下一代防火牆是用什麼技能「撩妹成功的」？

你的企業打算部署下一代防火牆（ngfw）嗎？你知道ngfw是以何種魅力打動購買者的嗎？本文有你想知道的有關ngfw採購前需要掌握的所有答案，趕緊get起來~

防火牆是最基本的網路安全控制機制之一，在過去二十年裡，防火牆已從乙個簡單的包過濾裝置發展成為乙個能夠同時管控大量網路通訊狀態的複雜系統。然而儘管與以前相比功能更為先進、吞吐量更高，防火牆還是不可避免地遭遇到了發展瓶頸。

新興威脅瞬息萬變，而傳統的埠和ip位址的過濾不再適用。在此背景下，越來越多的企業把希望寄託於能夠提供更多更新功能的下一代防火牆（ngfw）上。

ngfw「自帶撩妹技能」

當你打算進行ngfw採購時（不管是出於替代現有防火牆/入侵檢測系統還是用作單獨的安全控制點的目的），都有一些你將會用得上的且能發揮最大效用的功能。具體有：

應用識別和控制。任何ngfw最重要的功能就是要能夠正確地理解、解碼以及分析應用流量來檢測已知或未知威脅。絕大部分關鍵業務應用的策略變化設計的很微妙，用以支援不同型別的功能。防火牆需要能夠察覺到這些細微的變化以做出恰當的策略決策。任何高效的ngfw必須支援細顆粒度的應用策略部署及管控，同時，也要能更新至允許裝置評估規則和持續應用它們的分析和處理引擎，而無論流量模式怎樣隨時間變化。

協議解析和異常檢測。任何ngfw必須要能快速地將協議解析至現有組成部件中去。很多攻擊者使用複雜的隧道技術，將指定協議或敏感資料嵌入其他協議中。這樣一來，ngfw需要判斷出icmp、http以及其他協議型別是真實的還是攻擊者人為製造的。

使用者識別。所有的企業級ngfw產品都應該具備與各類目錄資源（比如說active directory以及現有環境中的相關活動）連線的功能用以進行使用者識別。理想情況下，系統應該能將ip位址對映到系統名稱以及使用者登入上去。防火牆上基於角色的策略能用於特殊使用者檢測。這就使得防火牆能夠判斷出是否有與協議和應用有關的不尋常的流量出現，即使它追蹤的使用模式是基於特定的使用者和組的也無妨。此種情形下，對於打算進行採購的企業來說，需要考慮的最重要的一點就是產品對於使用者資源庫型別的支援。

速度和效能。除理解和過濾流量之外，評價ngfw的另一項關鍵的因素就是速度。考慮到對於任何一台ngfw裝置來說，資料報的處理和分析都非常密集，因而流量延遲是乙個主要的關注點。很多廠家鼓吹其產品可以保持10 gbps或更快的速度，不過在決定購買之前企業還是要進行徹底地檢測以得出實際的速度。

ngfw「撩妹高手高階」

與ngfw必備的功能不同，有一些是只有某些ngfw產品才具有的優異的特性：

url過濾。一些防火牆可以執行基於url的內容過濾以及站點信譽分析。儘管不如單獨的內容過濾產品那樣強大、特徵明顯，但url過濾能將應用及流量分析方面的功能新增至已經執行的入侵檢測過程中。

ssl終止和檢驗。攻擊者非常聰明，他們製作惡意軟體和攻擊套件，使用像ssl之類的加密通道來運送敏感資料和機器命令。一些組織可能會認為這應該是下一代防火牆的一項必備功能，不過很多企業還沒有準備好對ssl進行監管或者因為某些與隱私相關的原因無法做到。

惡意軟體虛擬沙盒。一些更新的下一代防火牆產品已經開始將惡意軟體沙盒和分析整合在產品中，這將有益於檢測出更為高階的惡意軟體感染。此外，也可以將易於使用和部署、與現有環境中的工具和技術整合以及可以預設裝置的使用者登入等特性考慮在內。

戴爾ngfw自有「撩法」

在功能和效能方面，戴爾sonicwall ngfw在自備傳統防火牆的功能外，也有自己的一套。戴爾sonicwall ngfw會對所有流量進行掃瞄，在確保檢測每個資料報中的每個位元組的同時保證網路所需的高效能和低延時。同時，其可提供實時ssl解密和檢測、採用先進防規避技術的ips以及可利用雲的基於網路的惡意軟體防禦系統功能，以保護網路對最新威脅也有抵抗力。

如今，市場上流行的ngfw正變得越來越強大，並在大多數情景中都能補足或替代傳統的防火牆技術。那麼在通讀全文後，小夥伴們有木有覺得ngfw的採購有了乙個大寫的「清晰」了呢？

下一代防火牆是用什麼技能「撩妹成功的」？

下一代防火牆是用什麼技能「撩妹成功的」？

下一代防火牆將改變防火牆管理規則

下一代防火牆進入大規模部署階段

下一代防火牆是用什麼技能「撩妹成功的」？

下一代防火牆是用什麼技能「撩妹成功的」？

下一代防火牆將改變防火牆管理規則

下一代防火牆進入大規模部署階段

相關推薦