梭子鱼下一代防火墙整体应用解决方案

来源:畅享网  
2011/7/7 10:42:13
梭子鱼公司将推出一款名为NG Firewall的网络安全产品,这是一款基于应用层设计和开发的防火墙产品,也称7层防火墙。

本文关键字: 梭子鱼 下一代防火墙


需求分析

某公司拥有大型的网络架构,网关处已经部署了防火墙,内网交换机cisco 4506支持着公司内部大约2000人的上网业务。机构内部也已经应用了众多信息系统,包括OA系统、HR系统、WEB服务器、邮件服务器等,各业务应用系统都或多或少的通过互联网平台得到整体应用。

随着网络的发展,网络应用不断丰富。公司的大量应用建立在HTTP等基础协议之上,或者随机产生端口号,或者采用SSL加密等方式来隐藏内容。而企业的IP地址和各项应用站点又是面向互联网的用户。因此如何“看清”应用中的内容并进行防御,这是对此次网络整改中的防火墙提出了新要求。其次,网络正在从千兆走向万兆甚至10万兆,网络带宽增长迅速,防火墙应有足够的性能和扩展性来应对这种变化。再次,随着远程办公的快速增长,要求防火墙既能抵抗外部攻击,又能允许合法的远程访问VPN,尤其重要的是能够识别加密过的数据。

该公司信息中心的有关领导,一直在寻找能够解决网络整体安全的方案,从集团公司的网关安全作为出发点,着重确保服务器区安全,以及服务器中的应用服务的稳定及安全的整体解决方案。

客户网络现状分析

通过以上机构的内网拓扑简图可见,现有的防火墙已经使用了5年的时间,而且仅仅只用来作为普通防火墙来做包过滤, 近几年来,公司每年都会出现病毒风暴,从而影响公司内网网络, 严重的时候公司财务部都无法进行税务报税,因此防御病毒对整个网络的干扰也是此次网络安全整体改造的一方面。

桌面的机器管理,一直都未纳入管理体制中,多数PC机器都是由于私自安装一些陌生的程序而感染到病毒的,因此我们也计划引入桌面机的管理体制,从统计PC机的物理配置开始,限制陌生软件的使用,从而杜绝病毒的渗透。

背景介绍

如今网络世界发生了巨大的变化:首先,成千万的应用都基于Web,通过端口来区分应用的方法已经过时了。端口在传统防火墙面前就像一个个封闭的管道,管道里跑着各式各样的应用,而传统防火墙除了能看到管道的外体,对管道里发生的事情一无所知。

其次,应用也不像过去、非黑即白,而是黑白混合,是灰度的。举个例子,聊天工具到底是安全的还是危险的?谁也说不清楚。也许对方的聊天工具已被木马控制,发来一个文件本身就是木马,一打开就中招了。传统的思路就是把聊天工具封堵了,但这样很多基于聊天工具的正常工作也无法开展了。

另外,现在的攻击目的也在转变,攻击系统的恶作剧越来越少,有经济目地的信息窃取越来越多,如窃取个人账户、企业机密等。而且这种攻击不仅仅是针对操作系统,应用和数据库都成为了攻击目标。所以即使IDS、IPS在,网络依然被篡改,信息依然被窃取,这也是近年来网页防篡改系统、WAF产品逐渐盛行的原因。

最后,传统的IPS和AV大部分都是基于特征库匹配的DPI技术,只能对于已知的威胁进行防护,而对于哪些最新的威胁变种或者未曝光的未知威胁却无能为力。近年来的“0 Day”零日漏洞攻击越来越多,比如微软的“极光”、“MPEG-2”。

但是大多数传统防火墙厂商却没有改进自己的技术,倒一窝蜂的置身于性能竞赛中。防火墙的吞吐量记录不断被刷新,但在面对各种新的应用和攻击方面却仿佛视而不见。这好比过去的模拟电视,尺寸越来越大,外观越来越漂亮,但数字电视的到来却一夜间给模拟电视敲响了丧钟。

共2页: 上一页1 [2]
责编:杨雪姣
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918