NGFW实现一次拆包并行处理 将向更大网络环境延伸


下一代防火墙从字面上来看,它不像“IPS入侵防御系统”、“AV防病毒”、“上网行为管理”直观表现产品形态,而是在传统防火墙基础之上的概念升级。在山石网科技术市场经理任磊看来,下一代防火墙代表着用户对防火墙产品提出的更高要求,他们期待防火墙能够脱胎换骨,无论什么名称,能够满足当前用户所有关注点和解决传统防火墙问题的特征,都应该纳入下一代防火墙的概念范畴内。

传统防火墙的访问控制是基于IP地址和端口方式实现的,随着网络应用的不断发展,用户对网络控制也提出了更高的要求:在互联网接入场景中,大量带宽占用率的背后到底是什么应用、什么人、什么行为在吞噬带宽,如何去管理、限制这些动态端口、动态IP的网络行为?如何对访问网页中夹杂的病毒、钓鱼站点、敏感信息、内嵌游戏、内嵌视频、涉黄地址进行控制?在数据中心场景中,如何在网络高突发、高并发、网络及应用多重威胁的环境中高效率、高可靠的工作?传统防火墙及UTM在多个功能同时开启时性能急剧下降所带来的高时延、丢包甚至宕机导致业务中断,使企业用户非常迫切的期望通过下一代安全设备来解决这些问题。

单一安全设备暴露出采购成本高、维护工作量大、难以统一管理、多个单点故障和增加网络时延等诸多问题。UTM的出现,降低了用户采购、维护成本,简化了管理工作,由此赢得了大部分中小企业用户。但由于其设备内部仍然串行的工作模式使效率上难以满足中大型网络客户需求,同时专业性方面也有待加强。下一代防火墙比起UTM来最大的变化就是实现在一次拆包中的并行处理,解决了串行带来的诸多问题,同时多个功能无缝整合到一起后更加便于用户对整个网络的管理,使得竞争力有了很大提升,这种提升使很多原本无法采用多功能于一体设备的环境变得可用,从这个角度看,这种趋势将逐渐由中小企业不断向更高端、更大网络环境的用户延伸。

对于最常见的网络层入侵,NGFW所具备的更高每秒新建会话能力在相同软件算法的情况下可以提供更强壮的抗攻击能力,比如Hillstone山石网科SG系列安全网关,其每秒新建会话数是传统设备的5~10倍,也就意味着在大多数环境下攻击发起者要付出多几倍的攻击量才有可能对安全设备造成威胁;对于应用层攻击,NGFW真正集成IPS后在一次拆包就可以实现对入侵行为的识别、动作和记录,这种无缝对接保证了对网络入侵行为出现时的时效性、准确性和高处理性能。

同样是企业用户,不同应用场景下对安全设备的要求是不尽相同的。比如企业的IDC数据中心,最需要防火墙提供的特性是抗攻击能力强、高可靠稳定性;企业的内网,部门之间、区域之间的隔离,最需要防火墙提供的特性是千兆甚至万兆内网环境下的安全管控;而对于几乎每个企业都有的互联网接入环境,为了在网络边界处建立稳固、有效的安全防御层,最需要防火墙提供的特征是综合安全防护能力、应用管控、高性能、良好的扩展等,而这正是下一代防火墙最大的市场。

下一代防火墙代表着防火墙产品发展的一种趋势,在数据处理模式和效率方面有质的提升,这种提升是为了满足网络发展的需求,这样的话也就理应成为未来用户解决网络安全问题的主流选择,而随着云计算环境下安全的需求和虚拟化技术的不断普及,在安全方面针对应用的高性能深层防护将出现井喷性需求,市场潜力是巨大的。

编辑推荐】

相关内容