下一代防火墻需求分析

傳統邊界安全只是在事中堆疊防御，事前：缺乏風險預知能力，事中：傳統邊界安全是拼湊的防御，堆疊防御的手段無法提供有效保護，并且將安全復雜化，事后：缺乏檢測和響應能力。

下一代防火墻產品價值

產品價值：融合安全 讓安全更簡單 更有效

下一代防火墻產品概述

讓安全更有效、更簡單
下一代防火墻通過提出“融合安全，簡單有效”價值主張，為用戶業務提供全生命周期保護，真正實現全程可視和全程保護。
事前：下一代防火墻幫助用戶在事前自動發現新增資產、評估漏洞及是否有保護策略。
事中：構建L2-7層縱深防御體系，屏蔽防護短板且具備聯動和關聯分析能力。
事后：持續檢測繞過防御的威脅，并通過云端安全服務提供7*24小時快速響應的技術服務。在IT業務運維全過程內向用戶提供對風險的認知、對保護過程的認知和對結果的認知，幫助您的IT系統更簡單、更安全、更有價值。

我們為您提供場景化的解決方案

互聯網出口終端
上網安全防護解決方案
該方案在用戶、行為、業務等維度實現更多元素的可視，并對可視數據進行綜合分析，實現風險定位及圖形化威脅展示。同時針對黑客攻擊鏈所有環節均可持續檢測，利用云沙盒技術和大數據威脅情報分析平臺，可以及時、準確的響應安全事件，將威脅影響面降到更低。

網站安全立體
保護解決方案
該方案針對用戶Web業務網站防護，將過去以特征更新為主的靜態防御體系，通過深信服下一代防火墻賦予云端安全檢測能力，從而實現主動積極的防御，一旦某臺設備發現新型、未知威脅可以通過云端快速進行更新，24小時內實現全網攔截。結合云端自動化網站安全異常監測技術，可以在網站出現漏洞、篡改、黑鏈、掛馬等安全事件時，在數分鐘之內讓用戶獲得通報和預警。

廣域網全網
安全感知解決方案
該方案不僅可以提升廣域網的安全防護能力，還能夠幫助用戶實時了解分支機構安全風險，避免分支機構存在安全建設薄弱點從而成為入侵短板，以便真正實現管理集中化和運維自動化

數據中心應用層
安全加固方案
該方案可對數據中心安全進行有效補充，解決在設計初期僅規劃防火墻，缺乏完善的安全防御和檢測技術所帶來的風險。主要包含應用層安全加固、增強安全檢測技術和簡化安全管理三個方面，可以保障在復雜業務環境下數據中心信息安全。

數據中心安全
域隔離解決方案

該方案可以將數據中心按照不同安全等級進行區域劃分，實現層次化、重點化、全面化的保護和訪問控制。有效解決傳統防火墻中存在的上線部署、業務新增和日常管理策略復雜、可視性差等問題。

下一代防火墻，即Next Generation Firewall，簡稱NG Firewall，是一款可以全面應對應用層威脅的高性能防火墻。通過深入洞察網絡流量中的用戶、應用和內容，并借助全新的高性能單路徑異構并行處理引擎，NGFW能夠為用戶提供有效的應用層一體化安全防護，幫助用戶安全地開展業務并簡化用戶的網絡安全架構。

為什么要發展下一代防火墻？

一、 傳統防火墻無法適應新的網絡威脅和挑戰

在網絡安全的實際應用中通過安全防護體系保障網絡安全，安全防范體系具體實施的第一項內容就是在內部網和外部網之間構筑一道防線，以抵御來自外部的絕大多數攻擊，完成這項任務的網絡邊防產品我們稱其為防火墻。傳統防火墻可以分為四種類型，分別為包過濾、應用級網關、代理服務器和狀態檢測。

作為邊界網絡安全的第一道關卡防火墻經歷了包過濾技術、代理技術和狀態監視技術的技術革命，通過ACL訪問控制策略、NAT地址轉換策略以及抗網絡攻擊策略，有效的阻斷了一切未被明確允許的包通過，保護了網絡的安全，過濾不安全服務、阻止非法用戶和控制對特殊站點的訪問。

狀態檢測防火墻是上一代防火墻應用最廣泛的產品，但是它們面對新一代的安全威脅的作用越來越小。狀態檢測防火墻通過檢查數據包頭，分析和監視網絡層(L3)和協議層(L4)，基于一套用戶自定義的防火墻策略來允許、拒絕或轉發網絡流量。

然而隨著網絡的發展，黑客已經研究出大量的方法來繞過防火墻策略。狀態檢測防火墻存在著以下不足之處：1、無法檢測加密的Web流量；2、普通應用程序加密后，也能輕易躲過防火墻的檢測；3、對于Web 2.0應用程序防范能力不足；4、應用防護特性只適用于簡單情況；5、無法擴展深度檢測功能。

網絡環境的新需求迫使防火墻進行根本性的變革，因而催生出革命性的防火墻產品——下一代防火墻。

二、 下一代防火墻的到來和技術突破

1. 下一代防火墻的誕生

狀態檢測防火墻在地址/端口的網絡時代發揮了巨大作用，合理分隔了安全域，有效的阻止了外部攻擊。但對于使用僵尸網絡等傳播方式的威脅，第一代防火墻基本上是看不到的。隨著面向服務的架構和Web 2.0使用的增加，更多的通信通過更少的端口(如HTTP和HTTPS)和使用更少的協議傳輸，這意味著基于端口/協議的政策已經變得不能很好適應和奏效。

Gartner在2009年發布了一份名為《Defining the Next-Generation Firewall》，將下一代防火墻(NGFW)定義為在不同信任級別的網絡之間實時執行網絡安全政策的聯機控制。Gartner使用“下一代防火墻”這個術語來說明防火墻在應對業務流程使用IT的方式和威脅試圖入侵業務系統的方式發生變化時應采取的必要的演進。 根據Gartner的理論，NGFW 應該是一個高性能網絡安全處理平臺，至少應當具備以下幾個屬性：

（1）標準的第一代防火墻能力：包過濾、網絡地址轉換(NAT)、狀態性協議檢測、VPN等等；

（2）集成的而非僅僅共處一個位置的網絡入侵檢測：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應當大于這兩部分效果的總和。集成具有高質量的IPS引擎和特征碼；

（3）應用意識和全棧可見性：識別應用和在應用層上執行的獨立端口和協議，而不是根據純端口、純協議和純服務的網絡安全政策；

（4） 額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定或建立優化的阻止規則庫。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

2. 下一代防火墻的革新

應用識別是防火墻未來發展的重要技術方向，基于應用的攻擊不斷變化，也要求防御技術必須有所提升。

下一代防火墻在性能、安全性、易用性、可管理性等方面有了質的飛躍，滿足用戶新的防御和管理需求。相比傳統防火墻和UTM（統一威脅管理，Unified Threat Management），下一代防火墻與它們的主要區別在于：

1）傳統防火墻局限于IP地址、接口層面的安全防護。從基于簡單包過濾技術防火墻到基于狀態檢測技術的防火墻，重點的防護還僅僅是停留在OSI模型的四層以內；

2）UTM是在“瘦防火墻”基礎上發展而來的，集防火墻、IPS、VPN等安全功能于一體的集成安全網關，其不足之處在于處理機制煩瑣，效率低下，內部安全模塊間缺少智能關聯；

3）下一代防火墻除了具備傳統防火墻功能外，更關注針對應用層面的安全防護。實時性、準確性、高效性也成為下一代防火墻的主要特點。它會根據深度包檢測引擎的檢測結果，自動識別到該流量在應用層執行的安全策略。流量控制需要更“精細化”的管理，不僅僅能夠對異常攻擊流量進行阻止或允許動作，更可用來進行基于應用層的QoS控制，控制粒度更為細致。

三、 下一代防火墻優勢和價值

1. 應用識別與控制

下一代防火墻依托先進的應用識別技術，在性能、安全性、易用性、可管理性等方面有了質的飛躍，下一代防火墻一般可識別超過上千種應用程序，而不論應用程序使用何種端口、協議、SSL、加密技術或逃避策略，有以下幾種應用識別方式：

1）第一步基于協議和端口的檢測 (傳統防火墻做法)。固定端口小于1024的協議，其端口通常是相對穩定，可以根據端口快速識別應用。

2）基于應用特征碼的識別，深入讀取IP包載荷內容中的OSI中的應用層信息，將解包后的應用信息與后臺特征庫進行比較來確定應用類型。

3）基于流量特征的識別，不同的應用類型體現在會話連接或數據流上的狀態各有不同，例如，基于P2P下載應用的流量模型特點為平均包長都在450字節以上、下載時間長、連接速率高、首選傳輸層協議為TCP等；NGFW基于這一系列流量的行為特征，通過分析會話連接流的包長、連接速率、傳輸字節量、包與包之間的間隔等信息來鑒別應用類型。

2. 用戶識別與控制

通過與認證系統的完美集成，對應用程序使用者實現基于策略的可視化和控制功能。提供基于用戶與用戶組的訪問控制策略，使管理員能夠基于各個用戶和用戶組來查看和控制應用使用情況。在所有功能中均可獲得用戶信息，包括應用控制策略的制定和創建、取證調查和報表分析。

管理員亦可將用戶信息編輯成Excel、TXT文件，將賬戶導入，實現快捷的創建用戶和分組信息。 支持多種身份認證方式，幫助組織管理員有效區分用戶，建立組織身份認證體系，進而形成樹形用戶分組，映射組織行政結構，實現用戶與資源的一一對應。下一代防火墻支持為未認證通過的用戶分配受限的網絡訪問權限，將通過Web認證的用戶重定向至顯示指定網頁，方便組織管理員發布通知。

3. 內容識別與管控

下一代防火墻可以將數據包還原的內容級別進行全面的威脅檢測，還可以針對黑客入侵過程中使用的不同攻擊方法進行關聯分析，從而精確定位出一個黑客的攻擊行為，有效阻斷威脅風險的發生，幫助用戶最大程度減少風險短板的出現，保證業務系統穩定運行。通過內容識別技術，下一代防火墻實現了阻止病毒、間諜軟件和漏洞攻擊，限制未經授權的文件和敏感數據的傳輸，控制與工作無關的網絡瀏覽等功能。

4. 流量管理與控制

傳統防火墻的QoS流量管理策略是簡單的基于數據包優先級的轉發，當用戶帶寬流量過大、垃圾流量占據大量帶寬，而這些流量來源于同一合法端口的不同非法應用時，傳統防火墻的QoS無能為力。

下一代防火墻提供基于用戶和應用的流量管理功能，能夠基于應用做流量控制，實現阻斷非法流量、限制無關流量保證核心業務的可視化流量管理價值。首先，下一代防火墻將數據流根據各種條件進行分類（如IP地址，URL，文件類型，應用類型等分類），分類后的數據包被放置于各自的分隊列中，每個分類都被分配了一定帶寬值，相同的分類共享帶寬，當一個分類上的帶寬空閑時，可以分配給其他分類，其中帶寬限制是通過限制每個分隊列上數據包的發送速率來限制每個分類的帶寬，提高了帶寬限制的精確度。

下一代防火墻可以基于不同用戶(組)、出口鏈路、應用類型、網站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配，精細智能的流量管理既防止帶寬濫用，提升帶寬使用效率。