Gartner正式提出下一代防火墙(NGFW)概念已有5年。在这5年间,无论是IT应用环境、用户需求,还是安全厂商战略,都发生着巨大的改变。下一代防火墙的发展,正是在各种力量的综合作用下,在争议中前行。
由于我国网络安全环境具备自己的特点,同时经过5年科技的进步和网络的发展,下一代防火墙已经有所变动:社交化、移动化、虚拟化、云化,让移动和web应用成为安全的主战场;黑客攻击产 业化使得攻击活动更密集,威胁环境更加险恶;APT让发现威胁所需的时间变得更长,恶意行为难以发现。网御星云认为,传统NGFW的定义已经无法适应高速发展的市场变化,其在网络安全、应用安全、数据安全、用户安全方面均有缺失。
作为国内信息安全的核心企业,网御星云提出新的防火墙标准在传统NGFW三级功能定义的基础上应该具 有以下几个特征,首先,新一代的防火墙应该能够实现对多种形态部署环境的支撑,完成对数据库安全的整体防护;同时,应用威胁防护、云安全防护与防火墙策略 的紧耦合集成应该得到更高重视;最后,明确高性能的设计方法、考察指标及其判别依据,完美实现用户、应用、数据集成控制情况下的应用服务支撑能力保障。这些新要求的提出,对我们重新审视防火墙产品的进化过程有着很好的借鉴作用。
2013年,网御星云就层与启明星辰发布了新一代安全网关,打出了“NGFW+NGUTM”的组合拳,在安全界再次引发一场热议。近日,网御星云再次发力,凭借对传统下一代防火墙NGFW技术缺陷的分析和对用户需求的深度挖掘,网御星云在京举办NGFW-Phase2发布会。在发布会上,网御星云发布了新一代网关产品,该产品成功实现了从NGFW到NGFW Phase2的进化过程。
据了解,升级后的NGFW Phase2产品,在传统NGFW产品三级功能定义的基础上,则必须实现如下突破:实现对多种形态部署环境的支撑;为数据库访问、应用威胁、云计算提供足 够的控制能力,并且和防火墙策略必须是紧耦合同时生效;支持高吞吐、低延迟,明确什么样的设计是实现高性能的必备条件;在确保应用服务支撑力的前提下,实 现用户和网络、应用、数据的集成控制。
不仅如此,NGFW Phase2产品在策略管理、地址管理方面进行了重构,使单一地址对象可以支持多种复合类型的属性,同时一条策略支持多个不同组合的地址对象,全局策略冲 突、删除、移动动态提示用户,从而实现对多种形态部署环境的支撑。同时,NGFW Phase 2产品包含了数据库访问控制技术,可以识别对数据库进行的敏感操作,如查询数据、删除数据、修改权限等动作,而通过和IP、用户等多种过滤条件的结合,使其具有丰富的数据库访问组合控制条件。
笔者还了解到,NGFW Phase 2产品具有统一集成引擎设计,无需单独在AV、IPS等功能策略里设置IP等过滤条件,可以在一条策略里实现所有功能,IPS、AV和上网行为管理和防火 墙策略也可以同时生效,这种设计,使其实现了64字节小包万兆线速吞吐,功能全开时的应用层吞吐也能达到10Gbps以上,标准防火墙吞吐更是可以达到 160G的水平。
NGFW Phase 2产品还能够对虚拟机的流量进行标准的访问控制,同时执行全部的安全过滤动作,解决了虚拟机安全防护、物理的安全网关无法对虚拟机的流量进行控制、软件的安全网关无法达到大规模部署的性能要求等一系列难题。
目前,市面上已有的NGFW产品良莠不齐,有的甚至被业界认为算不上严格意义上的NGFW产品,而一些能称之为NGFW的产品离用户的实际需求也还有一定差距。网御星云结合传统NGFW的技术基础上,成功实现了从NGFW到NGFW Phase2的进化过程。再次引领了国内信息安全技术潮流。