支持,大大提高了维护成本。
管理复杂:独立设备、管理复杂,需要培养熟悉各类设备、各厂商设备的高级管理人员。
同时也无法进行统一的安全风险分析
2.2.2 UTM 统一威胁管理
2004 年 IDC 推出统一威胁管理 UTM 的概念。这种设备的理念是将多个功能模块集中如:
FW、IPS、AV,联合起来达到统一防护,集中管理的目的。这无疑给安全建设者们提供了更
新的思路。
事实证明国内市场 UTM 产品确实得到用户认可,据 IDC 统计数据 09 年 UTM 市场增长
迅速,但 2010 年 UTM 的增长率同比有明显的下降趋势。这是因为 UTM 设备仅仅将 FW、IPS、
AV 进行简单的整合,传统防火墙安全与管理上的问题依然存在,比如缺乏对 WEB 服务器的
有效防护等;另外,UTM 开启多个模块时是串行处理机制,一个数据包先过一个模块处理
一遍,再重新过另一个模块处理一遍,一个数据要经过多次拆包,多次分析,性能和效率使
得 UTM 难以令人信服。Gartner 认为“UTM 安全设备只适合中小型企业使用,而 NGFW 才
适合员工大于 1000 的大型企业使用。”
3.下一代防火墙的诞生与价值
3.1Gantner 定义下一代防火墙
针对上述安全风险、网络环境、应用系统的变化,传统网络安全设备的无能为力,市场
咨询分析机构 Gartner 在 2009 年发布了一份名为《Defining the Next-GenerationFirewall》的
文章,给出了真正能够满足用户当前安全需求的下一代防火墙(NGFW)定义。
剩余16页未读,继续阅读
资源评论
yang724407099
- 粉丝: 0
- 资源: 5
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功