返回首页

网站导航
资讯首页> 网站公告 >产品资讯 > 详解下一代防火墙与传统防火墙的区别及下一代防火墙的功能

    详解下一代防火墙与传统防火墙的区别及下一代防火墙的功能

    产品资讯2018年07月27日
    分享

      下一代防火墙,即Next Generation Firewall,简称NG Firewall,是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。现在看来,“下一代”这似乎是个饱含炒作意味的词汇,但是它代表了多功能、高性能,也是对于传统设备软件和硬件技术的革新。顾名思义有“下一代”必然有上一代,也就是传统防火墙。那么,下一代防火墙与传统防火墙之间有什么区别呢?


      
      一、下一代防火墙与传统防火墙的区别
      
      根据Gartner的定义,最初下一代防火墙只是强调应用识别、深度集成IPS等基础能力,而之后一段时期则开始关注管理分析能力、性能、抗攻击逃逸能力的提升,最近及未来一段时间内,随着以威胁情报、大数据等为代表的前沿安全技术的成熟,则开始强调与这些外部智能系统、其他安全产品的联动协同。因此,相较于传统防火墙,NGFW会以全局视角解决用户网络面临的实际问题,不是简单的功能堆砌和性能叠加,而是真正的集成,贴切网络环境与用户需求。
      
      从Gartner对NGFW定义这张图看,“下一代防火墙”安全能力内涵和外延,早已远远超过二十多年前定义“防火墙”品类时所界定的范畴。下一代防火墙应该是边界防御领域一个新的产品品类。只是截至目前,尚未想到更好的概念名词去描述它。因此下一代防火墙绝对不是某些厂商宣传一样,约等于传统防火墙加上应用可视化这么简单。
      
      更何况,近年来一些厂商将越来越炫酷的UI界面或各类TOP 10排名灌之以深度可视化的名头,这是典型的将visualization理解成了visibility。可视化不是简单的将数据图形化呈现,不是日志信息的简单分类和归集,而是深度挖掘这些原始数据素材之后的内在关联,以全局视角帮助网络管理者看清各种威胁,看清攻击事件的全貌,帮助了解攻击者的真正意图和目标。
      
      二、下一代防火墙与UTM的区别
      
      说到下一代防火墙和UTM的差别,必须要澄清一个概念,“下一代防火墙” 并不是前些年市场上流行的“统一威胁管理(UTM)”。UTM诞生的时间更早,推向市场的背景是为了降低中小企业用户以及低预算用户的总体拥有成本,所以UTM在防火墙平台的基础上集成了尽可能多的安全功能,可能包括上网行为管理、入侵防御、Web攻击防护、病毒防护、垃圾邮件过滤、URL过滤等。在未来,UTM仍然会不断的集成更多新的安全功能,而这样的产品设计很难避免多功能堆砌的架构,这决定了UTM性能可预测性差、功能融合度低等技术特点。
      
      相比而言,下一代防火墙的定义中明确指出,它并不是仅面向中小企业的“多功能防火墙”,NGFW必须要适应大企业环境的要求。尽管NGFW也集成了IPS、AV等安全功能,但并不是以提升产品性价比为主要目的。这种集成不是功能模块和引擎的堆砌,而是一种深度的集成,将各种安全功能融入一个独立的架构中,而不是简单的将多个安全设备堆叠到一起,塞进叫防火墙的外壳里。这一切的主要目的,则是为了提升安全检测效率和安全防护水平。
      
      所以,NGFW不是像UTM那样简单的扩展功能模块,此外各安全模块也不像UTM那样各自为战,而是各安全模块间可开展有机联动,各模块产生的信息可实现全维度关联,使NGFW具备强大的模块间安全协同能力和威胁情报聚合能力。举个简单类比,UTM功能集合更像是简单的1+1=2甚至是1+1<2,而NGFW则是1+1>2。
      
      三、下一代防火墙的三大功能
      
      如今的市场上有不少厂商都宣称自己是下一代防火墙,如何选择一款真正下一代防火墙还是一个复杂工作。在企业在河姆渡电子商务平台上选购下一代防火墙的时候一定要了解防火墙的这三大功能。
      
      1、 应用识别的能力
      
      识别的广度和深度是应用识别最重要的指标,也是下一代防火墙区别于传统防火墙的重要特征。在应用识别广度方面,业界领先的NGFW产品应用识别数量基本在3000以上。类似网康等专注于应用领域技术的厂商,目前应用识别数量应该都在4000以上。除了识别数量足够广之外,识别深度也更为重要。例如,企业可能会仅允许QQ聊天,但禁止QQ游戏;对跑在HTTP上的应用,能够精准识别出该应用的具体用途;同时,能够从逃逸,带宽等多个维度去判断应用属性是否安全,比如限制P2P等流量耗费型且安全性不高的应用带宽。同时,应用识别的结果还将提高后期智能联动的防护效率,例如:SQL Server流量仅和SQL Server相关特定漏洞进行IPS防护,从而提升性能,降低误报率。
      
      2、功能与性能兼备
      
      下一代防火墙融合IPS的防护,同时各厂家根据各自的理解还集成了其他更多的功能,但是有的厂商集成过多功能,甚至是集成Web应用防火墙这样产品功能,严重导致NGFW性能下降,甚至出现死机现象。因此客户在选择产品时不能仅看到功能的全面性,却忽视了开启这些功能后的性能衰减。不然后期只能被迫禁用一些应用层防护的功能模块,导致下一代防火墙变成了传统防火墙或者UTM。业内权威机构认为,优秀的下一代防火墙产品开启IPS功能后整机性能下降不应超过50%。
      
      3、可视化(visibility)和智能分析能力
      
      随着网络快速发展,各式各样复杂威胁层出不穷,用户需要更加及时的掌握网络现状、风险、威胁、事件以及防御效果等用于支撑安全决策。这就需要下一代防火墙具备良好的可视化和智能分析能力,帮助用户看得清威胁,防得住攻击。因此,真正的“可视化智能管理”应该是在多维统计的基础上加以深入的分析,从应用和用户视角多层面的将网络应用的状态展现出来。同时,通过引入外部威胁情报,实现安全态势感知和风险预测功能,解决单机设备与生俱来的短板,以帮助用户更加快速的了解网络风险并及时部署防御措施。

    相关阅读