ZDNET至顶网安全频道 9月2日 专访:(梭子鱼产品经理潘渊)传统防火墙只能提供一般意义上的数据包转发和拦截功能,以及一些简单的包检测机制,UTM和传统防火墙相比,确实增加了很多过滤功能,包括应用层的识别和过滤等,但是UTM的致命缺陷是由于采用串行扫描方式,处理效率低下,尤其在激活多种扫描过滤功能后,整体性能将使企业网络受到很大影响。要应对Web 2.0应用给网络带来的影响,需要通过下一代防火墙实现,集成了网络安全、内容安全以及基于七层应用管理的网络接入控制保护,防御来自应用层的攻击,基于应用层的进出策略控制,在局域网内提供基于应用层的路由优先级控制和路由流量控制。现有的防火墙产品和UMT设备由于缺乏基于应用层的控制手段,已被证明无法应对各种已有的或者日益增长的网络威胁。即便是增加了单点解决方案,虽然能提供对email业务,Web应用,远程接入,即时通讯软件等病毒防护,但是运营成本也会大幅度提高。而这些问题都可以通过NGFW解决,同时NGFW采用了高效的并行处理机制,可以有效解决UTM的本质缺陷。
性能差异是UTM设备和下一代防火墙设备最根本的区别,这是由于完全不同的功能实现机制导致的,简单来说梭子鱼下一代防火墙特有的ACPF防火墙引擎技术,通过一次性的解包,并行处理所有识别、扫描、过滤与控制,大大提升数据处理效率。
硬件操作平台:作为边界安全设备,梭子鱼自身的健壮性极强,可防御各种攻击。梭子鱼NG防火墙建构在linux操作系统之上,迄今已有超过10年的经验。经过固化处理,基础性网关及路由功能已融合到linux内核中。这样,系统既能防御那些针对自身的攻击,也能通过NG的安全引擎检测所有进出流量。
飞扬内核:一般的防火墙产品只是增强了linux防火墙包过滤功能,而梭子鱼NG防火墙 则特别强调了应用控制包过滤技术,称之为飞扬内核(phion core)。飞扬内核技术结 合了状态包检测、TCP数据流检测与应用层网关技术,对那些复杂的协议如动态IP地 址,端口不确定的应用也能进行防御。简单的说,飞扬内核是一种混合技术防火墙,既采用了状态防火墙技术,也采用应用层的代理技术进行内容扫描,带宽管理和VPN隧道选择。
下一代防火墙需要全面的考虑企业真实网络环境下的安全性和实用性,需要在网络防火墙具备的端口/协议/包过滤的基础上,增加应用识别控制以及用户识别控制,不仅如此,在真实的应用网环境下,自适应的路由功能,带宽管理,全面的网络接入控制(包括远程接入),以及便捷的网络扩展性和方便的网络管理性也是下一代防火墙需要考虑的内容。
NGFW将开辟一个全新的,独立的网络安全硬件市场,国内的下一代防火墙市场处于起步阶段,却发展迅速,而主流的安全硬件厂商都已推出了基于下一代防火墙概念的产品也恰恰验证了这一市场的广阔前景。国内用户在选择安全产品时,肯定会发现下一代防火墙产品正是能解决日益增多的企业网络安全问题,日益下降的网络性能问题,困扰网管们的网络管理问题的最佳产品。