400-880-2622
次世代防火墙
要求一:具有应用程式流量识别能力,能够强化管理
传统的防火墙,是依照封包的来源、连接埠等网路层第三、第四层的资讯,进行封包过滤,像水闸门一样,减少网路被恶意程式攻击的可能性,但是次世代防火墙必须做到更多。
次世代防火墙(Next Generation Firewall,NGFW)要有能力看懂第七层应用层的流量,识别不同的应用程式流量,而且还要再更进一步,还能够识别使用者的身分、装置等资讯。也就是说,NGFW必须提供比传统防火墙更好的可视性,如此一来面对许多新型态的攻击,如僵尸网路等,才能有能力反应。
提供可视性,进而透过这样的深层封包检测能力去管理流量,是次世代防火墙和传统防火墙最大的不同。
要求二:软、硬体不被绑定,能弹性调配
有别于过去的防火墙产品,买了硬体,软体的功能就固定无法变动,NGFW将能够松动这一环羁绊。 NGFW为了更灵活的调配硬体资源,将会走向软体功能与硬体分开来运作的道路,这样一来,在扩充硬体时,就不会有过去受到局限的问题,购买的就单纯是硬体资源,而软体功能则直接做在原有设备上。
要求三:需有能力提供客制化的功能,对新的威胁快速反应
NGFW在提供客制化功能或过滤器等能力时,将会相对比较容易。
NGFW保留这样的能力是必需的,这将能有效的协助企业解决许多自己遭遇的独特状况,针对资安情况做出更快速的反应。
要求四:要能够支援云端架构变化的调整
随着虚拟化和云端的大趋势开始起跑,其实次世代防火墙也必须要有能力支援未来这样的新架构。这代表NGFW在硬体功能上必须要能够有些新的变化,比如说每秒用户连线能力、横向扩充能力、虚拟化架构的防护、硬体资源的分配等,都会是云端运算架构中需要面对的问题。
NGFW必须要有能力承受更高的每秒用户连线能力,而不光只是支援更高的同时在线人数。除此之外,虚拟化的防护,也会是NGFW需要面对的重点问题,如何让防火墙能够与虚拟层沟通,进而能够针对每一台虚拟机器的流量做扫描与阻挡,而不会将之视为单一的实体伺服器。
要求五:要能够与不同网路设备做到共同联防
谈到资安设备间的联防,很多人的直觉是想到类似NAC的架构,甚至在贩售产品的经销商,都有人有这种想法,然后因为NAC不容易实现,赚不了钱,所以避而不谈区域联防这种概念。不过事实上,这是以偏概全的想法,区域联防并不是这么一回事。
NAC只是资安设备联防的一种形式而已,而NGFW概念中的区域联防,则又是另一种形式的想法。我们甚至可以这么说,NGFW必须要具备与其他资安设备沟通的能力,这才是未来发展合理的走向。因为不可能所有的流量,都流经单台设备。
在这样的状况下,NGFW势必必须拥有与其他设备的联防的能力,举例来说,若能与其他设备,或自己设备中的网站过滤功能沟通,那么当使用者连结上到含有恶意连结的网站,或者是违反企业资安政策的网站时,NGFW就能扮演阻断流量的角色,把威胁的可能性在发生前就截断,防患于未然。
要求六:未来能整合更多强化的功能
前面的几个必备功能,我们比较着重在整体架构面的观察。而NGFW其实还有一个能力不能不提,那就是必需整合更多强化的功能。
过去UTM这样类型的资安设备,由于硬体技术的不足,当功能全开的时候,往往会有效能大幅降低的状况发生。不过随着硬体技术的发展,处理器现在运算能力甚至不会比不可程式化的ASIC差到哪里去,这也使得单一资安设备整合多功能的可行性越来越高。而NGFW也因此可以预见,未来一定能够整合更多传统防火墙所没有的功能。
我们拿安全训练与研究机构SANS(SysAdmin、Audit、Network、Security)协会,所定义的NGFW来看,就会发现NGFW除了该具备传统防火墙功能外,还必须要能提供包括基础DLP、NAC(Network Access Control)、IDP、防蠕虫、防中介软体、网站过滤、VPN、SSL Proxy、QoS等功能。
不但拥有更多功能,NGFW的功能也还要更为深入,例如NGFW的IDP功能,应该要能够透过不同技术辨识流量,如Header-based、Pattern matching、Protocol-based、Heuristic-based、Anomaly-based等。并且有能力提供客制化的过滤器。而在防蠕虫的功能上,则必须做到减轻试图直接瘫痪攻击的影响程度,以及不让蠕虫的扩散。并且要有能力针对电子邮件去设定阻挡政策。此外,还必须要拥有部份路由和交换等功能,QoS能力也应该要具备,并且要能够和辨识不同应用程式流量的功能结合,针对不同的流量做出不同管理。
传统的防火墙,是依照封包的来源、连接埠等网路层第三、第四层的资讯,进行封包过滤,像水闸门一样,减少网路被恶意程式攻击的可能性,但是次世代防火墙必须做到更多。
次世代防火墙(Next Generation Firewall,NGFW)要有能力看懂第七层应用层的流量,识别不同的应用程式流量,而且还要再更进一步,还能够识别使用者的身分、装置等资讯。也就是说,NGFW必须提供比传统防火墙更好的可视性,如此一来面对许多新型态的攻击,如僵尸网路等,才能有能力反应。
提供可视性,进而透过这样的深层封包检测能力去管理流量,是次世代防火墙和传统防火墙最大的不同。
要求二:软、硬体不被绑定,能弹性调配
有别于过去的防火墙产品,买了硬体,软体的功能就固定无法变动,NGFW将能够松动这一环羁绊。 NGFW为了更灵活的调配硬体资源,将会走向软体功能与硬体分开来运作的道路,这样一来,在扩充硬体时,就不会有过去受到局限的问题,购买的就单纯是硬体资源,而软体功能则直接做在原有设备上。
要求三:需有能力提供客制化的功能,对新的威胁快速反应
NGFW在提供客制化功能或过滤器等能力时,将会相对比较容易。
NGFW保留这样的能力是必需的,这将能有效的协助企业解决许多自己遭遇的独特状况,针对资安情况做出更快速的反应。
要求四:要能够支援云端架构变化的调整
随着虚拟化和云端的大趋势开始起跑,其实次世代防火墙也必须要有能力支援未来这样的新架构。这代表NGFW在硬体功能上必须要能够有些新的变化,比如说每秒用户连线能力、横向扩充能力、虚拟化架构的防护、硬体资源的分配等,都会是云端运算架构中需要面对的问题。
NGFW必须要有能力承受更高的每秒用户连线能力,而不光只是支援更高的同时在线人数。除此之外,虚拟化的防护,也会是NGFW需要面对的重点问题,如何让防火墙能够与虚拟层沟通,进而能够针对每一台虚拟机器的流量做扫描与阻挡,而不会将之视为单一的实体伺服器。
要求五:要能够与不同网路设备做到共同联防
谈到资安设备间的联防,很多人的直觉是想到类似NAC的架构,甚至在贩售产品的经销商,都有人有这种想法,然后因为NAC不容易实现,赚不了钱,所以避而不谈区域联防这种概念。不过事实上,这是以偏概全的想法,区域联防并不是这么一回事。
NAC只是资安设备联防的一种形式而已,而NGFW概念中的区域联防,则又是另一种形式的想法。我们甚至可以这么说,NGFW必须要具备与其他资安设备沟通的能力,这才是未来发展合理的走向。因为不可能所有的流量,都流经单台设备。
在这样的状况下,NGFW势必必须拥有与其他设备的联防的能力,举例来说,若能与其他设备,或自己设备中的网站过滤功能沟通,那么当使用者连结上到含有恶意连结的网站,或者是违反企业资安政策的网站时,NGFW就能扮演阻断流量的角色,把威胁的可能性在发生前就截断,防患于未然。
要求六:未来能整合更多强化的功能
前面的几个必备功能,我们比较着重在整体架构面的观察。而NGFW其实还有一个能力不能不提,那就是必需整合更多强化的功能。
过去UTM这样类型的资安设备,由于硬体技术的不足,当功能全开的时候,往往会有效能大幅降低的状况发生。不过随着硬体技术的发展,处理器现在运算能力甚至不会比不可程式化的ASIC差到哪里去,这也使得单一资安设备整合多功能的可行性越来越高。而NGFW也因此可以预见,未来一定能够整合更多传统防火墙所没有的功能。
我们拿安全训练与研究机构SANS(SysAdmin、Audit、Network、Security)协会,所定义的NGFW来看,就会发现NGFW除了该具备传统防火墙功能外,还必须要能提供包括基础DLP、NAC(Network Access Control)、IDP、防蠕虫、防中介软体、网站过滤、VPN、SSL Proxy、QoS等功能。
不但拥有更多功能,NGFW的功能也还要更为深入,例如NGFW的IDP功能,应该要能够透过不同技术辨识流量,如Header-based、Pattern matching、Protocol-based、Heuristic-based、Anomaly-based等。并且有能力提供客制化的过滤器。而在防蠕虫的功能上,则必须做到减轻试图直接瘫痪攻击的影响程度,以及不让蠕虫的扩散。并且要有能力针对电子邮件去设定阻挡政策。此外,还必须要拥有部份路由和交换等功能,QoS能力也应该要具备,并且要能够和辨识不同应用程式流量的功能结合,针对不同的流量做出不同管理。
