深信服下一代防火墻

投入產(chǎn)出比高

多功能開啟性能良好

提供完整的應(yīng)用層攻擊防護(hù)

Web攻擊防護(hù)OWASP4星

應(yīng)用層性能高，不影響業(yè)務(wù)

雙向內(nèi)容檢測，防泄密防篡改，提供事后補(bǔ)償

實(shí)現(xiàn)L2-L7層訪問控制

L2-L7層攻擊防御能力，提供信息防泄露

多功能開啟性能無影響，保證可靠性

VPN安全互聯(lián)

VPN隧道內(nèi)流量清洗，不影響總部業(yè)務(wù)

一臺搞定，性價比高

發(fā)展趨勢及需求

目前，國內(nèi)外的下一代防火墻的發(fā)展非常迅速，大部分安全廠商都發(fā)布了下一代防火墻產(chǎn)品，甚至包括一些在傳統(tǒng)防火墻領(lǐng)域里的絕對領(lǐng)導(dǎo)者都在推下一代防火墻。而作為下一代防火墻的首創(chuàng)者PaloAlto更是快速的在Gartner魔力四象限里成為了企業(yè)防火墻市場的領(lǐng)導(dǎo)者。但從國內(nèi)實(shí)際接受程度上看，下一代防火墻想替代傳統(tǒng)防火墻還需要進(jìn)行較多的市場投入。黃海表示，"讓客戶認(rèn)識到下一代防火墻是能夠給現(xiàn)有的安全管理帶來改變是需要時間和金錢的。尤其是，中國市場相對海外可能會更加保守，市場化的完善程度也稍差，這些原因會導(dǎo)致下一代防火墻所蘊(yùn)含的新理念和新技術(shù)在推行方面遇到更多障礙和阻力。"

黃海繼續(xù)談到，目前，從企業(yè)用戶的需求來看，不斷增長的下一代防火墻需求，反應(yīng)出的是當(dāng)前企業(yè)用戶對高性價比的基礎(chǔ)網(wǎng)絡(luò)安全功能的需求。隨著安全技術(shù)的進(jìn)步和黑客文化的流行在不斷的演變，十年前說到基礎(chǔ)網(wǎng)絡(luò)安全功能，很多企業(yè)客戶想到的就是傳統(tǒng)防火墻，能夠劃分安全域，能進(jìn)行訪問控制就行。但是近幾年應(yīng)用、僵尸網(wǎng)絡(luò)、蠕蟲、木馬、APT攻擊的泛濫都在不斷的給很多企業(yè)客戶敲響警鐘，企業(yè)必須部署IPS和內(nèi)容級安全設(shè)備來增加整個網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和管控能力。但專業(yè)的IPS設(shè)備與傳統(tǒng)防火墻設(shè)備相比可謂要價不菲，如果真的升級網(wǎng)絡(luò)安全系統(tǒng)的話，對企業(yè)來說，它的資金消耗是非常龐大的。所以這個時候就需要有性價比更為優(yōu)越的安全設(shè)備出現(xiàn)來解決企業(yè)客戶在資金和安全需求之間的矛盾關(guān)系。所以下一代防火墻這個時候出現(xiàn)。

2009年，著名咨詢機(jī)構(gòu)Gartner介紹為應(yīng)對當(dāng)前與未來新一代的網(wǎng)絡(luò)安全威脅認(rèn)為防火墻必需要再一次升級為"下一代防火墻"。第一代防火墻已基本無法探測到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅。由于采用的是基于服務(wù)的架構(gòu)與Web2.0使用的普及，更多的通訊量都只是通過少數(shù)幾個端口及采用有限的幾個協(xié)議進(jìn)行，這也就意味著基于端口/協(xié)議類安全策略的關(guān)聯(lián)性與效率都越來越低。深層數(shù)據(jù)包檢查入侵防御系統(tǒng)(IPS)可根據(jù)已知攻擊對操作系統(tǒng)與漏失部署補(bǔ)丁的軟件進(jìn)行檢查，但卻不能有效的識別與阻止應(yīng)用程序的濫用，更不用說對于應(yīng)用程序中的具體特性的保護(hù)了。

Gartner將網(wǎng)絡(luò)防火墻定義為在線安全控制措施，即:可實(shí)時在各受信級網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略。Gartner使用"下一代防火墻"這一術(shù)語來說明升級防火墻的必要性，以應(yīng)對業(yè)務(wù)程序使用IT的方法以及針對業(yè)務(wù)系統(tǒng)所發(fā)起的攻擊方法所發(fā)生的改變。

下一代防火墻需具有下列最低屬性:

·支持在線BITW(線纜中的塊)配置，同時不會干擾網(wǎng)絡(luò)運(yùn)行。

·可作為網(wǎng)絡(luò)流量檢測與網(wǎng)絡(luò)安全策略執(zhí)行的平臺，并具有下列最低特性:

1)標(biāo)準(zhǔn)的第一代防火墻功能:具有數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、協(xié)議狀態(tài)檢查以及VPN功能等。

2)集成式而非托管式網(wǎng)絡(luò)入侵防御:支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協(xié)作所獲得的性能要遠(yuǎn)高于部件的疊加，如:提供推薦防火墻規(guī)則，以阻止持續(xù)某一載入IPS及有害流量的地址。這就證明，在下一代防火墻中，互相關(guān)聯(lián)作用的是防火墻而非由操作人員在控制臺制定與執(zhí)行各種解決方案。高質(zhì)量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起，如:根據(jù)針對注入惡意軟件網(wǎng)站的IPS檢測向防火墻提供推薦阻止的地址。

3)業(yè)務(wù)識別與全棧可視性:采用非端口與協(xié)議vs僅端口、協(xié)議與服務(wù)的方式，識別應(yīng)用程序并在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略。范例中包括允許使用Skype但禁用Skype內(nèi)部共享或一直阻止GoToMyPC。

4)超級智能的防火墻: 可收集防火墻外的各類信息，用于改進(jìn)阻止決策，或作為優(yōu)化阻止規(guī)則的基礎(chǔ)。范例中還包括利用目錄集成來強(qiáng)化根據(jù)用戶身份實(shí)施的阻止或根據(jù)地址編制黑名單與白名單。

·支持新信息流與新技術(shù)的集成路徑升級，以應(yīng)對未來出現(xiàn)的各種威脅。