网络安全
    作者:王宪阁

    简单四招 教你选择合格的下一代防火墙

         [ 中关村在线 原创 ] 暂无评论

      随着网络活动的逐步上升,企业面临的威胁正在成倍增长。作为企业的IT管理人员,应该如何选择下一代防火墙。近三分之二的网络流量是基于Web的应用程序,随着这类应用新的安全威胁以及占用的网络带宽的情形大幅增加。今天的网络流量需要下一代防火墙(NGFW)的适当控制。

    简单四招 教你选择合格的下一代防火墙

      据Gartner称,NGFW“是一个线速的综合网络平台,进行流量的深入检查和阻止攻击。”一个合格的NGFW包括所有在第一代防火墙的标准功能(例如,网络地址转换,包过滤和状态包检测,以及其他通用的网络功能)。

      当你的防火墙和或入侵防御设备接近更新周期时,Gartner建议要对NGFW能力进行全面的了解。因为你会发现,一些网络安全厂商声称自己的产品,拥有与NGFW重叠的功能,但其实他们并不能算真的下一代防火墙。所以,你应该寻找一个真正合格的企业级NGFW。那么我们这里给你以下这些标准:

        1、扫描检测能力
        2、应用智能
        3、性能
        4、可管理性

      扫描

      同第一代防火墙一样,NGFWs包括状态的检测能力。但是,他们除了能够像传统防火墙那样,还需要有深度包检测(DPI)能力。许多NGFW厂商宣传自己拥有DPI功能,但仔细检查其产品,你会发现他们对此进行限制,最大限度地减少保护。许多NGFW厂商使用代理,让流量通过恶意软件扫描网关。这会严重降低网络性能,甚至有一些防火墙高达95%。

      一些大型文件或中等数量的更小的文件传输的时候,基于代理的防火墙有限的内存很快就会被耗尽。当所有的内存被消耗掉,这些防火墙会阻止所有文件传输。许多厂商会采取未经检验通过文件,就是说对所有文件可以不进行检查。即为了避免使网络停止,选择不对其进行扫描,以允许数据包通过。

      有些所谓的下一代防火墙厂商还无法扫描大型文件或某些协议。按文件大小,文件扫描的能力是有限的,他们只扫描恶意软件的协议的一小部分。当评估NGFW的时候,应该寻找一个可以扫描各种大小文件、病毒和恶意软件,僵尸网络及其他威胁,解密、扫描和重新加密SSL数据包,能够扫描所有端口广泛的协议,除了原始的TCP流量。

      应用智能

      NGFW的一个根本能力是控制应用程序和优化的网络运行的能力。不同的NGFW解决这些问题的能力在不同程度上有一定的差距。一个可靠的NGFW应该:

      针对不断增长的应用程序数据库的签名,扫描应用程序应该能够提供实时的可视化的操作。企业可以考虑采取定制的应用程序,将应用智能和控制扩展到网络上的无线终端。

      一个NGFW的控制有效性同样重要,它可以检测和控制应用程序的数量。一个拥有强大的签名数据库的NGFW,应包括成千上万的、独特的应用程序和应用程序组件,并每天更新新的签名。此外,NGFW应该超越简单地允许管理员“允许”,“阻止”或“登录”应用程序,应该提供一套全面的应用管理功能,如应用带宽管理。

      另外,用户还可以控制和优化你看不到的东西。当你评估NGFW的时候,你必须考虑他们的产品是否集成让你看到应用程序和用户流量的实时功能,可视化取证分析工具和仪表盘。随着应用的增多,你需要自定义应用程序控制,大多数NGFW可能不再那么容易实现。一个可行的NGFW,应该能够识别和优化公司里的自定义应用程序。此外,它应该允许你为特定应用程序制定自定义特征,以便于这些应用通过基础的流量属性或者控制协议。

      越来越多的企业正面临着不断扩散的无线终端,这些设备散布在网络的边缘。这时候,企业应该考虑一个,提供强大的无线应用智能控制的NGFW。要有足够的智能、控制能力和可视化的操作。现在许多安全设备只有有线用户的流量控制,而忽略了大量依靠无线网络的笔记本电脑、智能手机、平板电脑。

        企业应该寻找这样的NGFW,它集成了无线交换机及控制器,允许分布式无线部署的配置和管理,同时提供WiFi边缘的应用智能和控制。在理想的情况下,NGFW应该能够控制所有的无线通信应用智能政策,以保持无线带宽效率。

    提示:支持键盘“← →”键翻页
    本文导航

    关注排行榜

    防火墙UTM上网行为防毒墙

    文章推荐

    互动沙龙

    相关内容 网友评论 返回首页
    专家咨询