自从下一代防火墙的概念提出来以后,就一直在热议。前不久,几家厂商也相继发布了自己的产品,但很多企业客户对于下一代防火墙的必要仍然不是很明确,并且对于如何选择适合自身的防火墙产品还是有很多疑问,今天我们为此,DOIT安全频道很荣幸的采访了梭子鱼产品经理潘渊,他为我们介绍了梭子鱼下一代防火墙的相关细节,就下一代防火墙的问题进行解答。
梭子鱼中国区产品经理潘渊
企业为什么需要下一代防火墙?
随着互联网的飞速发展, WEB 2.0, 3G/4G移动平台,虚拟应用/云计算等新技术的广泛应用,它们为企业带来业务便捷的同时,也带来了更多的安全威胁。在信息安全建设过程中,企业面临新一轮的挑战:
1) 传统的防火墙面对日益复杂的应用安全威胁已经显得力不从心;
2) 防火墙的部署、管理需要专业技术人员,小型企业或者企业分支机构难以维护;
3) 而防火墙/IPS/病毒墙…这种“羊肉串式”的解决方案正变得日益复杂,IT投资性价比越来越低;
企业需要全面的考虑企业真实网络环境下的安全性和实用性,需要在网络防火墙具备的端口/协议/包过滤的基础上,增加应用识别控制以及用户识别控制,不仅如此,在真实的应用网环境下,自适应的路由功能,带宽管理,全面的网络接入控制(包括远程接入),以及便捷的网络扩展性和方便的网络管理性也是企业需要考虑的内容。
企业在选择下一代防火墙时的注意事项
潘渊认为,市场上有着大量的下一代防火墙产品,提供的安全功能看似也大致相仿,在这个前提下,企业可以将网络管理的便捷性和企业网络的可延展性作为重点注意事项.
从网络延展性的角度讲,他谈到,随着BYOD的普及,企业办公地点的延伸,异地办公,远程接入变得非常普及,企业网络正变得异常庞大,企业选择的下一代防火墙产品需要具备良好的可操作性,为多样化的网络接入设备提供安全防护,比如识别接入设备的MAC地址,提供更清晰的网络可识别性.
他认为,在选择防火墙的时候不仅仅是设备功能性的问题,设备提供的可管理性才是企业安全管理的基石,统一的安全防护策略,快速便捷的网络部署,中后期的设备维护,需要综合考虑,牵扯到大量的人力成本及投资成本,这些都是选择防火墙的重要注意事项。
梭子鱼下一代防火墙的分类和定位
潘渊介绍说,梭子鱼下一代防火墙是专为分布式网络设计产品,由防火墙产品和集中管理平台组成,提供硬件设备和虚拟应用两种交付形式,十多款硬件型号中,从专为办事处/分店等小型机构设计的F10/F100设备,到适合企业总部/大型数据中心使用, 吞吐量达到超过20Gbps的F900设备,可以应对企业搭建整体网络的需求。梭子鱼下一代防火墙 体现在以下几个方面:
1) 智能识别,已识别超过800个应用程序和超过100,000,000条URL地址库
2) 智能流量控制,在多条链路间提供高智能化的应用智能路由,策略路由等功能,并且可应用在VPN通道间。
3) 智能集中管理理念,以推送的方式,进行配置&版本&安全库的同步,通过U盘实现一键式快速恢复。
梭子鱼防火墙的优势核心技术以及如何减少成本
梭子鱼下一代防火墙采用独特的三层引擎架构,除了传统的防火墙功能外,在应用安全,应用路由,VPN组网,WAN流量优化,集中管理方面都进行了专门的设计,独具特色。
一方面,它非常适合于帮助用户组建大型分布式网络。例如:欧洲某金融企业部署了超过2500台NG防火墙,并建立VPN网络,全球只需4个IT管理员便可支撑系统的稳定运行。
另一方面,它部署便捷,管理简单。 例如:对于小型企业或者分支机构,只需要把预配置U盘插入全新的NG设备,启动设备,即可运行。不需要现场人员具备任何的专业知识。管理员可以通过管理平台对设备进行所有操作。
梭子鱼下一代防火墙集成了IPS 功能,拥有实时更新的攻击库和病毒库。下一代防火墙很重要一点是集很多个安全功能为一身的产品。梭子鱼后台在国外有个实验室,时刻关注互联网的发展,通过实验室的内容发布,随时提供更新攻击库的服务。
梭子鱼的全图形化操作界面直观且全面,比如防火墙日志会清晰记录每一个访问记录,无论是成功的访问还是失败的访问,而梭子鱼的策略配置独具特色,开 创性的将访问者,业务类型,目的地,认证,出口链路等信息在同一个配置界面中呈现,非常简洁,而策略测试是非常有用的一个排障工具,在策略正式生效前可以 进行各种模拟测试,避免可能导致的网络故障。
配置中央管理平台减少维护成本。潘渊表示,梭子鱼下一代防火墙除具备传统防火墙功能以外,还具有应用安全,应用路由,BPM网络搭建,智能流量管 理,集中管理方面的特色,产品适合用户组建大型分布式网络。管理员可以通过中央管理平台远程管理所有设备。节约了后期维护的成本。
企业选择梭子鱼防火墙的技术支持
梭子鱼在上海建立了技术支持中心,有专业的技术支持专家,为客户提供专业的技术支持和技术问题解决。潘渊介绍说,客户通过定制的服务条款,可获得一系列的产品服务。比如实时的文件更新。又或者,只要在服务期内,设备发生任何问题,都可以享受硬件立即更换的服务。
梭子鱼防火墙给客户带来的价值
通过梭子鱼下一代防火墙的集中管理界面,可以提供三维立体的NG EARTH工具,潘渊表示,可以对3D 地图上的一个防火墙设备进行管理,也可以对某两个防火墙点之间进行拖和拉以建立VPN通道,随时对通道进行管理或者删除/新建,通过图形化界面我们既可以 管理全网设备又可以管理设备间的数据传输。操作界面可以涵盖所有的命令和操作,进行故障分析和和问题诊断的时候,通过中央管理平台统一操作,节约了大量的 管理成本。
以梭子鱼下一代防火墙在欧洲地区最大的银行客户为例,该客户拥有超过1440万客户,超过2.2万名雇员,超过2500台自动取款机和自助服务终端和办公网点。通过部署梭子鱼的下一代防火墙设备。客户获得了非常好的效果反馈。
1) 使用安全的AES加密在DSL链路上提供安全稳定的VPN远程接入服务,提供远端设备接入和数据私有网络的搭建。对于条件所困的区域,提供3G网络作为备用链路,随时可以接管服务,提供了安全高效的数据传输能力。
2) 在数据中心采用HA模式部署,两台设备通过VPN进行同步以保障业务24小时的持续运行,而在其办公网络,通过一台带VPN功能的防火墙设备即可满足其需求。稳定的设备运行保障业务连续性。
3) 全图形化界面操作和3D化的地图型VPN通道管理技术,实现了高度自动化,在人员数量和能力有限的情况下,网络具备优异的扩展性能,可以满足每年都递增的大量远程终端网点的新建和配置需求。
4) 无须命令行输入,即可进行故障分析和诊断,使日常运维节约了大量的人力资源和相关的成本支出。
下一代防火墙在中国的认知程度
在国内很多企业和很多安全厂商都相继提出了下一代防火墙产品,整个行业市场正处在逐步加深印象的过程,大部分的下一代防火墙概念目前主要是由分析机 构和厂商来主导,潘渊说,目前梭子鱼下一代防火墙在国内的很多客户都是跨国企业在国内的分支机构,这些客户对于梭子鱼的产品已有很深刻的了解,非常愿意在 国内继续使用梭子鱼产品。同时,非常多的新客户对于梭子鱼下一代防火墙的产品理念都表示出了强烈的兴趣,尤其是对于集中管理理念和多种安全功能容于一体的 产品设计,为用户提供了多种选择,大量用户提出试用申请。
梭子鱼针对中国市场的计划
潘渊谈道,现在国内和国外的安全环境大致相同,虽然很多国外经验和技术可以拿来直接使用,针对国内的安全环境还是需要做一些特定的修改。梭子鱼在国 内招聘了专门的技术专家,为国内的实际的使用环境做出相应的修改,希望产品可以更好融入中国的实际环境中,不仅仅能满足国外客户的需求,也能更好的满足国 内客户的需求。
