下一代防火墻簡介

2009年，著名咨詢機構(gòu)Gartner介紹為應(yīng)對當前與未來新一代的網(wǎng)絡(luò)安全威脅認為防火墻必需要再一次升級為"下一代防火墻"。第一代防火墻已基本無法探測到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅。由于采用的是基于服務(wù)的架構(gòu)與Web2.0使用的普及，更多的通訊量都只是通過少數(shù)幾個端口及采用有限的幾個協(xié)議進行，這也就意味著基于端口/協(xié)議類安全策略的關(guān)聯(lián)性與效率都越來越低。深層數(shù)據(jù)包檢查入侵防御系統(tǒng)(IPS)可根據(jù)已知攻擊對操作系統(tǒng)與漏失部署補丁的軟件進行檢查，但卻不能有效的識別與阻止應(yīng)用程序的濫用，更不用說對于應(yīng)用程序中的具體特性的保護了。

Gartner將網(wǎng)絡(luò)防火墻定義為在線安全控制措施，即:可實時在各受信級網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略。Gartner使用"下一代防火墻"這一術(shù)語來說明升級防火墻的必要性，以應(yīng)對業(yè)務(wù)程序使用IT的方法以及針對業(yè)務(wù)系統(tǒng)所發(fā)起的攻擊方法所發(fā)生的改變。

下一代防火墻需具有下列最低屬性:

·支持在線BITW(線纜中的塊)配置，同時不會干擾網(wǎng)絡(luò)運行。

·可作為網(wǎng)絡(luò)流量檢測與網(wǎng)絡(luò)安全策略執(zhí)行的平臺，并具有下列最低特性:

1)標準的第一代防火墻功能:具有數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、協(xié)議狀態(tài)檢查以及VPN功能等。

2)集成式而非托管式網(wǎng)絡(luò)入侵防御:支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協(xié)作所獲得的性能要遠高于部件的疊加，如:提供推薦防火墻規(guī)則，以阻止持續(xù)某一載入IPS及有害流量的地址。這就證明，在下一代防火墻中，互相關(guān)聯(lián)作用的是防火墻而非由操作人員在控制臺制定與執(zhí)行各種解決方案。高質(zhì)量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起，如:根據(jù)針對注入惡意軟件網(wǎng)站的IPS檢測向防火墻提供推薦阻止的地址。

3)業(yè)務(wù)識別與全?？梢曅?采用非端口與協(xié)議vs僅端口、協(xié)議與服務(wù)的方式，識別應(yīng)用程序并在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略。范例中包括允許使用Skype但禁用Skype內(nèi)部共享或一直阻止GoToMyPC。

4)超級智能的防火墻: 可收集防火墻外的各類信息，用于改進阻止決策，或作為優(yōu)化阻止規(guī)則的基礎(chǔ)。范例中還包括利用目錄集成來強化根據(jù)用戶身份實施的阻止或根據(jù)地址編制黑名單與白名單。

·支持新信息流與新技術(shù)的集成路徑升級，以應(yīng)對未來出現(xiàn)的各種威脅。

一體化引擎數(shù)據(jù)包處理流程大致分為以下幾個階段:

數(shù)據(jù)包入站處理階段

入站主要完成數(shù)據(jù)包的接收及L2-L4層的數(shù)據(jù)包解析過程，并且根據(jù)解析結(jié)果決定是否需要進入防火墻安全策略處理流程，否則該數(shù)據(jù)包就會被丟棄。在這個過程中還會判斷是否經(jīng)過VPN數(shù)據(jù)加密，如果是，則會先進行解密后再做進一步解析。

主引擎處理階段

主引擎處理大致會經(jīng)歷三個過程:防火墻策略匹配及創(chuàng)建會話、應(yīng)用識別、內(nèi)容檢測。

創(chuàng)建會話信息

當數(shù)據(jù)包進入主引擎后，首先會進行會話查找，看是否存在該數(shù)據(jù)包相關(guān)的會話。如果存在，則會依據(jù)已經(jīng)設(shè)定的防火墻策略進行匹配和對應(yīng)。否則就需要創(chuàng)建會話。具體步驟簡述為:進行轉(zhuǎn)發(fā)相關(guān)的信息查找;而后進行NAT相關(guān)的策略信息查找;最后進行防火墻的策略查找，檢查策略是否允許。如果允許則按照之前的策略信息建立對應(yīng)的會話，如果不允許則丟棄該數(shù)據(jù)包。

應(yīng)用識別

數(shù)據(jù)包進行完初始的防火墻安全策略匹配并創(chuàng)建對應(yīng)會話信息后，會進行應(yīng)用識別檢測和處理，如果該應(yīng)用為已經(jīng)可識別的應(yīng)用，則對此應(yīng)用進行識別和標記并直接進入下一個處理流程。如果該應(yīng)用為未識別應(yīng)用，則需要進行應(yīng)用識別子流程，對應(yīng)用進行特征匹配，協(xié)議解碼，行為分析等處理從而標記該應(yīng)用。應(yīng)用標記完成后，會查找對應(yīng)的應(yīng)用安全策略，如果策略允許則準備下一階段流程;如果策略不允許，則直接丟棄。

內(nèi)容檢測

主引擎工作的最后一個流程為內(nèi)容檢測流程，主要是需要對數(shù)據(jù)包進行深層次的協(xié)議解碼、內(nèi)容解析、模式匹配等操作，實現(xiàn)對數(shù)據(jù)包內(nèi)容的完全解析;然后通過查找相對應(yīng)的內(nèi)容安全策略進行匹配，最后依據(jù)安全策略執(zhí)行諸如:丟棄、報警、記錄日志等動作。

數(shù)據(jù)包出站處理階段

當數(shù)據(jù)包經(jīng)過內(nèi)容檢測模塊后，會進入出站處理流程。首先系統(tǒng)會路由等信息查找，然后執(zhí)行QOS，IP數(shù)據(jù)包分片的操作，如果該數(shù)據(jù)走VPN通道的話，還需要通過VPN加密，最后進行數(shù)據(jù)轉(zhuǎn)發(fā)。

與統(tǒng)一策略的關(guān)系

統(tǒng)一策略實際上是通過同一套安全策略將處于不同層級的安全模塊有效地整合在一起，在策略匹配順序及層次上實現(xiàn)系統(tǒng)智能匹配，其主要的目的是為了提供更好的可用性。舉個例子:有些產(chǎn)品HTTP的檢測，URL過濾是通過代理模塊做的，而其他協(xié)議的入侵檢測是用另外的引擎。 用戶必須明白這些模塊間的依賴關(guān)系，分別做出正確的購置才能達到需要的功能，而統(tǒng)一策略可以有效的解決上述問題。

下一代防火墻的執(zhí)行范例包括阻止與針對細粒度網(wǎng)絡(luò)安全策略違規(guī)情況發(fā)出警報，如:使用Web郵件、anonymizer、端到端或計算機遠程控制等。僅僅根據(jù)目的地IP地址阻止對此類服務(wù)的已知源訪問再也無法達到安全要求。細粒度策略會要求僅阻止發(fā)向其它允許目的地的部分類型的應(yīng)用通訊，并利用重新導向功能根據(jù)明確的黑名單規(guī)則使其無法實現(xiàn)該通訊。這就意味著，即使有些應(yīng)用程序設(shè)計可避開檢測或采用SSL加密，下一代防火墻依然可識別并阻止此類程序。而業(yè)務(wù)識別的另外一項優(yōu)點還包括帶寬控制，例:因為拒絕了無用或不允許進入的端到端流量，從而大幅降低了帶寬的耗用。

僅有不到1%的互聯(lián)網(wǎng)連接采用了下一代防火墻保護。但是隨著下一代網(wǎng)絡(luò)的來臨，下一代防火墻的應(yīng)用已然是不可抗拒的趨勢，有理由相信到2014年年末使用這一產(chǎn)品進行保護的比例將上升至35%，同時，其中將有60%都為重新購買下一代防火墻。

大型企業(yè)都將隨著正常的防火墻與IPS更新循環(huán)的到來逐漸采用下一代防火墻代替其現(xiàn)有的防火墻，或因帶寬需求的增高或遭受了攻擊而進行防火墻升級。許多防火墻與IPS供應(yīng)商都已升級了其產(chǎn)品，以提供業(yè)務(wù)識別與部分下一代防火墻特性，且有許多新興公司都十分關(guān)注下一代防火墻功能。Gartner的研究報告說明，認為隨著威脅情況的變化以及業(yè)務(wù)與IT程序的改變都促使網(wǎng)絡(luò)安全經(jīng)理在其下一輪防火墻/IPS更新循環(huán)中尋求具有下一代防火墻功能的產(chǎn)品。而下一代防火墻的供應(yīng)商們成功占有市場的關(guān)鍵則在于需要證明第一代防火墻與IPS特性既可與當前的第一代功能相匹配，又能同時兼具下一代防火墻功能，或具有一定價格優(yōu)勢。

復雜環(huán)境下網(wǎng)絡(luò)安全管理的窘境

隨著網(wǎng)絡(luò)安全需求不斷深入，大量政府、金融、大企業(yè)等用戶將網(wǎng)絡(luò)劃分了更為細致的安全區(qū)域，并在各安全區(qū)域的邊界處部署下一代防火墻設(shè)備。對于所有的網(wǎng)絡(luò)管理者來說，安全設(shè)備數(shù)量的不斷激增無疑增加了管理上的成本，甚至成為日常安全運維工作的負擔，對網(wǎng)絡(luò)安全管理起著消極的反作用。對于大型網(wǎng)絡(luò)而言，網(wǎng)絡(luò)管理者往往需要在每一臺安全設(shè)備上逐一部署安全策略、安全防護規(guī)則等，并且在日常的維護中，還要逐一的對設(shè)備進行升級等操作，類似重復的工作將耗費大量的時間，同時大量人工操作勢必將帶來誤配置的風險。

對于高風險、大流量、多業(yè)務(wù)的復雜網(wǎng)絡(luò)環(huán)境而言，全網(wǎng)部署的下一代防火墻設(shè)備工作在不同的安全區(qū)域，各自為戰(zhàn)，為了進行有效的安全管理，管理者往往要單獨監(jiān)控每一臺設(shè)備的運行狀態(tài)、流量情況以及威脅狀況等，對于絕大多數(shù)人力資源并不充裕的信息部門，這無疑又是一項效率低、難度大的工作，監(jiān)控到的信息往往由于實時性差，易疏漏等問題，對全網(wǎng)安全性的提升并無促進作用。

安全管理應(yīng)面向風險而非單純的安全事件響應(yīng)，網(wǎng)絡(luò)安全同樣遵循這樣的方向和趨勢，而如何及時預(yù)見風險，以及在安全事件發(fā)生后如何快速溯源并采取響應(yīng)措施，是擺在每一位網(wǎng)絡(luò)管理者面前的難題。專家認為，基于大數(shù)據(jù)挖掘技術(shù)無疑可以幫助管理者更加快速的發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，進而盡早的確認威脅并采取干預(yù)措施，實現(xiàn)主動防御。而此方案實現(xiàn)的前提，則需具備對數(shù)據(jù)的收集集中能力以及智能分析能力。

為什么要識別應(yīng)用

隨著以WEB2.0為代表的社區(qū)化網(wǎng)絡(luò)時代的到來，互聯(lián)網(wǎng)進入了以論壇、博客、社交、視頻、P2P分享等應(yīng)用為代表的下一代互聯(lián)網(wǎng)時代，用戶不再是單向的信息接受者，更是以WEB應(yīng)用為媒介的內(nèi)容發(fā)布者和參與者，在這種趨勢下，越來越多的應(yīng)用呈現(xiàn)出WEB化，據(jù)調(diào)查顯示超過90%的網(wǎng)絡(luò)應(yīng)用運行于HTTP協(xié)議的80和443端口，大量應(yīng)用可以進行端口復用和IP地址修改。

然而，由于傳統(tǒng)的防火墻的基本原理是根據(jù)IP地址/端口號或協(xié)議標識符識別和分類網(wǎng)絡(luò)流量，并執(zhí)行相關(guān)的策略。所以對于WEB2.0應(yīng)用來說，傳統(tǒng)防火墻看到的所有基于瀏覽器的應(yīng)用程序的網(wǎng)絡(luò)流量是完全一樣的，無法區(qū)分各種應(yīng)用程序，更無法實施策略來區(qū)分哪些是不當?shù)?、不需要的或不適當?shù)某绦?，或者允許這些應(yīng)用程序。如果通過這些端口屏蔽相關(guān)的流量或者協(xié)議，會導致阻止所有基于web的流量，其中包括合法商業(yè)用途的內(nèi)容和服務(wù)。即便是對授權(quán)通過的流量也會因為不能細粒度的準確分辨應(yīng)用，而使針對應(yīng)用的入侵攻擊或病毒傳播趁虛而入，使用戶私有網(wǎng)絡(luò)完全暴露于廣域網(wǎng)威脅攻擊之中。

綜上所述，在新一代網(wǎng)絡(luò)技術(shù)發(fā)展和新型應(yīng)用威脅不斷涌現(xiàn)的現(xiàn)有環(huán)境下，對網(wǎng)絡(luò)流量進行全面、智能、多維的應(yīng)用識別需求已迫在眉睫，也必將成為下一代防火墻所必須具備的基本和核心理念之一。

全面、多維的識別應(yīng)用

每一種網(wǎng)絡(luò)應(yīng)用都應(yīng)具備多方面的屬性和特質(zhì)，比如商業(yè)屬性、風險屬性、資源屬性、技術(shù)屬性等等，只有從各個角度多維、立體的去識別一個應(yīng)用才會更加全面和準確。舉例來說，從商業(yè)屬性來講，可以是ERP/CRM類、數(shù)據(jù)庫類、辦公自動化類或系統(tǒng)升級類應(yīng)用;從風險屬性來講，可以是1至5級不等的風險級別分類，風險級別越高的應(yīng)用(如QQ/MSN文件傳輸?shù)?其可能帶來的惡意軟件入侵、資產(chǎn)泄密的可能性就越高;從資源屬性來講，可以是容易消耗帶寬類、容易誤操作類或易規(guī)避類的應(yīng)用等;而從技術(shù)屬性來講，又可以是P2P類、客戶端/服務(wù)器類或是基于瀏覽器類的應(yīng)用等。

對應(yīng)用的多維、立體識別不僅是下一代防火墻做到全面、準確識別應(yīng)用的必須要求，更是輔助用戶管理應(yīng)用、制定應(yīng)用相關(guān)的控制和安全策略的關(guān)鍵手段，從而將用戶從晦澀難懂的技術(shù)語言抽離出來，轉(zhuǎn)而采用用戶更關(guān)心和可以理解的語言去分類和解釋應(yīng)用，方便其做出正確的控制和攻防決斷。下一代防火墻必須也應(yīng)該要做到這一點，一種重要的實現(xiàn)手段就是---應(yīng)用過濾器。

應(yīng)用過濾器的關(guān)鍵特點是提供給用戶一種工具，讓用戶通過易于理解的屬性語言去多維度的過濾和篩選應(yīng)用，經(jīng)過篩選過濾后得到的所有應(yīng)用形成一個應(yīng)用集，用戶可以對此應(yīng)用集針對性的進行統(tǒng)一的訪問控制或安全管理。舉例來說，作為邊界安全設(shè)備，用戶希望在允許內(nèi)網(wǎng)用戶與外網(wǎng)進行必要的郵件、IM即時通信、網(wǎng)絡(luò)會議通信的同時，能夠?qū)ζ渲械闹?、高級風險類應(yīng)用進行安全掃描和防護，保證通信安全，杜絕威脅入侵。要做到這點用戶只要通過應(yīng)用過濾器，在商業(yè)屬性維度給出選擇，這里選擇協(xié)作類應(yīng)用(包括郵件、IM通信、網(wǎng)絡(luò)會議、社交網(wǎng)絡(luò)、論壇貼吧等應(yīng)用)，再在風險屬性維度給出選擇，這里可選擇3級以上風險等級，應(yīng)用過濾器會根據(jù)選擇過濾、篩選出符合維度要求的所有應(yīng)用(這里包括雅虎mail、QQ郵箱、MSN聊天、WebEx會議、人人網(wǎng)論壇等幾十個應(yīng)用)，并以分類頁表的形式呈現(xiàn)給用戶，用戶還可以通過點擊應(yīng)用名稱查看每個應(yīng)用的詳細描述信息。接下來在一體化安全策略中，用戶在指定好IP、安全區(qū)、時間、用戶等基本控制條件，以及指定好IPS、防病毒、URL過濾、內(nèi)容過濾等安全掃描條件后，只要選定剛才的應(yīng)用過濾器，即可對所有內(nèi)外網(wǎng)協(xié)作且高風險類應(yīng)用進行全天24小時的安全掃描和防護，當發(fā)現(xiàn)攻擊威脅時及時阻斷并審計記錄，保障用戶的應(yīng)用安全無憂。

識別未知應(yīng)用

社區(qū)化網(wǎng)絡(luò)的發(fā)展，縮短了世界各地用戶經(jīng)驗交流和合作的時間與空間，應(yīng)用數(shù)量和種類及相關(guān)的網(wǎng)絡(luò)威脅都在日新月異的增長和發(fā)展著。面對來自世界各地、隨時隨地涌現(xiàn)的新類型、新應(yīng)用，任何一個安全廠商或機構(gòu)都無法第一時間毫無遺漏的全部涵蓋和一網(wǎng)打盡，下一代防火墻必須提供一種機制，去第一時間識別和控制應(yīng)用，保障用戶網(wǎng)絡(luò)每一秒都不會暴露在網(wǎng)絡(luò)威脅之下。這就要求其必須要具備應(yīng)用自定義的能力。

所謂應(yīng)用自定義，就是以動態(tài)的方式允許用戶對某種/某些非通用化、用戶私有的無法識別的應(yīng)用進行特征化的描述，系統(tǒng)學習并記憶這種描述，并在之后的網(wǎng)絡(luò)通信中去智能的分析和匹配此種特征，從而將其識別出來，實現(xiàn)將應(yīng)用由未知轉(zhuǎn)化為已知。這種機制免去了傳統(tǒng)以往為增加應(yīng)用而重做的軟件引擎、識別庫版本開發(fā)、定制、上線、升級等大量工作，節(jié)省了大量寶貴時間，第一時間保障用戶網(wǎng)絡(luò)安全。

下一代防火墻的應(yīng)用自定義應(yīng)該包括維度歸類和特征碼指定兩部分。維度歸類將自定義出的應(yīng)用如同其它已有應(yīng)用一樣從多維度進行分類劃分，如該應(yīng)用屬于哪種商業(yè)類型、何種資源屬性、怎樣的風險級別等等，與應(yīng)用過濾器形成完美配合。同時通過特征碼，指定出應(yīng)用在包長度、服務(wù)端口、連接方式、甚至于特征字符串/數(shù)字串等等方面的數(shù)據(jù)特征，多種方式靈活組合，并可依需要無限度擴展，涵蓋了學習、辨識一個新應(yīng)用的所有特征因素，從而第一時間讓所有已有的或未來將有的未知應(yīng)用無處遁形，完全掌握于控制之中。

全國人大代表、中國電子科技集團公司總經(jīng)理熊群力向記者透露，我國自主開發(fā)的全新一代國產(chǎn)工業(yè)防火墻即將推出，將為國內(nèi)工業(yè)用戶提供工業(yè)控制信息安全"固、隔、監(jiān)"的防護體系。

據(jù)熊群力介紹，作為功能全面、安全性高的網(wǎng)絡(luò)安全系統(tǒng)，這套名為三零衛(wèi)士工業(yè)防火墻的新一代國產(chǎn)工業(yè)防火墻，采用國際上最先進的網(wǎng)絡(luò)安全技術(shù)，是針對工控網(wǎng)絡(luò)安全的具體應(yīng)用環(huán)境完全自主開發(fā)的安全產(chǎn)品。工控網(wǎng)絡(luò)安全涉及國家關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)如電力、軌道交通、石油、水務(wù)等的基礎(chǔ)網(wǎng)絡(luò)所面臨的安全問題，此前在2013年，中國電科已率先研制了兩款國內(nèi)首創(chuàng)、擁有完全自主知識產(chǎn)權(quán)、基于專用硬件的工業(yè)控制系統(tǒng)信息安全產(chǎn)品。

發(fā)展趨勢及需求

目前，國內(nèi)外的下一代防火墻的發(fā)展非常迅速，大部分安全廠商都發(fā)布了下一代防火墻產(chǎn)品，甚至包括一些在傳統(tǒng)防火墻領(lǐng)域里的絕對領(lǐng)導者都在推下一代防火墻。而作為下一代防火墻的首創(chuàng)者PaloAlto更是快速的在Gartner魔力四象限里成為了企業(yè)防火墻市場的領(lǐng)導者。但從國內(nèi)實際接受程度上看，下一代防火墻想替代傳統(tǒng)防火墻還需要進行較多的市場投入。黃海表示，"讓客戶認識到下一代防火墻是能夠給現(xiàn)有的安全管理帶來改變是需要時間和金錢的。尤其是，中國市場相對海外可能會更加保守，市場化的完善程度也稍差，這些原因會導致下一代防火墻所蘊含的新理念和新技術(shù)在推行方面遇到更多障礙和阻力。"

黃海繼續(xù)談到，目前，從企業(yè)用戶的需求來看，不斷增長的下一代防火墻需求，反應(yīng)出的是當前企業(yè)用戶對高性價比的基礎(chǔ)網(wǎng)絡(luò)安全功能的需求。隨著安全技術(shù)的進步和黑客文化的流行在不斷的演變，十年前說到基礎(chǔ)網(wǎng)絡(luò)安全功能，很多企業(yè)客戶想到的就是傳統(tǒng)防火墻，能夠劃分安全域，能進行訪問控制就行。但是近幾年應(yīng)用、僵尸網(wǎng)絡(luò)、蠕蟲、木馬、APT攻擊的泛濫都在不斷的給很多企業(yè)客戶敲響警鐘，企業(yè)必須部署IPS和內(nèi)容級安全設(shè)備來增加整個網(wǎng)絡(luò)系統(tǒng)的安全防護和管控能力。但專業(yè)的IPS設(shè)備與傳統(tǒng)防火墻設(shè)備相比可謂要價不菲，如果真的升級網(wǎng)絡(luò)安全系統(tǒng)的話，對企業(yè)來說，它的資金消耗是非常龐大的。所以這個時候就需要有性價比更為優(yōu)越的安全設(shè)備出現(xiàn)來解決企業(yè)客戶在資金和安全需求之間的矛盾關(guān)系。所以下一代防火墻這個時候出現(xiàn)。

即插即用式安裝

即插即用式配置可以使企業(yè)將設(shè)備的初始配置自動上傳到一臺管理服務(wù)器。遠程位置可以通過傳輸層安全(TLS)協(xié)議連接到這臺管理服務(wù)器。即插即用可以快捷地為不同地理位置的大型網(wǎng)絡(luò)實現(xiàn)快速部署和安裝，同時又可以減少到設(shè)備進行現(xiàn)場訪問和人工配置的麻煩。自動化還可以減少出錯風險。

高效且集中化的故障診斷工具

如果企業(yè)的防火墻具有高效且集中化的故障診斷工具，故障診斷就未必占用安全團隊的大量時間。這種工具應(yīng)當集成到防火墻中，而不應(yīng)當在以后進行修補。這種工具還應(yīng)當擁有企業(yè)從一個獨立的中央位置就可以控制的多種功能。理想的工具包括大量的遠程診斷功能和其它的診斷功能，以及集成化的通信捕捉工具、網(wǎng)絡(luò)取證分析、會話監(jiān)視和配置快照等。

快捷可靠的遠程更新

更新是高效的防火墻可以提供的更為輕松且高效的另一種功能?？旖菘煽康倪h程更新特性可以使技術(shù)人員在整個網(wǎng)絡(luò)上實施安全可控的軟件更新，并且占用最少的通信量。在一個中央位置管理這種任務(wù)可以降低操作成本，使設(shè)置時間僅占用幾十分鐘而不是幾個小時或幾天?？旖菘煽扛逻€可以降低操作風險，在更新新版本失效后，企業(yè)可利用其中的 "反轉(zhuǎn)"功能恢復到以前的版本。此外，企業(yè)能夠通過快捷可靠更新確定在非正常業(yè)務(wù)期間(或?qū)W(wǎng)絡(luò)影響最小的其它任何時間)進行操作的時間，從而實現(xiàn)接近100%的正常運行時間和可用性。

任務(wù)自動化

任務(wù)自動化并不僅僅為網(wǎng)絡(luò)防火墻的升級帶來很大好處。網(wǎng)絡(luò)防火墻還應(yīng)當允許管理員自動化任何重復性的占用大量資源和時間的任務(wù)，并可確定其時間。這種特性不但對于那些有可能影響到服務(wù)的任務(wù)來說很有益，而且對于日常報告等活動來說，也很有好處。在任務(wù)實現(xiàn)自動化并確定好其時間后，就不再需要什么人工勞動了，而管理員就可以在網(wǎng)絡(luò)負載與非關(guān)鍵操作之間實現(xiàn)平衡，從而確保高可用性。

要素共享和再利用

要素共享和再利用可以減少工作量和出錯的風險。通過高質(zhì)量的下一代防火墻，管理員不必每次在需要變更時為個別組件或客戶設(shè)置配置信息，而是可以重用相同的要素來管理多個客戶分組的服務(wù)變化。

策略驗證和分析工具

很多下一代防火墻配備了龐大的防火墻規(guī)則集，這會使故障診斷任務(wù)復雜化，并會帶來犧牲性能的不必要負擔。這些規(guī)則往往是重復的，有時甚至在轉(zhuǎn)換中丟失目標地址。用策略驗證和分析工具可以輕松地檢查和清除不用的或重復的規(guī)則，而不必犧牲安全性。清除冗余的規(guī)則可以提高系統(tǒng)性能，增加安全性，簡化網(wǎng)絡(luò)故障診斷的過程，并可以從數(shù)據(jù)庫中清除不必要的數(shù)據(jù)。

基于角色的管理訪問控制

并非所有管理員都應(yīng)當享有訪問安全組件的同樣訪問權(quán)?；诮巧脑L問控制可以允許用戶根據(jù)每個管理員的職責定義多種管理訪問的權(quán)利。企業(yè)應(yīng)當能夠為每個管理員定義一個或多個角色，并限制每個角色適用的組件。防火墻的細節(jié)控制選項應(yīng)當包括對每個要素和要素類型所涉及的管理員特權(quán)進行嚴格的、高度精細的控制，并可以控制讀寫操作的等級。

URL過濾。一些防火墻可以執(zhí)行基于URL的內(nèi)容過濾以及站點信譽分析。盡管不如單獨的內(nèi)容過濾產(chǎn)品(比如來自Websense、BlueCoat或其他廠商的產(chǎn)品)那樣強大、特征明顯，但URL過濾能將應(yīng)用及流量分析方面的功能添加至已經(jīng)運行的入侵檢測過程中。

SSL終止和檢驗。攻擊者非常聰明，他們制作惡意軟件和攻擊套件，使用像SSL之類的加密通道來運送敏感數(shù)據(jù)和機器命令。一些組織可能會認為這應(yīng)該是下一代防火墻的一項必備功能，不過很多企業(yè)還沒有準備好對SSL進行監(jiān)管或者因為某些與隱私相關(guān)的原因無法做到。

惡意軟件虛擬沙盒。一些更新的下一代防火墻產(chǎn)品已經(jīng)開始將惡意軟件沙盒和分析集成在產(chǎn)品中，這將有益于檢測出更為高級的惡意軟件感染。

此外，也可以將易于使用和部署、與現(xiàn)有環(huán)境中的工具和技術(shù)集成以及可以默認設(shè)備的用戶登錄等特性考慮在內(nèi)。

如果大部分數(shù)據(jù)都存儲在私有數(shù)據(jù)中心，那么使用下一代防火墻(NGFW)和網(wǎng)絡(luò)訪問控制(NAC)的邊界安全性就是一種重要的數(shù)據(jù)保護措施。防火墻將防止企業(yè)網(wǎng)絡(luò)之外的用戶接觸到數(shù)據(jù)，而NAC則負責保證用戶與設(shè)備有正確的數(shù)據(jù)訪問權(quán)限。

另一方面，如果數(shù)據(jù)目前或?qū)泶鎯υ谠浦?，那么整體架構(gòu)安全性則應(yīng)該重要關(guān)注于兼容云平臺的安全工具。例如，許多NGFW都支持用虛擬防火墻來兼容云平臺。類似地，網(wǎng)絡(luò)安全措施還應(yīng)該注重使用安全的Web網(wǎng)關(guān)(SWG)和惡意軟件沙箱來防止網(wǎng)絡(luò)之間發(fā)生數(shù)據(jù)丟失。此外，這些工具能限制可能滋生惡意軟件的數(shù)據(jù)在企業(yè)網(wǎng)絡(luò)、各種云服務(wù)提供商及互聯(lián)網(wǎng)之間傳輸。許多SWG和惡意軟件沙箱都提供了云服務(wù)，因此它們更適合那些將數(shù)據(jù)存儲在云中的企業(yè)。

通過軟、硬件一體的安全管理中心(Security Management Center，簡稱SMC)，可同時管理2000臺下一代防火墻。SMC集設(shè)備集中管理、全網(wǎng)狀態(tài)監(jiān)控以及全局威脅分析等功能于一體，可幫助已經(jīng)部署了多臺網(wǎng)康下一代防火墻的用戶更好的降低管理成本、掌控全網(wǎng)狀態(tài)，并且在全網(wǎng)大數(shù)據(jù)挖掘的基礎(chǔ)上實現(xiàn)強大的威脅預(yù)警和分析能力。

1、配置下發(fā)方便安全，大幅降低管理成本:網(wǎng)絡(luò)管理者可首先在SMC提供的WebUI中預(yù)設(shè)需實施的安全策略、防護規(guī)則、VPN隧道等配置，然后通過 SMC將配置一次性下發(fā)至全網(wǎng)(或部分)下一代防火墻設(shè)備中，實現(xiàn)全網(wǎng)設(shè)備的集中配置。同時，對于系統(tǒng)軟件、應(yīng)用識別庫、威脅特征庫、URL分類庫等的更新，同樣可通過SMC集中推送的方式，智能完成全網(wǎng)設(shè)備的批量升級。

2、設(shè)備狀態(tài)盡收眼底，輕松掌控全網(wǎng)狀態(tài):網(wǎng)康SMC提供的WebUI類似于下一代防火墻產(chǎn)品的可視化界面，操作、管理易上手，綜合全網(wǎng)所有設(shè)備提供的數(shù)據(jù)，以全局角度對數(shù)據(jù)進行統(tǒng)計和呈現(xiàn)，便于管理者直觀掌握全網(wǎng)狀態(tài)。同時可在SMC提供的"監(jiān)控中心"中選擇某一臺(或一組)下一代防火墻設(shè)備，深入了解該設(shè)備的運行狀態(tài)。

3、應(yīng)用威脅全網(wǎng)可視，智能預(yù)警未知風險:在全網(wǎng)數(shù)據(jù)收集的基礎(chǔ)上，SMC可在某時間軸上智能挖掘全網(wǎng)范圍內(nèi)的流量變化趨勢，進而確認異常行為，主動預(yù)警威脅。當安全事件發(fā)生后，SMC以某一連接為維度，按照時間先后智能關(guān)聯(lián)與該連接相關(guān)的所有安全事件，可快速呈現(xiàn)攻擊過程和威脅全貌 。

在應(yīng)用識別和內(nèi)容控制領(lǐng)域近十年的技術(shù)積累過程中，實現(xiàn)了對近3000種網(wǎng)絡(luò)應(yīng)用的識別，其中包含了300多種高風險應(yīng)用，從各種維度對不同應(yīng)用做出評價。

支持基于IP/MAC、計算機名、POP3、Proxy、LDAP、AD域、Radius、Portal進行認證，同時支持和多種認證系統(tǒng)聯(lián)動，實現(xiàn)單點認證。

擁有國內(nèi)最大的、包含3000萬中文網(wǎng)頁的URL庫，每日更新，即時發(fā)現(xiàn)惡意網(wǎng)站。

基于行為分析感知僵尸主機，通過多維度的數(shù)據(jù)分析和多種類型日志的智能關(guān)聯(lián)集成，實現(xiàn)應(yīng)用威脅的可視化，便于用戶提早發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的威脅，并主動調(diào)整安全策略。

采用獨有專利技術(shù)的多核加速轉(zhuǎn)發(fā)引擎，充分發(fā)揮硬件優(yōu)勢，實現(xiàn)高性能的應(yīng)用安全防護。

支持超過700種移動互聯(lián)網(wǎng)應(yīng)用，覆蓋蘋果、安卓、塞班等多種移動平臺，涵蓋聊天、微博、視頻、地圖等多種主流應(yīng)用類型。