當前位置：安全 → 防火墻 → 正文

下一代防火墻是用什么技能“撩妹成功的”？

責任編輯：editor005 作者：張程程 |來源：企業(yè)網(wǎng)D1Net 2016-03-18 14:25:54 本文摘自：TechTarget中國

你的企業(yè)打算部署下一代防火墻（NGFW）嗎？你知道NGFW是以何種魅力打動購買者的嗎？本文有你想知道的有關NGFW采購前需要掌握的所有答案，趕緊get起來~

防火墻是最基本的網(wǎng)絡安全控制機制之一，在過去二十年里，防火墻已從一個簡單的包過濾設備發(fā)展成為一個能夠同時管控大量網(wǎng)絡通信狀態(tài)的復雜系統(tǒng)。然而盡管與以前相比功能更為先進、吞吐量更高，防火墻還是不可避免地遭遇到了發(fā)展瓶頸。

新興威脅瞬息萬變，而傳統(tǒng)的端口和IP地址的過濾不再適用。在此背景下，越來越多的企業(yè)把希望寄托于能夠提供更多更新功能的下一代防火墻（NGFW）上。

NGFW“自帶撩妹技能”

當你打算進行NGFW采購時（不管是出于替代現(xiàn)有防火墻/入侵檢測系統(tǒng)還是用作單獨的安全控制點的目的），都有一些你將會用得上的且能發(fā)揮最大效用的功能。具體有：

應用識別和控制。任何NGFW最重要的功能就是要能夠正確地理解、解碼以及分析應用流量來檢測已知或未知威脅。絕大部分關鍵業(yè)務應用的策略變化設計的很微妙，用以支持不同類型的功能。防火墻需要能夠察覺到這些細微的變化以做出恰當?shù)牟呗詻Q策。任何高效的NGFW必須支持細顆粒度的應用策略部署及管控，同時，也要能更新至允許設備評估規(guī)則和持續(xù)應用它們的分析和處理引擎，而無論流量模式怎樣隨時間變化。

協(xié)議解析和異常檢測。任何NGFW必須要能快速地將協(xié)議解析至現(xiàn)有組成部件中去。很多攻擊者使用復雜的隧道技術，將指定協(xié)議或敏感數(shù)據(jù)嵌入其他協(xié)議中。這樣一來，NGFW需要判斷出ICMP、HTTP以及其他協(xié)議類型是真實的還是攻擊者人為制造的。

用戶識別。所有的企業(yè)級NGFW產(chǎn)品都應該具備與各類目錄資源（比如說Active Directory以及現(xiàn)有環(huán)境中的相關活動）連接的功能用以進行用戶識別。理想情況下，系統(tǒng)應該能將IP地址映射到系統(tǒng)名稱以及用戶登錄上去。防火墻上基于角色的策略能用于特殊用戶檢測。這就使得防火墻能夠判斷出是否有與協(xié)議和應用有關的不尋常的流量出現(xiàn)，即使它追蹤的使用模式是基于特定的用戶和組的也無妨。此種情形下，對于打算進行采購的企業(yè)來說，需要考慮的最重要的一點就是產(chǎn)品對于用戶資源庫類型的支持。

速度和性能。除理解和過濾流量之外，評價NGFW的另一項關鍵的因素就是速度。考慮到對于任何一臺NGFW設備來說，數(shù)據(jù)包的處理和分析都非常密集，因而流量延遲是一個主要的關注點。很多廠家鼓吹其產(chǎn)品可以保持10 Gbps或更快的速度，不過在決定購買之前企業(yè)還是要進行徹底地檢測以得出實際的速度。

NGFW“撩妹高手進階”

與NGFW必備的功能不同，有一些是只有某些NGFW產(chǎn)品才具有的優(yōu)異的特性：

URL過濾。一些防火墻可以執(zhí)行基于URL的內(nèi)容過濾以及站點信譽分析。盡管不如單獨的內(nèi)容過濾產(chǎn)品那樣強大、特征明顯，但URL過濾能將應用及流量分析方面的功能添加至已經(jīng)運行的入侵檢測過程中。

SSL終止和檢驗。攻擊者非常聰明，他們制作惡意軟件和攻擊套件，使用像SSL之類的加密通道來運送敏感數(shù)據(jù)和機器命令。一些組織可能會認為這應該是下一代防火墻的一項必備功能，不過很多企業(yè)還沒有準備好對SSL進行監(jiān)管或者因為某些與隱私相關的原因無法做到。

惡意軟件虛擬沙盒。一些更新的下一代防火墻產(chǎn)品已經(jīng)開始將惡意軟件沙盒和分析集成在產(chǎn)品中，這將有益于檢測出更為高級的惡意軟件感染。此外，也可以將易于使用和部署、與現(xiàn)有環(huán)境中的工具和技術集成以及可以默認設備的用戶登錄等特性考慮在內(nèi)。

戴爾NGFW自有“撩法”

在功能和性能方面，戴爾SonicWALL NGFW在自備傳統(tǒng)防火墻的功能外，也有自己的一套。戴爾SonicWALL NGFW會對所有流量進行掃描，在確保檢測每個數(shù)據(jù)包中的每個字節(jié)的同時保證網(wǎng)絡所需的高性能和低延時。同時，其可提供實時SSL解密和檢測、采用先進防規(guī)避技術的IPS以及可利用云的基于網(wǎng)絡的惡意軟件防御系統(tǒng)功能，以保護網(wǎng)絡對最新威脅也有抵抗力。

如今，市場上流行的NGFW正變得越來越強大，并在大多數(shù)情景中都能補足或替代傳統(tǒng)的防火墻技術。那么在通讀全文后，小伙伴們有木有覺得NGFW的采購有了一個大寫的“清晰”了呢？

關鍵字：NGFW 防火墻技術