下一代防火墙,即Next Generation Firewall,简称NG Firewall,是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。
为什么要发展下一代防火墙?
一、 传统防火墙无法适应新的网络威胁和挑战
在网络安全的实际应用中通过安全防护体系保障网络安全,安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线,以抵御来自外部的绝大多数攻击,完成这项任务的网络边防产品我们称其为防火墙。传统防火墙可以分为四种类型,分别为包过滤、应用级网关、代理服务器和状态检测。
作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略,有效的阻断了一切未被明确允许的包通过,保护了网络的安全,过滤不安全服务、阻止非法用户和控制对特殊站点的访问。
状态检测防火墙是上一代防火墙应用最广泛的产品,但是它们面对新一代的安全威胁的作用越来越小。状态检测防火墙通过检查数据包头,分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。
然而随着网络的发展,黑客已经研究出大量的方法来绕过防火墙策略。状态检测防火墙存在着以下不足之处:1、无法检测加密的Web流量;2、普通应用程序加密后,也能轻易躲过防火墙的检测;3、对于Web 2.0应用程序防范能力不足;4、应用防护特性只适用于简单情况;5、无法扩展深度检测功能。
网络环境的新需求迫使防火墙进行根本性的变革,因而催生出革命性的防火墙产品——下一代防火墙。
二、 下一代防火墙的到来和技术突破
1. 下一代防火墙的诞生
状态检测防火墙在地址/端口的网络时代发挥了巨大作用,合理分隔了安全域,有效的阻止了外部攻击。但对于使用僵尸网络等传播方式的威胁,第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加,更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不能很好适应和奏效。
Gartner在2009年发布了一份名为《Defining the Next-Generation Firewall》,将下一代防火墙(NGFW)定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。 根据Gartner的理论,NGFW 应该是一个高性能网络安全处理平台,至少应当具备以下几个属性:
(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等;
(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。集成具有高质量的IPS引擎和特征码;
(3)应用意识和全栈可见性:识别应用和在应用层上执行的独立端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策;
(4) 额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。
2. 下一代防火墙的革新
应用识别是防火墙未来发展的重要技术方向,基于应用的攻击不断变化,也要求防御技术必须有所提升。
下一代防火墙在性能、安全性、易用性、可管理性等方面有了质的飞跃,满足用户新的防御和管理需求。相比传统防火墙和UTM(统一威胁管理,Unified Threat Management),下一代防火墙与它们的主要区别在于:
1)传统防火墙局限于IP地址、接口层面的安全防护。从基于简单包过滤技术防火墙到基于状态检测技术的防火墙,重点的防护还仅仅是停留在OSI模型的四层以内;
2)UTM是在“瘦防火墙”基础上发展而来的,集防火墙、IPS、VPN等安全功能于一体的集成安全网关,其不足之处在于处理机制烦琐,效率低下,内部安全模块间缺少智能关联;
3)下一代防火墙除了具备传统防火墙功能外,更关注针对应用层面的安全防护。实时性、准确性、高效性也成为下一代防火墙的主要特点。它会根据深度包检测引擎的检测结果,自动识别到该流量在应用层执行的安全策略。流量控制需要更“精细化”的管理,不仅仅能够对异常攻击流量进行阻止或允许动作,更可用来进行基于应用层的QoS控制,控制粒度更为细致。
三、 下一代防火墙优势和价值
1. 应用识别与控制
下一代防火墙依托先进的应用识别技术,在性能、安全性、易用性、可管理性等方面有了质的飞跃,下一代防火墙一般可识别超过上千种应用程序,而不论应用程序使用何种端口、协议、SSL、加密技术或逃避策略,有以下几种应用识别方式:
1)第一步基于协议和端口的检测 (传统防火墙做法)。固定端口小于1024的协议,其端口通常是相对稳定,可以根据端口快速识别应用。
2)基于应用特征码的识别,深入读取IP包载荷内容中的OSI中的应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型。
3)基于流量特征的识别,不同的应用类型体现在会话连接或数据流上的状态各有不同,例如,基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等;NGFW基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。
2. 用户识别与控制
通过与认证系统的完美集成,对应用程序使用者实现基于策略的可视化和控制功能。提供基于用户与用户组的访问控制策略,使管理员能够基于各个用户和用户组来查看和控制应用使用情况。在所有功能中均可获得用户信息,包括应用控制策略的制定和创建、取证调查和报表分析。
管理员亦可将用户信息编辑成Excel、TXT文件,将账户导入,实现快捷的创建用户和分组信息。 支持多种身份认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应。下一代防火墙支持为未认证通过的用户分配受限的网络访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知。
3. 内容识别与管控
下一代防火墙可以将数据包还原的内容级别进行全面的威胁检测,还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客的攻击行为,有效阻断威胁风险的发生,帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。通过内容识别技术,下一代防火墙实现了阻止病毒、间谍软件和漏洞攻击,限制未经授权的文件和敏感数据的传输,控制与工作无关的网络浏览等功能。
4. 流量管理与控制
传统防火墙的QoS流量管理策略是简单的基于数据包优先级的转发,当用户带宽流量过大、垃圾流量占据大量带宽,而这些流量来源于同一合法端口的不同非法应用时,传统防火墙的QoS无能为力。
下一代防火墙提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。首先,下一代防火墙将数据流根据各种条件进行分类(如IP地址,URL,文件类型,应用类型等分类),分类后的数据包被放置于各自的分队列中,每个分类都被分配了一定带宽值,相同的分类共享带宽,当一个分类上的带宽空闲时,可以分配给其他分类,其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽,提高了带宽限制的精确度。
下一代防火墙可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,精细智能的流量管理既防止带宽滥用,提升带宽使用效率。
下一代防火墙有哪些产品呢?
RG-WALL 1600全新下一代防火墙
随着社交网络、云计算、大数据等新热点的出现,互联网迈向了历史上从未有过的繁荣阶段,随之所面临的信息化安全问题日益复杂。面对层出不穷的应用层威胁与未知威胁,“下一代防火墙”应时而生。
锐捷网络从市场实际需求出发,结合多年的技术积累与“下一代防火墙”的发展趋势,推出了RG-WALL 1600系列全新下一代防火墙。RG-WALL 1600系列全新下一代防火墙采用先进的CPU+ASIC硬件芯片融合技术,突破X86架构对应用层数据检测的性能瓶颈。在安全能力上,不仅支持NAT、ACL、DDoS防御等传统安全功能,同时,也支持丰富的应用级安全功能,包括病毒查杀、入侵检测、APP检测、文件过滤、恶意URL过滤等。提供多维度的应用层监控与分析,帮助用户掌握风险,精准预警。RG-WALL 1600系列全新下一代防火墙支持与云安全中心的联动,提供了立体有效的未知威胁防护方案。
全新下一代防火墙产品优势
采用先进的CPU+ASIC硬件芯片融合技术,突破X86架构对应用层数据检测的性能瓶颈。
不仅支持NAT、ACL、DDoS防御等传统安全功能,也支持丰富的应用级安全功能,包括病毒查杀、入侵检测、APP检测、文件过滤、恶意URL过滤等。
提供多维度的安全监控分析,帮助用户掌握风险,精准预警。
支持与云安全中心的联动,提供了立体有效的未知威胁防护方案。
下一代防火墙融合硬件架构,保障应用层安全高性能
采用CPU+ASIC融合硬件架构,CPU处理连接的新建与维护等功能,多组ASIC芯片处理应用识别和安全检查。
在应用层防护功能全部开启的情况下,CPU利用率依然保持正常范围,不影响网络层安全的处理性能。
强劲的融合架构,不仅提高了数据转发的效率,也保障了应用层安全防护的性能。
下一代防火墙全网可视化,掌握风险精准预警
可精准识别3000+互联网应用,2.5亿+URL地址。
对于潜在的安全风险,首先可针对应用、用户、内容关联分析,审计全网的事件日志。继而通过数据分析处理,将事件日志分类、整合, 提供潜在威胁的预警。
提供多维度的安全监控分析,帮助用户掌握风险,精准预警。
下一代防火墙丰富的多业务特性,简化部署减少投资
兼顾基础网络功能与安全防护功能,具备虚拟防火墙、策略路由、WAN优化、负载均衡等组网能力,同时全面提供内容级安全防护, 包括:DDoS防御、僵尸网络检测、病毒防护、入侵防护、数据泄露防护等。
在一个页面里即可完成全部功能的配置,不仅降低了安全运维工作量,同时避免因策略冲突带来的网络故障。
下一代防火墙云安全中心联动,有效应对未知威胁
具备云安全中心联动能力,提供全面且有效的未知威胁解决方案。当网络中出现可疑文件时, 可将此文件上传至云安全中心的云沙箱运行。一旦文件出现异常行为,进程在沙箱内终止, 不会感染到网络中的任何主机与系统。帮助企业能够绕过传统防御手段的威胁与攻击。
RG-WALL 1600-X9850全新下一代防火墙
互联网的发展带来了更为复杂、多样的安全需求,出口网络规模也由百兆、千兆升级到万兆。可大多数防火墙没有在这场变革中带来令人期许的表现。宣称指标与日俱增,但实际效果相差甚远。究其原因,实际网络环境中,64-256字节数据包最多,所以小包数据处理能力才是衡量防火墙产品性能的关键。RG-WALL 1600-X9850采用CPU+ASIC硬件架构,突破了X86及mips架构的性能瓶颈,融合锐捷安全多年来的技术积累。性能轻松满足10万人的出口需求。对于业务和接口,摒弃了复杂的模块化设计,全部集成于主机上,无需额外的硬件配置即可享受高性能、多业务,丰富接口。同时,固化硬件配置、冗余电源、冗余风扇,实现99.999%的电信级可靠性。
此下一代防火墙优势
小包性能衰减极小,100G的小包转发性能,并发高达5000万,轻松满足10万人出口需求。
2us超低延迟,超过100G的NAT转发的网络效率,提供更优秀的安全体验。
采用先进的CPU+ASIC硬件架构,确保功能全开后的CPU利用率。
此下一代防火墙整体设计,一次交付全体验
1摒弃分项采购设计,数据转发、安全防护、接口各种业务出厂默认自带,一次交付即可体验。
2针对越来越繁杂的网络安全威胁,完整提供包括入侵防御、防病毒、应用识别、垃圾邮件过滤等高性能安全防护手段。
3无需额外采购业务板,购买主机和授权即可享用全部功能与性能,极大简化了采购和部署要求。
此下一代防火墙实现电信级可靠性
硬件均采用高可靠设计,提供电源冗余、风扇冗余,保障关键部分的可靠性。突破性的在百G防火墙采用全固化稳定设计。
部署方式上可支持主/主或主/备模式的冗余部署方案,保证业务不中断。
稳定的设计,可实现电信级可靠性。
此下一代防火墙绿色节能,节约投资成本
主机形态为标准机架式3U设备,节省机房空间,降低设备产生的热量。最大功率仅为840W。