ZDNET至顶网安全频道 8月31日 专访:(SonicWALL中国区技术经理蔡永生) SonicWALL自身对下一代防火墙的定义和Gartner对于下一代防火墙的定义是一样的,对于我们来说下一代防火墙包括以下元素,第一个是入侵防护服务,另外是网关防病毒服务,还有防火墙的保护。对SonicWALL来说还包括以下特性,如内容过滤功能、反垃圾邮件功能,以及通过策略来管理应用程序的功能,同样也包括要确保网络的可视性,也就是要知道有哪些人在访问这些网络,以及网络上究竟发生了什么样的事情,同时还有一点是我们坚信不移的,我们认为必须要对网络中的每一个正在进行的数据流进行全面的检测。
企业必须增强对能够根据高层属性如用户身份、使用的特定应用以及传输的实际内容来定义和执行策略的网络安全解决方案的关注,而不是那些主要依靠网络层信息如端口源和目标地址的网络安全解决方案。正因为如此,首席信息官们必须选择具备应用智能功能的下一代防火墙,这种防火墙可识别和了解应用以及应用可能会给企业网带来的潜在风险,并能够保护、管理和控制穿越防火墙的所有信息,包括社交媒体、点对点应用或是软件即服务(SaaS)应用。首席信息官们应该相信,他们所选择的防火墙能够根据不断变化的业务需求和新生的安全威胁在保持高性能的同时进行动态的自我调节。
NGFW特点
我们认为从UTM到NGFW是安全产品的进一步演化,安全性和性能的提高。市场需要下一代的NGFW产品,这不但是企业级客户的需要,也是广大SMB企业用户的需要。
NGFW的主要特点是应用感知以及网络堆栈的完全可视化。NGFW不会像传统防火墙一样只依靠端口或协议来阻止流量,而是会根据深度包检测引擎识别到的流量在应用层执行网络安全策略。流量控制不再是单纯地阻止或允许特定应用,而是可用来管理带宽或优先排序应用层流量。深度流量检测让IT部门可针对单个应用组件执行细粒度策略。例如,可允许用户使用即时通讯客户端,但禁止文件共享。
NGFW还集成了网络入侵防御功能,这可不是在传统防火墙架构上简单添加入侵防御子系统这么简单。NGFW集成的入侵防御功能是安全引擎的核心组件,无需经多个独立的安全层传输同样的流量,从而提高了性能,增强了安全性。
动态应对变化多端的威胁是NGFW的另一大重要特点。设备的签名库将不断更新,用于识别新的威胁,更从容地应对不断升级的恶意软件。
企业安全策略
下一代防火墙进一步增强了安全性,对传统的网络层威胁防御系统进行了扩展,纳入了应用层检测功能。虽然它仍然采用了端口和协议冲突,但其真正的价值在于智能流量管理,可根据应用、用户/用户组和内容来执行相应的策略。通过识别和分类应用流量,下一代防火墙让企业可实现访问控制,以及Web流量、电子邮件和文件传输的规范化。
对于企业用户来讲,制定一个完善的企业安全策略是刻不容款的,这些策略包括:
· 仅支持授权应用的使用。企业可有系统地阻止对所有社交网站如Facebook的访问,或阻止对风险程度最高的网站的访问。这样一来,便可防止员工在不经意之间将已感染病毒的内容下载到企业网。
· 保持对应用的控制。企业可允许员工访问带宽高消耗型网站如YouTube的访问,但仅限工作中需要访问这类网站的员工。同时,企业可根据媒体或时间限制速率,为关键业务应用预留带宽。
· 避免敏感数据的丢失。企业可阻止员工通过电子邮件发送带水印或标签的文件。通过增强对加密流量的监管和控制,企业可避免敏感客户数据和知识产权不必要的暴露。
· 结合应用策略、控制和数据丢失。更重要的是,企业可在每用户/用户组基础上结合所有控制能力,创建详细的策略,不管是为关键应用优先分配带宽还是限制生产力不高的用户组的带宽,以最大程度地提高生产力,同时保持对恶意软件和数据泄露的有效检测。
防护墙技术的未来
下一代防火墙最主要的核心功能是通过集成的安全层,包括与其它功能如防病毒、反间谍软件、入侵防御和反垃圾邮件服务的无缝互操作,实现有效的威胁管理。
下一代防火墙进一步增强了安全性,对传统的网络层威胁防御系统进行了扩展,纳入了应用层检测功能。虽然它仍然采用了端口和协议冲突,但其真正的价值在于智能流量管理,可根据应用、用户/用户组和内容来执行相应的策略。通过识别和分类应用流量,下一代防火墙让企业可实现访问控制,以及Web流量、电子邮件和文件传输的规范化。
另外还有一点也非常关键,即防火墙威胁签名配置的动态性。威胁签名配置以预定义的威胁签名为基础,并通过其执行相应策略,但支持不断的自动更新以及自定义,以通过细粒度策略创建和策略执行来处理最可能发生的威胁。
对网络内容的深度包检测也是极其重要的。防火墙会检测每个信息数据包,查找应用层的恶意软件,同时不对网络性能造成任何影响。检测包括解密和分析入站和出站SSL流量,不管流量采用什么端口或协议。随后,防火墙会对流量重新加密,并发送到目标地址,整个过程均不为用户所知。
下一代防火墙无缝集成了应用智能以及入侵防御和防恶意软件等核心功能,打造了“统一的、全面的网络安全平台”。这就是防火墙技术的未来。
SonicWALL 下一代防火墙
SonicWALL 利用的技术称为免重组深度数据包检测。这是一种非常强大的技术。它允许我们检测网络内外的一切情况,并且不会造成延迟。因此我们在应用任何标准协议或者临时协议之前,仍然可以保持原有的性能。此外,这项技术还非常独特。我们可以利用它检测网络内外任何规格的文件,同时还能检测进出网络内外的文件数量。因此我们提高了生产效率,达到了与所有应用智能控制和可视化技术相同的效果。通过检测网络间的每个数据包,我们还可以实现网络的彻底安全性,使应用在安全和网络环境中免受破坏。
SonicWALL下一代防火墙提供了:
● 应用智能 – SonicWALL可扫描所有网络流量,包括每个数据包的每个字节,通过了解哪些应用处于使用中以及哪些用户在使用这些应用,可实现完整的应用智能和控制功能,不管企业采用什么端口或协议。
● 应用控制 – 应用智能、控制和可视化增强了管理性和易用性,让IT管理员可实现对应用和用户的细粒度控制。管理员可根据预先定义的逻辑类别(如社交媒体或游戏)、个别应用或用户和用户组轻松创建带宽管理策略。
● 应用可视化 – 要正确控制网络使用,管理员必须能实时查看应用流量,并根据观察到的情况调整网络策略。SonicWALL Application Flow Monitor提供了有关应用、入口和出口带宽、访问的网站以及所有用户行为的实时图表。作为SonicWALL NGFW的紧密集成功能,SonicWALL应用智能、控制和可视化将网络控制权重新还给IT管理员,可轻松分辨好应用和坏应用,从而提升生产效率,而不会影响安全性。