下一代防火墻必須具備的五大要素

　　眾所周之，扼守網(wǎng)絡(luò)咽喉的防火墻設(shè)備，主要通過隔離、限制等手段對(duì)網(wǎng)絡(luò)流量中的越權(quán)訪問以及惡意連接進(jìn)行識(shí)別和阻斷，防火墻產(chǎn)品的歷次演進(jìn)均是圍繞著這兩大核心目標(biāo)而展開的。下面是學(xué)習(xí)啦小編跟大家分享的是下一代防火墻必須具備的五大要素，歡迎大家來閱讀學(xué)習(xí)。

　　下一代防火墻必須具備的五大要素

　　工具/原料

　　下一代防火墻

　　1)針對(duì)應(yīng)用、用戶、終端及內(nèi)容的高精度管控

　　1訪問控制始終是防火墻類產(chǎn)品的核心功能，面對(duì)應(yīng)用爆炸式發(fā)展、用戶接入手段多樣化、信息泄密問題突出等多重挑戰(zhàn)，當(dāng)今的下一代防火墻應(yīng)持續(xù)增強(qiáng)其訪問控制的精細(xì)度。

　　2白皮書特別強(qiáng)調(diào)，應(yīng)用控制絕非傳統(tǒng)意義的阻斷應(yīng)用，出于精細(xì)化控制的需求，下一代防火墻應(yīng)該能夠控制各類平臺(tái)化應(yīng)用的子功能，如QQ的文件傳輸?shù)?，同時(shí)還要能夠基于用戶和終端進(jìn)行控制，而非傳統(tǒng)的IP地址，并且能夠?qū)δ承┨囟ㄎ募膬?nèi)容進(jìn)行深入過濾，以削減信息泄密的風(fēng)險(xiǎn)。

　　3應(yīng)用識(shí)別技術(shù)無疑成為滿足上述需求的本質(zhì)，下一代防火墻在未來仍將持續(xù)提升對(duì)應(yīng)用、用戶、終端和內(nèi)容的識(shí)別能力，并對(duì)加密流量、隧道封裝的數(shù)據(jù)進(jìn)行識(shí)別，隨著應(yīng)用識(shí)別技術(shù)在廣泛度和精細(xì)度等方面的提升，企業(yè)將逐步由目前的黑名單訪問控制過渡至安全級(jí)別更高的白名單模式。

　　2)一體化引擎多安全模塊智能數(shù)據(jù)聯(lián)動(dòng)

　　1上述攻擊案例已充分證明，當(dāng)今網(wǎng)絡(luò)威脅均為采用多種手段的復(fù)合式攻擊，無論是事中的防御還是事后的溯源，都要求下一代防火墻能夠?qū)⒍喾N安全檢測(cè)技術(shù)融合。為此，白皮書中首度提出了下一代防火墻應(yīng)采用“一體化引擎”架構(gòu)，使其能夠全方位的防護(hù)安全威脅并實(shí)現(xiàn)智能的數(shù)據(jù)聯(lián)動(dòng)。

　　2產(chǎn)品專家認(rèn)為，采用一體化引擎的優(yōu)越性諸多，除了提升自身的防御能力外，還體現(xiàn)在其他兩個(gè)方面。首先，一體化引擎實(shí)現(xiàn)了數(shù)據(jù)的單路徑匹配，數(shù)據(jù)包僅需一次解碼即可匹配所有威脅特征，有助于設(shè)備性能的大幅提升，讓所有安全功能模塊能夠真正的開啟并發(fā)揮作用。

　　3第二，對(duì)于隱蔽性極強(qiáng)的新型威脅，單維的分析散落多處的信息對(duì)于盡早感知威脅已毫無幫助。多安全模塊的融合，使得各個(gè)安全模塊在對(duì)數(shù)據(jù)檢測(cè)過程中產(chǎn)生的信息能夠充分關(guān)聯(lián)，徹底改變傳統(tǒng)安全設(shè)備信息割裂的詬病，用戶無需進(jìn)行人工挖掘和分析即可全面掌握威脅全貌。

　　3)外部的安全智能

　　1防火墻本地的運(yùn)算性能和檢測(cè)能力始終是有限的，下一代防火墻應(yīng)該具備聯(lián)動(dòng)外部安全智能系統(tǒng)的能力。盡管這項(xiàng)要求早在2009年的定義中便有提及，但在當(dāng)時(shí)的技術(shù)背景下，除了與用戶認(rèn)證系統(tǒng)聯(lián)動(dòng)之外，并未明確描述與其他系統(tǒng)的聯(lián)動(dòng)。

　　2隨著云計(jì)算、大數(shù)據(jù)技術(shù)的不斷成熟，將云端的海量資源及大數(shù)據(jù)的高度智能用于判別日趨復(fù)雜的威脅，已成為業(yè)界公認(rèn)的技術(shù)發(fā)展方向。近年來市場(chǎng)上也已經(jīng)涌現(xiàn)出了不少以云沙箱檢測(cè)、病毒云查殺、威脅情報(bào)分析等為核心的新技術(shù)產(chǎn)品。

　　3鑒于這樣的技術(shù)環(huán)境，白皮書明確指出，下一代防火墻應(yīng)當(dāng)具有與外部云計(jì)算聯(lián)動(dòng)的能力，并且能夠利用大數(shù)據(jù)分析技術(shù)應(yīng)對(duì)威脅特征庫中并未收錄的未知威脅。

　　4)可視化智能管理

　　1防火墻設(shè)備的洞察力往往是廠商和用戶長期忽視的一項(xiàng)能力，然而在更復(fù)雜的威脅面前，用戶需要更加及時(shí)的掌握網(wǎng)絡(luò)現(xiàn)狀、風(fēng)險(xiǎn)、威脅、事件以及防御效果等用于支撐安全決策，下一代防火墻的可視化技術(shù)尤為重要。

　　2“智能”一詞對(duì)于下一代防火墻而言同樣是一項(xiàng)新的要求，專家認(rèn)為，下一代防火墻要實(shí)現(xiàn)的可視化智能管理，絕非傳統(tǒng)意義上的日志呈現(xiàn)和TOP 10排名，真正的“智能”應(yīng)該是在多維統(tǒng)計(jì)的基礎(chǔ)上加以深入的分析，并將結(jié)果呈現(xiàn)出來，以幫助用戶更加快速的了解網(wǎng)絡(luò)風(fēng)險(xiǎn)并及時(shí)部署防御措施。

　　3白皮書同時(shí)指出，安全產(chǎn)品的有效性取決于操作安全產(chǎn)品的人員，在信息安全專業(yè)人才緊缺以及安全設(shè)備用戶范圍日趨廣泛的大環(huán)境下，下一代防火墻應(yīng)當(dāng)簡化配置難度、降低技術(shù)門檻并持續(xù)提升產(chǎn)品易用性。

　　5)高性能處理架構(gòu)

　　性能是歷代防火墻產(chǎn)品永恒的話題，IDC研究數(shù)據(jù)表明，當(dāng)前國內(nèi)傳統(tǒng)防火墻的市場(chǎng)份額在整體安全硬件中仍占比最高。究其根因，并非用戶對(duì)下一代防火墻特有的功能缺乏需求，而是由于很多大型網(wǎng)絡(luò)、數(shù)據(jù)中心出口出于性能的考慮無法開啟所謂的“下一代”安全功能。由此可見，性能的高低決定了下一代防火墻能夠部署的場(chǎng)景和位置，以及能否為更多的網(wǎng)絡(luò)和系統(tǒng)提供保護(hù)。

　　白皮書特別強(qiáng)調(diào)，今后的網(wǎng)絡(luò)安全是應(yīng)用層安全，所有的流量都要進(jìn)行應(yīng)用層的深入分析，因此下一代防火墻已將深度包檢測(cè)(DPI，用于應(yīng)用識(shí)別及其它應(yīng)用層安全功能)作為其架構(gòu)中的基礎(chǔ)部件，設(shè)備開機(jī)即處于啟動(dòng)狀態(tài)，并且鼓勵(lì)用戶打開全部安全功能。對(duì)于下一代防火墻用戶而言，真正有價(jià)值的參數(shù)是其應(yīng)用層性能以及開啟全部安全功能后的性能。

　　因此，IDC認(rèn)為下一代防火墻要滿足大型數(shù)據(jù)中心、運(yùn)營商網(wǎng)絡(luò)環(huán)境的性能要求，必須持續(xù)提高應(yīng)用層性能及多威脅安全檢測(cè)性能。

下一代防火墻必須具備的五大要素相關(guān)文章：

1.下一代防火墻

2.防火墻三要素是哪些

3.防火墻五大功能

4.開了arp防火墻不能上網(wǎng)怎么辦

5.ipad wifi防火墻如何設(shè)置

6.ssh防火墻連不上怎么辦