Palo Alto和SonicWall分别推出适合分支机构的NGFW

安全
Palo Alto和SonicWall推出了适合分支机构价格的下一代防火墙。与状态防火墙不同的是,下一代防火墙应用深层报文检测流量。

  Palo Alto在2011年发布PA-200,它是价值2000美金,具有100Mbps吞吐量的下一代防火墙。与其相同,SonicWall也发布了两款针对分支机构的下一代防火墙:NSA220和NSA250M,它们的起始价格分别是1095美金和1495美金。下一代防火墙所包含的应用智能和控制功能在SonicWall 设备上是可选的,它需要额外的授权费,但这在发布会中没有详细说明。使用下一代防火墙模式,SonicWall设备大概可以达到110Mbps的速度。

  传统的状态防火墙检验端口和协议是为了判断,例如是否经过TCP 80端口的流量确实是合法的HTTP流量。下一代防火墙超越了端口和协议安全的做法,应用深层报文检测来识别用HTTP协议的请求和用80端口接入的应用程序。这项功能在今天尤为重要,特别是当企业的应用程序愈来愈多的基于网页,而且客户网页应用程序可以在企业中合法使用。

  根据ZK Research首席分析员Zeus Kerravala所言,今天企业正在它们的中心位置部署大型且昂贵的下一代防火墙。为了使它们的分支机构能够感知应用安全,企业为了检测要么回程分支机构网络流量到中央防火墙,要么在分支机构部署轻量级安全设备,比如统一威胁管理设备。

  而在分支机构直接部署下一代防火墙,企业可以将广域网的安全问题降入分支机构,节省回程流量消耗的带宽。

  Kerravala说:“其实没必要在核心跑所有因特网流量,但是如果你转到一个分离的隧道模式,并且希望分支机构的用户能直接访问因特网,那么和核心位置一样,你需要在分支机构使用相同的应用感知防火墙。想要分支机构的下一代防火墙价格便宜,并且吞吐量尽可能高。显然你的分支机构的技术不能昂贵到超过了回程因特网流量的费用。”

  根据信息技术总监Michael Giorgio介绍:“ SonicWall客户Connex信用合作社使用中央SonicWall NSA 3500 统一威胁管理防火墙,将流量从银行分支回程到网络核心。从用户的观点看,我更愿意把流量分散,它可以减轻网络的负荷,通过取消回程流量到WAN上的 hub,每个分支机构的下一代防火墙可以减少分支机构的WAN链路。”

  分支机构下一代防火墙功能:选择还是必须?

  Current Analysis研究总监Andrew Braunberg说:“这仍然有待观察,我们不知道分部很多的企业,它们对下一代防火墙应用智能技术有多大需求。在分支机构使用状态防火墙很不明智。但是小型分支机构可能不需要下一代防火墙的精细应用控制功能。如果你想在每个设备上安装这个功能,它会在哪里开启,会到什么程度?你知道一旦你开启了额外的深层报文检测,你会进行性能检测。我认为分支机构会使用该功能,但是我好奇它的使用情况以及使用方式。”

  如果将来证实确有必要,他相信许多企业将部署SonicWall设备,因为将来状态防火墙可以升级为下一代防火墙。

  Palo Alto产品市场总监Chris King 提到,Palo Alto的PA-200“天生”就可以在下一代防火墙模式中工作。PA-200根据对应用程序的识别来决定允许或拒绝流量。他提到了其他厂家,也包括 SonicWall在内,是根据端口来决定的。他们在流量中应用一个单独的深层报文检测引擎来识别应用程序,做出不同的策略决定。哪种做法更优现在还无定论。

    有关Palo Alto:

  Palo Alto是近几年发展非常迅猛的一家安全企业,在业内负有盛名。该公司旗下仅拥有NGFW一类产品,被看做NGFW时代的先行者。经过充分的准备,Palo Alto于2011年年初在国内设立了办事处。据了解,诸如应用特征库、WebUI和报表管理系统的本土化工作已初见成效。

  Palo Alto将用户识别、应用识别和内容识别并列为产品的3大核心功能,使用户权限和策略设定变得像自然语言般简单易懂,同时让报表的可读性更强。内容识别基于防火墙、IPS、反恶意软件、URL过滤乃至DLP等多种安全功能,可以为用户提供全面的安全保障。在业务处理方面,其产品采用了单数据流并行处理体系结构,保证了高性能、低延迟。有业内人士认为,Palo Alto产品中关于一体化的处理引擎和一体化的策略框架是最关键的设计理念,在保证高性能的同时提高了易用性。

  产品规格方面,Palo Alto面向不同规模用户推出了从最低端的PA-500到最高端的PA-5060在内的多款产品。其最低端产品PA-500拥有250Mbps的防火墙处理能力、100Mbps的攻击防护能力和50Mbps的IPSec VPN性能,最高端的PA-5060则将这3个指标推向20Gbps/10Gbps/4Gbps。Palo Alto公司创始人、首席架构师毛宇明在接受我们采访时特别指出,该公司在官方网站公布了所有产品的性能指标,其中攻击防护能力一项均为开启应用识别及所有安全模块后的数据,并且即便用户没有选购任何安全功能的许可,也可以使用不受任何限制的应用识别与控制功能。

责任编辑:王文文 来源: 51CTO.com
相关推荐

2013-05-14 10:41:16

Palo AltoNGFWUTM

2011-05-11 22:53:03

甲骨文商务智能

2010-12-07 16:53:18

BranchCacheDirectAcces

2011-09-19 09:27:57

2010-06-03 11:21:35

Windows Ser

2015-01-27 10:53:07

IT整合基础架构

2011-12-12 11:21:05

无线网络分支机构无线网络

2017-03-23 10:37:56

2014-01-08 11:54:52

华为多分支集中灾备

2015-01-12 15:35:40

企业ICT华为

2010-05-14 19:32:47

IT管理远程控制Avocent

2013-01-24 13:26:40

服务器机房IT部署

2012-07-20 09:56:20

checkpointpaloalto防火墙

2017-03-21 13:26:54

IntelOpenStack

2017-03-06 18:43:09

2009-06-18 11:12:49

IP通信

2010-11-30 15:52:14

2020-12-31 11:01:54

数据泄漏网络攻击电子邮件

2012-06-05 09:27:10

统一通信UC云统一通信
点赞
收藏

51CTO技术栈公众号