随着互联网的飞速发展,WEB2.0,3G/4G移动平台,云计算等技术的广泛应用,它们为企业带来业务便捷的同时,也带来了更多的安全威胁。在信息安全建设过程中,企业面临新一轮的挑战:
传统的防火墙面对日益复杂的应用安全威胁已经显得力不从心;
防火墙的部署、管理需要专业技术人员,小型企业或者企业分支机构难以维护;
而防火墙/IPS/病毒墙…这种"羊肉串式"的解决方案正变得日益复杂,IT投资性价比越来越低;
基于上述需求,梭子鱼公司在2009年推出了BarracudaNG(NextGenerationFirewall)下一代防火墙。与传统的防火墙和UTM不同的是,NG采用独特的三层引擎架构,除了传统的防火墙功能外,在应用安全,应用路由,VPN组网,WAN流量优化,集中管理方面都进行了专门的设计,独具特色。
目前,BarracudaNG在欧美市场广泛应用。
一方面,它非常适合于帮助用户组建大型分布式网络。例如:欧洲某金融企业部署了超过2500台NG防火墙,并建立VPN网络,全球只需4个IT管理员便可支撑系统的稳定运行。
另一方面,它部署便捷。例如:对于小型企业,管理员只需要把预配置U盘插入全新的NG设备,启动设备,即可运行。不需要管理员具备任何的专业知识。
BarracudaNG可以实现防火墙,VPN,SSLVPN,IPS,Anti-Virus,Anti-Spam,WEB过滤,NAC等全面的安全功能。对于传统安全功能,本文不再赘述。以下,我们主要介绍BarracudaNG的一些特色技术。
一、BarracudaNG应用安全
BarracudaNG的应用安全通过三个层面来实现:
应用识别。NG的ACPF防火墙引擎技术可以高效的识别广泛的互联网应用和协议。例如:web访问,QQ,Skype,MSN都可以通过TCP80端口进行通信,NG可以准确鉴别这些应用。
应用控制。一方面,NG不仅可以允许或者禁止应用程序,而且,可以只禁止某些应用程序行为(如:MSN文件传输);另一方面,NG可以对所识别的应用程序进行流量控制(例如:限制HTTP的流量不超过1Mbps);
安全检测。NG的入侵检测引擎和内容安全引擎将对允许通过应用流量进行安全检查。依托Barracuda全球安全实验室的技术支持,NG入侵检测引擎可以防护超过4000种攻击;并且持续不断的进行着攻击库的更新行为。
需要说明的是,上述操作,只需要在单条防火墙规则配置实现,管理非常简洁。管理员不需要切换到不同的引擎配置界面进行操作。
二、BarracudaNG应用路由
为了保障互联网业务的高可用性,很多企业都采用多条互联网出口链路。如何高效的使用这些互联网链路,同时,确保链路高可用性?
BarracudaNG提供了很好的解决方案。在多链路环境下,NG独具特色的应用路由引擎可以根据协议的特征,为不同的业务数据流分配Internet出口链路,而且通过其QoS引擎可以有效保障实时应用的带宽使用优先级。如下图:
三、BarracudaNGVPN组网
VPN是防火墙部署和管理的难点之一。特别是对于大型网络,如果采用传统的WEB/命令行管理方式,需要登录到每一台防火墙进行配置,因此,管理员的工作量将随着部署设备的数量而线性增长。而且,后续的VPN监控也非常困难。
对于BarracudaNG来说,管理10台设备和管理100台的VPN,其工作量几乎没有增加。通过BarracudaNG集中管理平台,利用其内置的CA数字证书系统,管理员可以在单一图形化界面中,采用鼠标拖动的方式,完成所有NG设备的VPN配置和隧道管理。而且,BarracudaNG特有的VPNEarth模块,可以实现全球VPN设备和隧道的图形化监控。如下图所示:
四、WAN流量优化
如何实现VPN隧道在多条链路上的负载均衡?
如何实现VPN隧道的冗余和无缝切换?
如何保证在低带宽链路上,数据的有效传输?
对于传统的IPSECVPN设备来说,这都是非常难于解决的问题。
利用梭子鱼公司专门研发的TINA技术,NG设备可以提供一个多链路环境下,完美的链路负载均衡和流量优化的解决方案。该解决方案可以为用户提供如下功能:
VPN链路备份功能。一条链路作为主链路,一条链路作为备份链路。当主链路出现故障时,VPN隧道会自动切换到备份链路。而且,在VPN隧道切换过程中,不会造成任何的业务中断。
VPN链路负载均衡(如上图所示)。当企业拥有多条链路时,VPN在多条链路同时传输数据,并互为备份。而且,利用梭子鱼的TI(智能流量)技术,管理员可以把不同的应用数据流分配到不同的VPN链路,并提供带宽管理功能。
数据压缩和缓存技术。通过梭子鱼特有的VPN压缩技术,可以实现高达95%的数据压缩效率,有效节约带宽。这对于低带宽链路的用户,无疑是一个好消息。
五、BarracudaNG集中管理
对于大型分布式网络,防火墙的集中管理是必然的选择。NG集中管理平台(NGCC)正式基于这一需求而设计的。NGCC采用三层管理架构,即管理客户端,CC管理服务器,NG防火墙。NG管理客户端采用图形化管理界面,管理员不需要学习繁琐的命令行。通过NGCC,可以帮助用户实现如下功能:
图形化集中管理。所有配置,监控,都通过单一图形化界面实现;
分级多域管理。对于大型企业来说,可以根据公司组织架构,定义不同的管理员角色。这样,不同部门/分公司的IT人员将只能够管理该部门/分公司所部署的NG防火墙;
NGCC在业界已经广泛应用,成熟稳定。另外,对于NGCC的功能特点,需要特别说明两点:
NGCC可以集中管理防火墙的所有底层配置,包括端口IP,路由等等,而不仅仅是防火墙安全规则;
当NGCC不可用时,管理员可以直接登录NG防火墙,利用emergency模式进行所有配置管理工作;
注:对于小型企业来说,如果只购买一台NG防火墙,您也不用配置专门的NGCC管理平台,您可以直接登录NG设备进行管理。
综述
综上所述,我们可以看到的是:一方面,梭子鱼NG防火墙不仅可以帮助用户实现全面的安全保护,同时,其独特的应用路由,流量优化等功能可以有效的帮助用户节约投资。另一方面,梭子鱼NG防火墙专为大型企业分布式网络而设计,同时,其独特的USB部署功能,也非常适合于小型企业。
