rss 推荐阅读 wap

52科技网_互联网科技资讯免费分享网站

热门关键词:  xxx  as  test  www.tcwdyb.com  人工智能与法
首页 科技 云计算 软件 物联网 硬件 通信 智能 数码 大数据 资讯

下一代防火墙是什么 下一代防火墙产物有哪些

发布时间:2019-10-09 已有: 人阅读

  下一代防火墙,即Next Generation Firewall,简称NG Firewall,是一款能够全面应对使用层的高机能防火墙。通过深切洞察收集流量中的用户、使用和内容,并借帮全新的高机能单径异构并行处置引擎,NGFW可以或许为用户供给无效的使用层一体化平安防护,帮帮用户平安地开展营业并简化用户的收集平安架构。

  正在收集平安的现实使用中通过平安防护系统保障收集平安,平安防备系统具体实施的第一项内容就是正在内部网和外部网之间建立一道防地,以抵御来自外部的绝大大都,完成这项使命的收集边防产物我们称其为防火墙。保守防火墙能够分为四品种型,别离为包过滤、使用级网关、代办署理办事器和形态检测。

  做为鸿沟收集平安的第一道防火墙履历了包过滤手艺、代办署理手艺和形态手艺的手艺,通过ACL拜候节制策略、NAT地址转换策略以及抗收集策略,无效的阻断了一切未被明白答应的包通过,了收集的平安,过滤不平安办事、用户和节制对特殊坐点的拜候。

  形态检测防火墙是上一代防火墙使用最普遍的产物,可是它们面临新一代的平安的感化越来越小。形态检测防火墙通过查抄数据包头,阐发和收集层(L3)和和谈层(L4),基于一套用户自定义的防火墙策略来答应、或转发收集流量。

  然而跟着收集的成长,黑客曾经研究出大量的方式来绕过防火墙策略。形态检测防火墙存正在着以下不脚之处:1、无法检测加密的Web流量;2、通俗使用法式加密后,也能等闲躲过防火墙的检测;3、对于Web 2.0使用法式防备能力不脚;4、使用防护特征只合用于简单环境;5、无法扩展深度检测功能。

  收集的新需求防火墙进行底子性的变化,因此催生出性的防火墙产物下一代防火墙。

  形态检测防火墙正在地址/端口的收集时代阐扬了庞大感化,合理分隔了平安域,无效的了外部。但对于利用僵收集等体例的,第一代防火墙根基上是看不到的。跟着面向办事的架构和Web 2.0利用的添加,更多的通信通过更少的端口(如HTTP和HTTPS)和利用更少的和谈传输,这意味着基于端口/和谈的政策曾经变得不克不及很好顺应和见效。

  Gartner正在2009年发布了一份名为《Defining the Next-Generation Firewall》,将下一代防火墙(NGFW)定义为正在分歧信赖级此外收集之间及时施行收集平安政策的联机节制。Gartner利用“下一代防火墙”这个术语来申明防火墙正在应对营业流程利用IT的体例和试图入侵营业系统的体例发生变化时应采纳的需要的演进。 按照Gartner的理论,NGFW 该当是一个高机能收集平安处置平台,至多该当具备以下几个属性:

  (2)集成的而非仅仅共处一个的收集入侵检测:支撑面向平安缝隙的特征码和面向的特征码。IPS取防火墙的互动结果该当大于这两部门结果的总和。集成具有高质量的IPS引擎和特征码;

  (3)应意图识和全栈可见性:识别使用和正在使用层上施行的端口和和谈,而不是按照纯端口、纯和谈和纯办事的收集平安政策;

  (4) 额外的防火墙智能:防火墙收集外来消息来做出更好的决定或成立优化的法则库。例子包罗操纵目次集成将行为取用户身份绑正在一路,或建登时址的口角名单。

  使用识别是防火墙将来成长的主要手艺标的目的,基于使用的不竭变化,也要求防御手艺必需有所提拔。

  下一代防火墙正在机能、平安性、易用性、可管等方面有了质的飞跃,满脚用户新的防御和办理需求。比拟保守防火墙和UTM(同一办理,Unified Threat Management),下一代防火墙取它们的次要区别正在于:

  1)保守防火墙局限于IP地址、接口层面的平安防护。从基于简单包过滤手艺防火墙到基于形态检测手艺的防火墙,沉点的防护还仅仅是逗留正在OSI模子的四层以内;

  2)UTM是正在“瘦防火墙”根本上成长而来的,集防火墙、IPS、VPN等平安功能于一体的集成平安网关,其不脚之处正在于处置机制烦琐,效率低下,内部平安模块间贫乏智能联系关系;

  3)下一代防火墙除了具备保守防火墙功能外,更关心针对使用层面的平安防护。及时性、精确性、高效性也成为下一代防火墙的次要特点。它会按照深度包检测引擎的检测成果,从动识别到该流量正在使用层施行的平安策略。流量节制需要更“精细化”的办理,不只仅可以或许对非常流量进行或答应动做,更可用来进行基于使用层的QoS节制,节制粒度更为详尽。

  下一代防火墙依托先辈的使用识别手艺,正在机能、平安性、易用性、可管等方面有了质的飞跃,下一代防火墙一般可识别跨越上千种使用法式,而非论使用法式利用何种端口、和谈、SSL、加密手艺或逃避策略,有以下几种使用识别体例:

  1)第一步基于和谈和端口的检测 (保守防火墙做法)。固定端口小于1024的和谈,其端口凡是是相对不变,能够按照端口快速识别使用。

  2)基于使用特征码的识别,深切读取IP包载荷内容中的OSI中的使用层消息,将解包后的使用消息取后台特征库进行比力来确定使用类型。

  3)基于流量特征的识别,分歧的使用类型表现正在会话毗连或数据流上的形态各有分歧,例如,基于P2P下载使用的流量模子特点为平均包长都正在450字节以上、下载时间长、毗连速度高、首选传输层和谈为TCP等;NGFW基于这一系列流量的行为特征,通过度析会话毗连流的包长、毗连速度、传输字节量、包取包之间的间隔等消息来辨别使用类型。

  通过取认证系统的完满集成,对使用法式利用者实现基于策略的可视化和节制功能。供给基于用户取用户组的拜候节制策略,使办理员可以或许基于各个用户和用户组来查看和节制使用利用环境。正在所有功能中均可获得用户消息,包罗使用节制策略的制定和建立、取证查询拜访和报表阐发。

  办理员亦可将用户消息编纂成Excel、TXT文件,将账户导入,实现快速的建立用户和分组消息。 支撑多种身份认证体例,帮帮组织办理员无效区分用户,成立组织身份认证系统,进而构成树形用户分组,映照组织行政布局,实现用户取资本的逐个对应。下一代防火墙支撑为未认证通过的用户分派受限的收集拜候权限,将通过Web认证的用户沉定向至显示指定网页,便利组织办理员发布通知。

  下一代防火墙能够将数据包还原的内容级别进行全面的检测,还能够针对黑客入侵过程中利用的分歧方式进行联系关系阐发,从而切确定位出一个黑客的行为,无效阻断风险的发生,帮帮用户最大程度削减风险短板的呈现,营业系统不变运转。通过内容识别手艺,下一代防火墙实现了病毒、间谍软件和缝隙,未经授权的文件和数据的传输,节制取工做无关的收集浏览等功能。

  保守防火墙的QoS流量办理策略是简单的基于数据包优先级的转发,当用户带宽流量过大、垃圾流量占领大量带宽,而这些流量来历于统一端口的分歧使用时,保守防火墙的QoS为力。

  下一代防火墙供给基于用户和使用的流量办理功能,可以或许基于使用做流量节制,实现阻断流量、无关流量焦点营业的可视化流量办理价值。起首,下一代防火墙将数据流按照各类前提进行分类(如IP地址,URL,文件类型,使用类型等分类),分类后的数据包被放置于各自的分队列中,每个分类都被分派了必然带宽值,不异的分类共享带宽,当一个分类上的带宽空闲时,能够分派给其他分类,此中带宽是通过每个分队列上数据包的发送速度来每个分类的带宽,提高了带宽的切确度。

  下一代防火墙能够基于分歧用户(组)、出口链、使用类型、网坐类型、文件类型、方针地址、时间段进行详尽的带宽划分取分派,精细智能的流量办理既防止带宽,提拔带宽利用效率。

  跟着社交收集、云计较、大数据等新热点的呈现,互联网迈向了汗青上从未有过的繁荣阶段,随之所面对的消息化平安问题日益复杂。面临屡见不鲜的使用层取未知,“下一代防火墙”应时而生。

  锐捷收集从市场现实需求出发,连系多年的手艺堆集取“下一代防火墙”的成长趋向,推出了RG-WALL 1600系列全新下一代防火墙。RG-WALL 1600系列全新下一代防火墙采用先辈的CPU+ASIC硬件芯片融合手艺,冲破X86架构对使用层数据检测的机能瓶颈。正在安万能力上,不只支撑NAT、ACL、DDoS防御等保守平安功能,同时,也支撑丰硕的使用级平安功能,包罗病毒查、入侵检测、APP检测、文件过滤、恶意URL过滤等。供给度的使用层取阐发,帮帮用户控制风险,精准预警。RG-WALL 1600系列全新下一代防火墙支撑取云平安核心的联动,供给了立体无效的未知防护方案。

  不只支撑NAT、ACL、DDoS防御等保守平安功能,也支撑丰硕的使用级平安功能,包罗病毒查、入侵检测、APP检测、文件过滤、恶意URL过滤等。

  采用CPU+ASIC融合硬件架构,CPU处置毗连的新建取等功能,多组ASIC芯片处置使用识别和平安查抄。

  正在使用层防护功能全数的环境下,CPU操纵率仍然连结一般范畴,不影响收集层平安的处能。

  对于潜正在的平安风险,起首可针对使用、用户、内容联系关系阐发,审计全网的事务日记。继而通过数据阐发处置,将事务日记分类、整合, 供给潜正在的预警。

  兼顾根本收集功能取平安防护功能,具备虚拟防火墙、策略由、WAN优化、负载平衡等组网能力,同时全面供给内容级平安防护, 包罗:DDoS防御、僵收集检测、病毒防护、入侵防护、数据泄露防护等。

  正在一个页面里即可完成全数功能的设置装备摆设,不只降低了平安运维工做量,同时避免因策略冲突带来的收集毛病。

  具备云平安核心联动能力,供给全面且无效的未知处理方案。当收集中呈现可疑文件时, 可将此文件上传至云平安核心的云沙箱运转。一旦文件呈现非常行为,历程正在沙箱内终止, 不会传染到收集中的任何从机取系统。帮帮企业可以或许绕过保守防御手段的取。

  互联网的成长带来了更为复杂、多样的平安需求,出口收集规模也由百兆、千兆升级到万兆。可大大都防火墙没有正在这场变化中带来令人期许的表示。目标日积月累,但现实结果相差甚远。究其缘由,现实收集中,64-256字节数据包最多,所以小包数据处置能力才是权衡防火墙产物机能的环节。RG-WALL 1600-X9850采用CPU+ASIC硬件架构,冲破了X86及mips架构的机能瓶颈,融合锐捷平安多年来的手艺堆集。机能轻松满脚10万人的出口需求。对于营业和接口,摒弃了复杂的模块化设想,全数集成于从机上,无需额外的硬件设置装备摆设即可享受高机能、多营业,丰硕接口。同时,固化硬件设置装备摆设、冗余电源、冗余电扇,实现99.999%的电信级靠得住性。

  2针对越来越繁杂的收集平安,完整供给包罗入侵防御、防病毒、使用识别、垃圾邮件过滤等高机能平安防护手段。

  硬件均采用高靠得住设想,供给电源冗余、电扇冗余,保障环节部门的靠得住性。冲破性的正在百G防火墙采用全固化不变设想。

首页 | 科技 | 云计算 | 软件 | 物联网 | 硬件 | 通信 | 智能 | 数码 | 大数据 |免责声明

2012-2028 52科技网(www.xmok520.cn)版权所有 Power by DedeCms

电脑版 | wap |