网络信息安全等级保护一站式服务网,助力企业快速通过等保备案!

您当前的位置:主页 > 相关产品 >

下一代防火墙的功能参数与优势特点介绍

2019-05-16 16:22 等级保护

下一代防火墙图片
 

  下一代防火墙简介

  随之互联网的迅速发展,传统防火墙对2-4层安全防护工作已没法合理防护来自应用层的网络威胁了,黑客早已探讨出很多的方式来绕开传统防火墙的策略。网络环境的新需要,迫使防火墙进行根本性的变革,创造出革命性的防火墙产品——下一代防火墙。

  下一代防火墙是Gartner在09年将下一代防火墙(NGFW)界定为在不同信任级別的互联网中间即时实行网络信息安全新政的联机控制。新一代防火墙在性能、安全性、易用性、可管理性和可见性等方面取得了飞跃,满足了用户的新防御和管理需求。

  下一代防火墙与传统防火墙相比,下一代防火墙将从全局角度解决用户网络面临的实际问题。它不是一个简单的功能堆栈和性能覆盖,而是一个真正适合网络环境和用户需求的集成。可视化不是简单的数据图形表示,也不是日志信息的简单分类和收集,而是对这些原始数据材料内在关联的深入挖掘,以帮助网络管理员从全局角度看到各种威胁,看到攻击事件的全貌,并帮助理解攻击者的真实意图和目标。

  下一代防火墙用途

  假如绝大多数数剧都储存在私有数据中心,那么应用下一代防火墙(NGFW)和互联网访问控制(NAC)的界限安全系数也是这种关键的数据保护对策。防火墙将阻止企业网络之外的用户访问数据,而NAC负责确保用户和设备拥有正确的数据访问权限。与此同时,如果数剧现阶段或未来储存在云中,那么总体构架安全系数则应当关键关心于适配云服务平台的安全工具。例如,许多ngfw在虚拟防火墙上支持与云平台的兼容性。类似的网络安全措施还应侧重于使用安全的网络网关和恶意软件沙箱来防止网络之间的数据丢失。此外,这些工具还限制了在企业网络、各种云服务提供商和互联网之间传输可能会发生恶意软件的数据的能力。许多SWG和恶意软件沙箱提供云服务,因此它们更适合在云中存储数据的企业。

  下一代防火墙的优势

  下一代防火墙作为边境安全保护的核心技术,在经历了无数次技术变革,它不再是传统的保防护概念。下一代防火墙之所以受到各行各业的追捧,主要是因为网络威胁的来源已经发生了很大的变化。过去,主要以电子邮件附件形式进行的攻击已经构不成威胁了。相反,它们来自数万个网络应用程序中的隐藏网络攻击。下一代防火墙能够让管理人员各自操纵监管与工作有关的互联网数据流,可以确保公司的互联网生产率维持一致,还要将全部安全和系统控制关键技术到SSL加锁数据流中,保证SSL数据流中沒有恶意代码。扫描每个端口上的文件不会限制文件大小,也不会影响扫描期间的数据安全性或网络效率。

  下一代防火墙优异特性

  URL过滤:一些防火墙可以执行基于URL的内容过滤和网站信誉分析。虽然它不如单独的内容过滤产品(例如来自Websense、BlueCoat或其他制造商的产品)强大,但网址过滤可以将应用程序和流量分析功能添加到已经运行的入侵检测过程中。

  SSL终止和检验:黑客制做恶意程序和攻击模块,使用像SSL这类的加锁通道来运输敏感数据和设备指令。一些组织可能认为这应该是下一代防火墙的一个必要特性,但是许多企业还没有准备好监管SSL,或者因为一些隐私相关的原因而无法做到。

  恶意软件虚拟沙盒:一些更新的下一代防火墙产品已经开始将恶意软件沙盒和分析集成到其产品中,这将有助于检测更高级的恶意软件感染。

  此外,还可以考虑诸如易用性和部署、与现有环境中的工具和技术的集成以及默认设备的用户登录等特性。

  属性

  下一代防火墙支持在线BITW(线缆中的块)配置,而不干扰网络操作。同时支持新信息流与新技术的集成路径升级,以对付未来出现的各种威胁。它可以用作网络流量检测与网络安全策略执行的平台,并具有下列最低特性:

  1)标准的第一代防火墙功能:包过滤、网络地址转换(NAT)、协议状态检查、虚拟专用网功能等。

  2)集成式而非托管式网络入侵防御:适用基于漏洞的签名与基于威胁的签名。IPS与防火墙间的共建所得到的性能要远高于部件的堆叠。

  3)工作识别与全栈可视性:采用非端口与协议vs仅端口、协议与服务的形式,识别应用程序并在应用层执行网络安全战略。示例中包含容许使用Skype但禁用Skype内部共享或一直阻拦GoToMyPC。

  4)超级智能的防火墙: 可收集防火墙外的各种类型数据,用于改进阻止决策,或作为优化阻止规则的基础。示例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。

  核心组成要素

  1)针对应用、用户、终端及内容的高精度管控

  访问控制一直是防火墙类产品的核心部分,对待应用火箭式发展、用户接入方式多样化、信息泄密问题突出等多重挑战,对应用、用户、终端和内容并对加密流量、隧道封装的数据进行识别,由目前的黑名单访问控制过渡至安全级别更高的白名单模式。

  2)一体化引擎多安全模块智能数据联动

  下一代防火墙采用“一体化引擎”架构,使其能够全面防范安全威胁,实现智能数据链接。除了提高自己的防御能力,它们还体现在另外两个方面。一方面,实现了数据的单路径匹配,数据包只需一次解码就能匹配所有威胁特征,有助于大大提高设备性能,使所有安全功能模块真正开启并发挥作用。另一方面,对于隐蔽性强的新威胁,对分散信息的一维分析不再有助于早期感知威胁。多个安全模块的集成使得每个安全模块在数据检测过程中产生的信息充分关联,彻底改变了对传统安全设备信息割裂的诟病,使用户无需人工挖掘和分析就能全面掌握威胁全景。

  3)外部的安全智能

  防火墙的本地计算性能和检测能力总是有限的,下一代防火墙具有联动外部安全智能系统的能力。下一代防火墙可以与外部云计算联动,并可以使用大数据分析技术来处理威胁特征库中没有的未知威胁。

  4)可视化智能管理

  下一代防火墙实现的可视化智能管理绝非传统的日志呈现和TOP 10排名。基于多维统计,对其进行了深入分析,并给出了结果。面对更复杂的威胁,用户需要更及时地掌握网络状态、风险、威胁、事件和防御效果,以支持安全决策,从而帮助用户更快地了解网络风险,及时部署防御措施。

  5)高性能处理架构

  下一代防火墙在整个安全硬件中仍然拥有最高的市场份额。深度包检查(DPI,用于应用程序识别和其他应用层安全功能)已被作为其体系结构中的基本组件。设备开机时将处于启动状态,所有安全功能打开后的性能,可以部署的场景和位置,以及是否可以为更多网络和系统提供保护。

        在等级保护2.0政策发布之后,我国增加相应规范的等级保护措施,在对网络信息安全的各环节加以整改测评,加强对政企单位内部系统层面的安全防护,下一代防火墙作为企业信息安全等级保护备案的重要信息安全设备也必不可少。等保通是信息安全技术设备提供商与信息安全等级保护服务商,通过强大资源与技术实力可实现有效一站式服务,从下一代防火墙设备租赁延展到等保定级备案服务,不仅为政企单位提供IT设备,还为不同客户提供一站式等级保护规划服务。等保通秉持着客户需求至上的理念火速为客户完成信息安全风险评估、信息安全风险审计、等保等级测评、系统安全整改、等保定级备案服务等高效完善的服务保障,并让客户节省数倍开支的同时在最短的时间内获批等保。

        

如有疑问,无须注册马上在线咨询 点击在线咨询

相关阅读

  • 入侵防御系统的功能介绍与性能特点

    简介 入侵防御系统英文Intrusion Prevention System,缩写IPS。入侵防御系统是电脑网络安全设施,是对防病毒软件和防火墙的补充,能够阻止蠕虫、病毒、木马、...

  • WAF技术原理、功能特点介绍

    WAF产品文章 简介 WAF= Web Application Firewall,中文名Web应用防火墙,代表了一类新兴的信息安全技术,可以用来拦截常见的网页漏洞攻击,如SQL注入,XML注入、...

  • 漏洞扫描功能参数与工作原理介绍

    简介 安全缝隙扫描技能是一类重要的网络安全技能。漏洞检测体系可对各类Web软件系统开展检测服务,检验的木马病毒总数超出 2000 种,分成 30多 个类别...

  • 容灾备份功能参数与优势特点介绍

    容灾备份 简介 容灾备份事实上是两个概念,容灾是为了在遭遇灾难时能确保信息系统能正常运转,协助公司保持业务连续性的目的,备份是为了解决灾难...

  • 堡垒机设备的功能参数与工作原理的介绍

    堡垒机简介 堡垒机能够确保互联网和数剧没受来源于外界和內部客户的侵入和毁坏,而应用各类方式方法即时搜集和监视器网络空间中每一个构成的体系情...

相关产品

  • 免费服务热线:

    周一至周日 8:00-22:00

    400-133-0633

  • 微信扫描

    即可开始对话

    等保通客服二维码
等保通让企业一次性低费用快速通过等级保护备案!
咨询热线:400-133-0633