摘要:在设备迁移时,用户需要重新梳理访问控制策略的制定,NGFW摒弃了传统安全设备的“数字语言”,将以“谁能干嘛”一种自然语言的方式进行,更加直观可视。 |
智能识别与控制:能够基于应用、用户进行识别和安全策略的制定,确保企业的信息安全访问控制要求得到有效执行;
应用内容防护:能够针对网络流量的应用内容进行安全检查,确保企业网络流量的纯净,防止各种安全威胁针对终端、服务器的恶意破坏、数据窃取等非法行为。
应用层高性能:能够通过单次解析架构,提供万兆级应用层安全防护能力,在确保网络安全的同时,不让网络出现性能瓶颈。
下一代防火墙之所以要具备上述特点,主要是因为当前网络的三方面变化:
1、 基于端口的安全策略将会失效。越来越多的应用趋向于更加少数的端口上来运行,而且部分应用的端口也是动态变化的,通过端口的控制我们将无法区分应用和用户的操作权限。因此,传统基于IP和端口的访问控制已经无法满足内外网的安全策略制定。
我们需要通过NGFW在应用层执行网络安全策略,控制应用动作,而不是简单的放行或者阻断某种应用。
2、 威胁来自应用层。由于黑客攻击的目的在变化,转向了获取利益,因此黑客的攻击手段也在发生变化,更多的威胁依附在应用之中传播肆虐。根据Gartner报告:75%的攻击来自应用层。因此,我们需要NGFW深度到数据包的应用内容进行安全分析和过滤。
3、 应用层安全设备成为性能瓶颈。对面传统防火墙有这么多缺陷,那可不可以部署一台IPS,或者其他安全设备,甚至用UTM来替代?事实上,"打补丁"虽然可以暂时弥补一些缺陷,但所做的毕竟是"修修补补",补丁中间还会出现新的缝隙,是不可能从根本上解决问题的。比如,目前的IPS和UTM在开启DPI技术后,性能大多在千兆左右,与目前万兆级网络相差甚远。我们往往会看到,用户为了部署IPS和UTM,而不得不将数据中心骨干从万兆降级到千兆。