对于防火墙,大家并不陌生,它与防病毒、入侵检测系统一起被称为安全产品的"老三样",在安全防护的过程中,帮我们挡住了无数的攻击。然而,在应用日渐复杂、威胁愈演愈烈的今天,传统的防火墙能否依然坚固?呼声越来越高的"下一代防火墙"是否能够带给我们新的惊喜?市场对此众说纷纭。
传统防火墙尚能饭否?
早在设计之初,传统防火墙其实就存在明显缺陷,只是在几年前没有明显地表现出来,但在应用日渐丰富的今天却表现得越发明显:首先是安全方面的缺陷。传统防火墙无法对应用层进行控制和识别,无法确定是哪种应用通过了防火墙,自然就谈不上对各类网络威胁进行有效防御了。
其次是流控方面的缺陷。在用户只有一条链路时,当不同的应用在使用不同的带宽时,重要的应用如何识别并进行保障?这是传统防火墙无法兼顾的。第三就是运维管理方面的缺陷。尤其是当公司的分支机构遍布全国时,因为没有完善的策略管理,无论是部署还是管理传统的防火墙,都需要消耗大量的人力和物力,最终导致管理和维护成本居高不下。
"裱糊匠"的缝补方案不可取
很多人都会想,既然传统防火墙有这么多缺陷,那可不可以部署一台IPS,或者其他安全设备,甚至用UTM来替代?事实上,改良虽然可以暂时弥补一些缺陷,但所做的毕竟是"修修补补"的裱糊匠工作,是不可能从根本上解决问题的。此外这种做法还会带来其他的安全隐患,可谓既不治标又不治本。
因此,我们必须要改革,将防火墙进行更新换代,以满足现代网络发展的需要,这也是"下一代防火墙"产品出现的根本?因。那么,下一代的防火墙要增加哪些内容呢?首先,应该能识别出某个行为是视频还是游戏,要做到对应用层的识别,识别之后还要对应用层能进行控制。其次,还要做到基于用户的识别与控制,包括对用户当前的环境、使用的电脑或操作系统、是否感染病毒等,一旦违反安全规范就拒绝访问,以免感染整个企业网络。
Firewall@the Speed of Cloud
不过,梭子鱼认为做到这些还不够,因为传统防火墙在运维管理方面还存在缺陷,因此需要对广域网进行分析和优化。例如,能够支持路由,可以做到对带宽的优化和控制,可以实现远程访问以便维护,并具备足够的扩展性,还能够进行集中管理。这样的下一代防火墙,才是真正的革新,才能在高速的云计算时代为企业网络应用安全觅得一席之地。
梭子鱼推出的下一代防火墙NG Firewall是一款安全、低成本、可集中性管理的私有安全云的防护产品,具备传统防火墙所没有的智能化流量管理、带宽优化和集中管理能力。该产品除了使用状态包过滤技术之外,还提供七层的应用控制技术,可以对应用层的业务加以识别、过滤和控制。
需要强调的是,梭子鱼的下一代防火墙在集中管理上也能满足用户提出的苛刻要求。举个简单的实例,德国邮政银行部署了超过2500台梭子鱼下一代防火墙,但管理这些防火墙却仅仅只有三名网络工程师,通过集中化配置、政策发布和报表反馈,工程师在总部就能进行WAN接入优化,加强了点对点流量管理性。
作为传统防火墙的技术演进,梭子鱼下一代防火墙可以说是一种七层的防火墙,它不同于UTM仅仅是一种功能的简单拼凑,而是多层防御技术的有机结合体。
