对于防火墙,大家并不陌生,它与防病毒、入侵检测系统一起被称为安全产品的“老三样”,在安全防护的过程中,帮我们挡住了无数的攻击。然而,在应用日渐复杂、威胁愈演愈烈的今天,传统的防火墙能否依然坚固?呼声越来越高的“下一代防火墙”是否能够带给我们新的惊喜?市场对此众说纷纭。
传统防火墙尚能饭否?
早在设计之初,传统防火墙其实就存在明显缺陷,只是在几年前没有明显地表现出来,但在应用日渐丰富的今天却表现得越发明显:首先是安全方面的缺陷。传统防火墙无法对应用层进行控制和识别,无法确定是哪种应用通过了防火墙,自然就谈不上对各类网络威胁进行有效防御了。
其次是流控方面的缺陷。在用户只有一条链路时,当不同的应用在使用不同的带宽时,重要的应用如何识别并进行保障?这是传统防火墙无法兼顾的。第三就是运维管理方面的缺陷。尤其是当公司的分支机构遍布全国时,因为没有完善的策略管理,无论是部署还是管理传统的防火墙,都需要消耗大量的人力和物力,最终导致管理和维护成本居高不下。
“裱糊匠”的缝补方案不可取
很多人都会想,既然传统防火墙有这么多缺陷,那可不可以部署一台IPS,或者其他安全设备,甚至用UTM来替代?事实上,改良虽然可以暂时弥补一些缺陷,但所做的毕竟是“修修补补”的裱糊匠工作,是不可能从根本上解决问题的。此外这种做法还会带来其他的安全隐患,可谓既不治标又不治本。(最好加一些这种缝补方案其实不仅不省钱还会加重企业的运营成本和负担的话)
因此,我们必须要改革,将防火墙进行更新换代,以满足现代网络发展的需要,这也是“下一代防火墙”产品出现的根本Ô¬因。那么,下一代的防火墙要增加哪些内容呢?首先,应该能识别出某个行为是视频还是游戏,要做到对应用层的识别,识别之后还要对应用层能进行控制。其次,还要做到基于用户的识别与控制,包括对用户当前的环境、使用的电脑或操作系统、是否感染病毒等,一旦违反安全规范就拒绝访问,以免感染整个企业网络。
Firewall@the Speed of Cloud
不过,梭子鱼认为做到这些还不够,因为传统防火墙在运维管理方面还存在缺陷,因此需要对广域网进行分析和优化。例如,能够支持路由,可以做到对带宽的优化和控制,可以实现远程访问以便维护,并具备足够的扩展性,还能够进行集中管理。这样的下一代防火墙,才是真正的革新,才能在高速的云计算时代为企业网络应用安全觅得一席之地。
梭子鱼推出的下一代防火墙NG Firewall是一款安全、低成本、可集中性管理的私有安全云的防护产品,具备传统防火墙所没有的智能化流量管理、带宽优化和集中管理能力。该产品除了使用状态包过滤技术之外,还提供七层的应用控制技术,可以对应用层的业务加以识别、过滤和控制。
需要强调的是,梭子鱼的下一代防火墙在集中管理上也能满足用户提出的苛刻要求。举个简单的实例,德国邮政银行部署了超过2500台梭子鱼下一代防火墙,但管理这些防火墙却仅仅只有三名网络工程师,通过集中化配置、政策发布和报表反馈,工程师在总部就能进行WAN接入优化,加强了点对点流量管理性。
作为传统防火墙的技术演进,梭子鱼下一代防火墙可以说是一种七层的防火墙,它不同于UTM仅仅是一种功能的简单拼凑,而是多层防御技术的有机结合体