网御星云NGFW Phase2清晰定义下一代防火墙概念

  自2009年,Gartner发布了对于下一代防火墙NGFW的定义,自此之后,安全市场上的NGFW市场掀起了一股热潮。发展至今, “下一代”、“新一代”、“智能”等等名词纷纷冠以NGFW产品名称之上,难免让人眼花缭乱、无所适从。

  NGFW的定义诞生至今业已过去五年,五年间,诸多IT技术的发展都发生着巨大的演进与变化,而一系列新型的威胁更是让企业防不胜防;此外,随着云计算、大数据等技术在企业间的广泛应用,传统NGFW产品未能如同在加载其名称之上的各种新鲜名词一样在技术上实现关键性突破,而对于用户在实际应用中的诸多实际问题也没有更好的解决方案。

  前不久,网御星云在北京举办了“NGFW-phase2发布会”,发布了新一代网关产品。新发布的NGFW产品弥补了对传统NGFW的技术缺陷以及对用户需求的不足之处,在结合传统NGFW的技术基础上,网御星云的这一产品成功实现了从NGFW到NGFW Phase2的进化过程。

  网御星云产品总监刘建军表示,传统NGFW 产品面临几方面的缺失:在网络安全方面, 缺乏网络可用性的判定,对统一引擎和全开防护能力无尺度界定,忽略网络适应性要求,强调为大企业设计,对中国国情水土不服;在应用安全方面,传统NGFW重视对应用的识别,缺失对用户业务应用服务的支撑能力要求;在用户安全方面,传统NGFW对用户之于网络、应用、数据没有建立系统化实现体系,并忽略了用户终端带来的安全威胁;在数据安全方面,传统NGFW则对用户敏感数据防泄漏以及篡改没有拦截能力,缺少对虚拟化应用服务器及数据库集成环境实现支撑。

  基于此,网御星云认为,NGFW概念已经到了必须被升级换代的时候了。而此次网御星云所发布的升级后的NGFW Phase2产品,在传统NGFW产品三级功能定义的基础上,还实现了诸多方面的突破:首先,新的NGFW Phase2产品实现了对多种形态部署环境的支撑;为数据库访问、应用威胁、云计算提供足够的控制能力,并且和防火墙策略必须是紧耦合同时生效;支持高吞吐、低延迟,明确什么样的设计是实现高性能的必备条件;在确保应用服务支撑力的前提下,实现用户和网络、应用、数据的集成控制。

  网御星云网关产线副总经理沈颖在访谈中也表示:NGFW可以说在此之前仅仅还只是模糊的概念,而现在,NGFW的概念到了该明确的时候了。一款适应当前企业安全防护现状的NGFW产品,应该能够快速、准确识别不同应用,而这也要求NGFW产品本身要能达到对性能和协议有效识别的保障; NGFW产品还应满足不同场景下用户的不同需求,能够实现设备的技术能力与应用场景的实时对接。除此之外,传统的NGFW 产品对应用的识别多为针对个人应用,而现在,NGFW的目标应进阶到对企业业务应用的识别。

  据悉,NGFW Phase2产品在策略管理、地址管理方面进行了重构,使单一地址对象可以支持多种复合类型的属性,同时一条策略支持多个不同组合的地址对象,全局策略冲突、删除、移动动态提示用户,从而实现对多种形态部署环境的支撑。

  而基于网御星云多年来攻防技术方面的研究积累,NGFW Phase 2产品融入了数据库访问控制技术,从而实现了对数据库进行的敏感操作,如查询数据、删除数据、修改权限等动作的识别,而通过和IP、用户等多种过滤条件的结合,又使其具有丰富的数据库访问组合控制条件。

  此外,NGFW Phase 2产品还考虑了用户在部署应用中的易用性,采用了统一集成引擎设计,从而使得在部署中可以在一条策略里实现所有功能,进而实现了64字节小包万兆线速吞吐,功能全开时的应用层吞吐也能达到10Gbps以上,而标准防火墙吞吐更是可以达到160G的水平。

  对虚拟机的流量进行标准的访问控制也是此次NGFW Phase 2产品的一大亮点。据介绍,NGFW Phase 2能够同时执行全部的安全过滤动作,解决了虚拟机安全防护、物理的安全网关无法对虚拟机的流量进行控制、软件的安全网关无法达到大规模部署的性能要求等一系列难题。

  随着安全威胁与防护之间的不断升级与演进,如今的用户已对NGFW的关注点已放在了在安全、性能、易用性、实用性等诸多方面,而不再热衷于一系列“标签化”的产品概念。此次网御星云对NGFW概念的清晰定义与实践无疑是安全发展过程中一次极具意义的里程碑。安全在演进,用户的需求以及对安全的理解也在逐渐变化和深入,基于此,不断审视安全产品的进化过程,让安全产品紧跟安全发展及用户需求的步伐,将成为整个安全体系的发展之道。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:三代杀毒引擎的演变