下一代防火墻實現(xiàn)六大功能滿足互聯(lián)網(wǎng)需求

關于下一代防火墻，我們認為下一代防火墻并不是簡單的功能堆砌和性能疊加，下一代防火墻以全局的視角，從解決用戶網(wǎng)絡面臨的實際問題出發(fā)來定義才更為妥當。下一代防火墻并不是憑空而出的產品，也不會是防火墻的終極形態(tài)。下一代防火墻需要安全廠商不斷的關注IT環(huán)境和客戶需求的變化、持續(xù)專注的技術積累及創(chuàng)新，而厚積薄發(fā)的產品成果。

從專業(yè)的角度來看，下一代防火墻應該必須實現(xiàn)以下六大功能才能滿足互聯(lián)網(wǎng)的需求：

1、用戶防護

傳統(tǒng)防火墻策略都是依賴IP或MAC地址來區(qū)分數(shù)據(jù)流，不利于管理也很難完成對網(wǎng)絡狀況的清晰掌握和精確控制。下一代防火墻則具備用戶身份管理系統(tǒng)，實現(xiàn)了分級、分組、權限、繼承關系等功能，充分考慮到各種應用環(huán)境下不同的用戶需求。此外還集成了安全準入控制功能，支持多種認證協(xié)議與認證方式，實現(xiàn)了基于用戶的安全防護策略部署與可視化管控。

2、面向應用安全

在應用安全方面，下一代防火墻應該包括“智能流檢測”和“虛擬化遠程接入”兩點。一方面可以做到對各種應用的深層次的識別；另外在解決數(shù)據(jù)安全性問題方面，通過將虛擬化技術與遠程接入技術相結合，為遠程接入終端提供虛擬應用發(fā)布與虛擬桌面功能，使其本地無需執(zhí)行任何應用系統(tǒng)客戶端程序的情況下完成與內網(wǎng)服務器端的數(shù)據(jù)交互，就可以實現(xiàn)了終端到業(yè)務系統(tǒng)的“無痕訪問”，進而達到終端與業(yè)務分離的目的。

3、高效轉發(fā)平臺

為了突破傳統(tǒng)網(wǎng)關設備的性能瓶頸，下一代防火墻可以通過整機的并行多級硬件架構設計，將NSE（網(wǎng)絡服務引擎）與SE（安全引擎）獨立部署。網(wǎng)絡服務引擎完成底層路由/交換轉發(fā)，并對整機各模塊進行管理與狀態(tài)監(jiān)控；而安全引擎負責將數(shù)據(jù)流進行網(wǎng)絡層安全處理與應用層安全處理。通過部署多安全引擎與多網(wǎng)絡服務引擎的方式來實現(xiàn)整機流量的分布式并行處理與故障切換功能。

4、多層級冗余架構

下一代防火墻設備自身要有一套完善的業(yè)務連續(xù)性保障方案。針對這一需求，必須采用多層級冗余化設計。在設計中，通過板卡冗余、模塊冗余以及鏈路冗余來構建底層物理級冗余；使用雙操作系統(tǒng)來提供系統(tǒng)級冗余；而采用多機冗余及負載均衡進行設備部署實現(xiàn)了方案級冗余。由物理級、系統(tǒng)級與方案級共同構成了多層級的冗余化架構體系。

5、全方位可視化

下一代防火墻還要注意“眼球經濟”，必須提供豐富的展示方式，從應用和用戶視角多層面的將網(wǎng)絡應用的狀態(tài)展現(xiàn)出來，包括對歷史的精確還原和對各種數(shù)據(jù)的智能統(tǒng)計分析，使管理者清晰的認知網(wǎng)絡運行狀態(tài)。實施可視化所要達到的效果是，對于管理范圍內任意一臺主機的網(wǎng)絡應用情況及安全事件信息可以進行準確的定位與實時跟蹤；對于全網(wǎng)產生的海量安全事件信息，通過深入的數(shù)據(jù)挖掘能夠形成安全趨勢分析，以及各類圖形化的統(tǒng)計分析報告。

6、安全技術融合

動態(tài)云防護和全網(wǎng)威脅聯(lián)防是技術融合的典范。下一代防火墻的整套安全防御體系都應該是基于動態(tài)云防護設計的。一方面可以通過“云”來收集安全威脅信息并快速尋找解決方案，及時更新攻擊防護規(guī)則庫并以動態(tài)的方式實時部署到各用戶設備中，保證用戶的安全防護策略得到及時、準確的動態(tài)更新；另一方面，通過 “云”，使得策略管理體系的安全策略漂移機制能夠實現(xiàn)物理網(wǎng)絡基于“人”、虛擬計算環(huán)境基于“VM”（虛擬機）的安全策略動態(tài)部署。