2024年4月20日发(作者:办公软件wps下载)
从采用的技术上看,下一代防火墙采用的是包转发技术,而WAF采用的是代理技术。
这是两种完全不同的技术手段,如果通过代理技术来做NGFW,将会极大地限制NGFW的
吞吐能力。而如果采用包转发技术来做WAF,则会严重影响waf的安全防护能力。所以,
从技术上看这两者也不适合放在一起。
随着BYOD、云计算和社交网络的流行,网络已经迎来了大带宽时代。移动办公消除
了网络边界,数据中心的云化、面向云和面向虚拟机的安全带来了新的挑战。应用和社交
网络给安全管控也带来了新的威胁。被动防御为主的传统防火墙已经不能应对新型威胁,
企业需要更主动的防御方式。
2009年Gartner发布了一篇白皮书,增加了一名新成员——下一代防火墙(NGFW),
它基于用户、应用和内容作为管控基础。现在已经距离当时过了四年,在这四年期间,下
一代防火墙作为业界的新词越来越火,国内外众多厂商纷纷推出了自己的下一代防火墙产
品,但它们真的是下一代防火墙吗?还是披着“下一代防火墙”外衣的UTM或者上网行
为管理产品?
什么是真正的下一代防火墙?
首先它应该具备基本防火墙的功能,如NAT、VPN等;第二,也是最核心的本质特性:
应用识别能力,且应用识别应该是下一代防火墙所有安全管控的基础,而非简单的为了实现
应用控制;第三是要跟IPS深度的集成,而不是简单的功能叠加;最后,Gartner还要求
NGFW提供诸如智能联动和智能分析等一些辅助功能。
下一代防火墙功能众多,它将取代UTM、WAF或者上网行为管理吗?
Gartner在企业防火墙魔力象限报告中指出,出现这种疑问的原因主要有两个:一个
是在技术术语,不同产品之间确实有重合之处;另一个方面则是由于厂商混淆视听的营销宣
传所致。Gartner强调,下一代防火墙有其独特的产品价值,与上述产品有明显的区别。
下一代防火墙vs高级防火墙
下一代防火墙的性能和功能无疑更强大了,但仅仅如此与高级防火墙有何区别?有些
厂商在防火墙上加了一些简单的应用识别;有些厂商在流量管控的基础上,加上一些威胁防
控;还有一些DLP厂商转身来做下一代防火墙。
其实下一代防火墙代表的是完全不同的安全理念,在部署、使用、管理乃至整个安全
模式上都与传统防火墙截然不同,NGFW能够把整个策略实现原理和对网络资源调度提升
到新的应用管理水平,它还颠覆整个防火墙访问控制管理的基础,带来了新的管理视角,
因此实际上能够简化管理。
在众多厂商发布了NGFW后,华为作为后起之秀,今年下半年也将推出NGFW。华
为安全产品营销经理朱峰指出NGFW面临四大挑战。
1.管控是否精细。随着IT潮流的巨变,NGFW如何识别更新的应用,如何在应用过程
中识别风险,解决新IT环境下边界失效的问题,重新建立起网络边界的有效管控,成为首
要挑战。
2.管理是否简单。NGFW在强化了管控手段以后,管理配置的复杂度明显提升,面对
着数以千计的应用选择,那些隐藏风险?哪些对工作有用应该打开甚至保障带宽应用?哪
些对工作无用需要进一步的控制甚至阻断?这对管理员提出了更高的管理挑战。
发布者:admin,转转请注明出处:http://www.yc00.com/xitong/1713565745a2274304.html
评论列表(0条)