網御星云NGFW Phase2清晰定義下一代防火墻概念
責編:admin |2014-11-27 18:48:09自2009年,Gartner發布了對于下一代防火墻NGFW的定義,自此之后,安全市場上的NGFW市場掀起了一股熱潮。發展至今, “下一代”、“新一代”、“智能”等等名詞紛紛冠以NGFW產品名稱之上,難免讓人眼花繚亂、無所適從。
NGFW的定義誕生至今業已過去五年,五年間,諸多IT技術的發展都發生著巨大的演進與變化,而一系列新型的威脅更是讓企業防不勝防;此外,隨著云計算、大數據等技術在企業間的廣泛應用,傳統NGFW產品未能如同在加載其名稱之上的各種新鮮名詞一樣在技術上實現關鍵性突破,而對于用戶在實際應用中的諸多實際問題也沒有更好的解決方案。
前不久,網御星云在北京舉辦了“NGFW-phase2發布會”,發布了新一代網關產品。新發布的NGFW產品彌補了對傳統NGFW的技術缺陷以及對用戶需求的不足之處,在結合傳統NGFW的技術基礎上,網御星云的這一產品成功實現了從NGFW到NGFW Phase2的進化過程。
網御星云產品總監劉建軍表示,傳統NGFW 產品面臨幾方面的缺失:在網絡安全方面, 缺乏網絡可用性的判定,對統一引擎和全開防護能力無尺度界定,忽略網絡適應性要求,強調為大企業設計,對中國國情水土不服;在應用安全方面,傳統NGFW重視對應用的識別,缺失對用戶業務應用服務的支撐能力要求;在用戶安全方面,傳統NGFW對用戶之于網絡、應用、數據沒有建立系統化實現體系,并忽略了用戶終端帶來的安全威脅;在數據安全方面,傳統NGFW則對用戶敏感數據防泄漏以及篡改沒有攔截能力,缺少對虛擬化應用服務器及數據庫集成環境實現支撐。
基于此,網御星云認為,NGFW概念已經到了必須被升級換代的時候了。而此次網御星云所發布的升級后的NGFW Phase2產品,在傳統NGFW產品三級功能定義的基礎上,還實現了諸多方面的突破:首先,新的NGFW Phase2產品實現了對多種形態部署環境的支撐;為數據庫訪問、應用威脅、云計算提供足夠的控制能力,并且和防火墻策略必須是緊耦合同時生效;支持高吞吐、低延遲,明確什么樣的設計是實現高性能的必備條件;在確保應用服務支撐力的前提下,實現用戶和網絡、應用、數據的集成控制。
網御星云網關產線副總經理沈穎在訪談中也表示:NGFW可以說在此之前僅僅還只是模糊的概念,而現在,NGFW的概念到了該明確的時候了。一款適應當前企業安全防護現狀的NGFW產品,應該能夠快速、準確識別不同應用,而這也要求NGFW產品本身要能達到對性能和協議有效識別的保障; NGFW產品還應滿足不同場景下用戶的不同需求,能夠實現設備的技術能力與應用場景的實時對接。除此之外,傳統的NGFW 產品對應用的識別多為針對個人應用,而現在,NGFW的目標應進階到對企業業務應用的識別。
據悉,NGFW Phase2產品在策略管理、地址管理方面進行了重構,使單一地址對象可以支持多種復合類型的屬性,同時一條策略支持多個不同組合的地址對象,全局策略沖突、刪除、移動動態提示用戶,從而實現對多種形態部署環境的支撐。
而基于網御星云多年來攻防技術方面的研究積累,NGFW Phase 2產品融入了數據庫訪問控制技術,從而實現了對數據庫進行的敏感操作,如查詢數據、刪除數據、修改權限等動作的識別,而通過和IP、用戶等多種過濾條件的結合,又使其具有豐富的數據庫訪問組合控制條件。
此外,NGFW Phase 2產品還考慮了用戶在部署應用中的易用性,采用了統一集成引擎設計,從而使得在部署中可以在一條策略里實現所有功能,進而實現了64字節小包萬兆線速吞吐,功能全開時的應用層吞吐也能達到10Gbps以上,而標準防火墻吞吐更是可以達到160G的水平。
對虛擬機的流量進行標準的訪問控制也是此次NGFW Phase 2產品的一大亮點。據介紹,NGFW Phase 2能夠同時執行全部的安全過濾動作,解決了虛擬機安全防護、物理的安全網關無法對虛擬機的流量進行控制、軟件的安全網關無法達到大規模部署的性能要求等一系列難題。
隨著安全威脅與防護之間的不斷升級與演進,如今的用戶已對NGFW的關注點已放在了在安全、性能、易用性、實用性等諸多方面,而不再熱衷于一系列“標簽化”的產品概念。此次網御星云對NGFW概念的清晰定義與實踐無疑是安全發展過程中一次極具意義的里程碑。安全在演進,用戶的需求以及對安全的理解也在逐漸變化和深入,基于此,不斷審視安全產品的進化過程,讓安全產品緊跟安全發展及用戶需求的步伐,將成為整個安全體系的發展之道。
下一篇:三代殺毒引擎的演變