需求分析
2009年,著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”。第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁。由于采用的是基于服务的架构与Web2.0使用的普及,更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行,这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏失部署补丁的软件进行检查,但却不能有效的识别与阻止应用程序的滥用,更不用说对于应用程序中的具体特性的保护了。
产品简介
下一代防火墙采用领先的VSOS操作系统,通过多核并行化处理、特征库树形存储、流扫描处理、零拷贝、分布式T比特硬件平台等技术手段,实现了整个处理过程一次拆包,确保下一代防火墙开启多重防护功能后依然能够保证高速度、低时延的安全防护。
功能特点
- 七元组访问控制:以源地址、目的地址、源端口(源安全域)、目的端口(目的安全域)、服务类型、APP类型及用户为参数的访问许可控制;
- 七元组会话控制:以源地址、目的地址、源端口(源安全域)、服务类型、APP类型及用户为参数的会话许可控制:总新建连接速率/总连接数、每源IP新建连接速率/每源IP总连接数、每目的IP新建连接速率/每目的IP总连接数;
- 应用行为控制:深入APP或各类网络协议的细节参数,实现精细的网络行为管理和日志记录;
- 流量控制:以源地址、目的地址、服务类型、APP类型及用户为参数的多层管道嵌套式流量及QoS控制。
典型应用
用户价值
下一代防火墙可以将网络按照不同安全等级进行区域划分,实现层次化、重点化、全面化的保护和访问控制。有效解决传统防火墙中存在的上线部署、业务新增和日常管理策略复杂、可视性差等问题。
解决在设计初期仅规划防火墙,缺乏完善的安全防御和检测技术所带来的风险。主要包含应用层安全加固、增强安全检测技术和简化安全管理三个方面,可以保障在复杂业务环境下数据中心信息安全。
提升用户网络的安全防护能力,还能够帮助用户实时了解分支机构安全风险,避免分支机构存在安全建设薄弱点从而成为入侵短板,以便真正实现管理集中化和运维自动化。