SANGFORF白皮书.doc

芈蚇膄薀深信服下一代防火墙NGAF莀技术白皮书螅薃芁*** “打补丁式的方案” 4*** —NGAF 防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。防火墙就像故宫的城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。防火墙技术在当时被堪称完美!随着时代的变迁,故宫的城墙已黯然失色,失去了它原有的防御能力。同样防火墙在面对网络的高速发展,应用的不断增多的时代也失去了它不可替代的地位。自2009年10月Gartner提出“DefiningtheNext-GenerationFirewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后,于2011年正式发布深信服“下一代应用防火墙”——NGAF。 防火墙作为一款历史悠久的经典产品,在IP/端口的网络时代,发挥了巨大的作用:合理的分隔了安全域,有效的阻止了外部的网络攻击。防火墙在设计时的针对性,在当时显然是网络安全的最佳选择。但在网络应用高速发展,网络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题:羁 1、应用安全防护的问题:螈 传统防火墙基于IP/端口,无法对应用层进行识别与控制,无法确定哪些应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。蒄 2、安全管理的问题:蚃 传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略,并且这些基于IP/端口策略可读性非常之差,经常会造成错配、漏配的情况,留下的这些隐患,往往给黑客们以可乘之机。“打补丁式的方案”袆 由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+……的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷,对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中,管理人员通常会遇到如下的困难:肂 效率低:同一数据包经过串联的各类设备,被重复拆包,重复解析,使整个网络的效率变得低下,运行速度变得十分缓慢。莂 维护成本高:众多设备需要提供足够的空间和环境支持,大大提高了维护成本。蚆 管理复杂:独立设备、管理复杂,需要培养熟悉各类设备、各厂商设备的高级管理人员。 2004年IDC推出统一威胁管理UTM的概念。这种设备的理念是将多个功能模块集中如:FW、IPS、AV,联合起来达到统一防护,集中管理的目的。这无疑给安全建设者们提供了更新的思路。膃 事实证明国内市场UTM产品确实得到用户认可,据IDC统计数据09年UTM市场增长迅速,但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW、IPS、AV进行简单的整合,传统防火墙安全与管理上的问题依然存在,比如缺乏对WEB服务器的有效防护等;另外,UTM开启多个模块时是串行处理机制,一个数据包先过一个模块处理