下一代防火墻必須具備的五大要素

　　眾所周之，扼守網(wǎng)絡咽喉的防火墻設備，主要通過隔離、限制等手段對網(wǎng)絡流量中的越權訪問以及惡意連接進行識別和阻斷，防火墻產(chǎn)品的歷次演進均是圍繞著這兩大核心目標而展開的。下面是學習啦小編跟大家分享的是下一代防火墻必須具備的五大要素，歡迎大家來閱讀學習。

　　下一代防火墻必須具備的五大要素

　　工具/原料

　　下一代防火墻

　　1)針對應用、用戶、終端及內容的高精度管控

　　1訪問控制始終是防火墻類產(chǎn)品的核心功能，面對應用爆炸式發(fā)展、用戶接入手段多樣化、信息泄密問題突出等多重挑戰(zhàn)，當今的下一代防火墻應持續(xù)增強其訪問控制的精細度。

　　2白皮書特別強調，應用控制絕非傳統(tǒng)意義的阻斷應用，出于精細化控制的需求，下一代防火墻應該能夠控制各類平臺化應用的子功能，如QQ的文件傳輸?shù)?，同時還要能夠基于用戶和終端進行控制，而非傳統(tǒng)的IP地址，并且能夠對某些特定文件的內容進行深入過濾，以削減信息泄密的風險。

　　3應用識別技術無疑成為滿足上述需求的本質，下一代防火墻在未來仍將持續(xù)提升對應用、用戶、終端和內容的識別能力，并對加密流量、隧道封裝的數(shù)據(jù)進行識別，隨著應用識別技術在廣泛度和精細度等方面的提升，企業(yè)將逐步由目前的黑名單訪問控制過渡至安全級別更高的白名單模式。

　　2)一體化引擎多安全模塊智能數(shù)據(jù)聯(lián)動

　　1上述攻擊案例已充分證明，當今網(wǎng)絡威脅均為采用多種手段的復合式攻擊，無論是事中的防御還是事后的溯源，都要求下一代防火墻能夠將多種安全檢測技術融合。為此，白皮書中首度提出了下一代防火墻應采用“一體化引擎”架構，使其能夠全方位的防護安全威脅并實現(xiàn)智能的數(shù)據(jù)聯(lián)動。

　　2產(chǎn)品專家認為，采用一體化引擎的優(yōu)越性諸多，除了提升自身的防御能力外，還體現(xiàn)在其他兩個方面。首先，一體化引擎實現(xiàn)了數(shù)據(jù)的單路徑匹配，數(shù)據(jù)包僅需一次解碼即可匹配所有威脅特征，有助于設備性能的大幅提升，讓所有安全功能模塊能夠真正的開啟并發(fā)揮作用。

　　3第二，對于隱蔽性極強的新型威脅，單維的分析散落多處的信息對于盡早感知威脅已毫無幫助。多安全模塊的融合，使得各個安全模塊在對數(shù)據(jù)檢測過程中產(chǎn)生的信息能夠充分關聯(lián)，徹底改變傳統(tǒng)安全設備信息割裂的詬病，用戶無需進行人工挖掘和分析即可全面掌握威脅全貌。

　　3)外部的安全智能

　　1防火墻本地的運算性能和檢測能力始終是有限的，下一代防火墻應該具備聯(lián)動外部安全智能系統(tǒng)的能力。盡管這項要求早在2009年的定義中便有提及，但在當時的技術背景下，除了與用戶認證系統(tǒng)聯(lián)動之外，并未明確描述與其他系統(tǒng)的聯(lián)動。

　　2隨著云計算、大數(shù)據(jù)技術的不斷成熟，將云端的海量資源及大數(shù)據(jù)的高度智能用于判別日趨復雜的威脅，已成為業(yè)界公認的技術發(fā)展方向。近年來市場上也已經(jīng)涌現(xiàn)出了不少以云沙箱檢測、病毒云查殺、威脅情報分析等為核心的新技術產(chǎn)品。

　　3鑒于這樣的技術環(huán)境，白皮書明確指出，下一代防火墻應當具有與外部云計算聯(lián)動的能力，并且能夠利用大數(shù)據(jù)分析技術應對威脅特征庫中并未收錄的未知威脅。

　　4)可視化智能管理

　　1防火墻設備的洞察力往往是廠商和用戶長期忽視的一項能力，然而在更復雜的威脅面前，用戶需要更加及時的掌握網(wǎng)絡現(xiàn)狀、風險、威脅、事件以及防御效果等用于支撐安全決策，下一代防火墻的可視化技術尤為重要。

　　2“智能”一詞對于下一代防火墻而言同樣是一項新的要求，專家認為，下一代防火墻要實現(xiàn)的可視化智能管理，絕非傳統(tǒng)意義上的日志呈現(xiàn)和TOP 10排名，真正的“智能”應該是在多維統(tǒng)計的基礎上加以深入的分析，并將結果呈現(xiàn)出來，以幫助用戶更加快速的了解網(wǎng)絡風險并及時部署防御措施。

　　3白皮書同時指出，安全產(chǎn)品的有效性取決于操作安全產(chǎn)品的人員，在信息安全專業(yè)人才緊缺以及安全設備用戶范圍日趨廣泛的大環(huán)境下，下一代防火墻應當簡化配置難度、降低技術門檻并持續(xù)提升產(chǎn)品易用性。

　　5)高性能處理架構

　　性能是歷代防火墻產(chǎn)品永恒的話題，IDC研究數(shù)據(jù)表明，當前國內傳統(tǒng)防火墻的市場份額在整體安全硬件中仍占比最高。究其根因，并非用戶對下一代防火墻特有的功能缺乏需求，而是由于很多大型網(wǎng)絡、數(shù)據(jù)中心出口出于性能的考慮無法開啟所謂的“下一代”安全功能。由此可見，性能的高低決定了下一代防火墻能夠部署的場景和位置，以及能否為更多的網(wǎng)絡和系統(tǒng)提供保護。

　　白皮書特別強調，今后的網(wǎng)絡安全是應用層安全，所有的流量都要進行應用層的深入分析，因此下一代防火墻已將深度包檢測(DPI，用于應用識別及其它應用層安全功能)作為其架構中的基礎部件，設備開機即處于啟動狀態(tài)，并且鼓勵用戶打開全部安全功能。對于下一代防火墻用戶而言，真正有價值的參數(shù)是其應用層性能以及開啟全部安全功能后的性能。

　　因此，IDC認為下一代防火墻要滿足大型數(shù)據(jù)中心、運營商網(wǎng)絡環(huán)境的性能要求，必須持續(xù)提高應用層性能及多威脅安全檢測性能。

下一代防火墻必須具備的五大要素相關文章：

1.下一代防火墻

2.防火墻三要素是哪些

3.防火墻五大功能

4.開了arp防火墻不能上網(wǎng)怎么辦

5.ipad wifi防火墻如何設置

6.ssh防火墻連不上怎么辦