网络安全 频道

下一代防火墙选型 企业需关注三大特性

  下一代防火墙选型

  部署NGFW对于企业用户来说最大价值体现在可以保证企业关键业务系统稳定、安全、可管理。刘权峰谈到,企业用户在进行产品选型时也要结合这三方面来进行产品的选型。

  1、稳定特性

  对于企业用户NGFW设备的稳定性是需要首要考虑的,选型方面要充分考虑产品自身架构的稳定。例如是否采用专用的操作系统,是否通过国际认可的EAL4+ 认证(国际上认可的最高等级的稳定安全方面的认证)。

  在产品功能上也需要具备能够满足稳定要求功能,例如是否采用自己的专利集群技术;是否可以支持全Active部署;是否可以支持不同软件版本不同型号的产品的集群。由于NGFW产品需要部署在网络边界直接连接不同的链路类型,如 3G 专线 ADSL,因此要求NGFW需要内置链路负载均衡的技术,保证链路的稳定。在多分支机构VPN互连的架构里,要能够确保在某条链路失效的情况下,业务数据通信要能够平滑迁移到其它链路上来,保证业务绝对不会中断。

  2、安全特性

  面对不断出现新的安全威胁,NGFW要能够对这些威胁实现主动地防御。这需要用户在选择NGFW时候要考虑NGFW产品深度检测技术的能力,可以参考第三方机构的报告。 目前比较权威的是NSSLabs,每年对NGFW都会有综合性的测评,包括近三年的攻击防护率测试/在采用默认策略防护率测试/攻击环境下设备稳定性测试/高级逃逸攻击测试。

  刘权峰强调到,一定要考虑NGFW对于高级逃逸技术的防护能力,多数用户都使用IPS、UTM或防火墙来防护关键业务系统和敏感数据。逃逸技术,就是以穿透这类安全设备为目的的黑客技术。逃逸技术很古老,防范手段也很简单,我们市场上现有的所有安全品牌,对这些传统的逃逸都有很好的防御能力。但是与其他攻击不同的是,逃逸技术可以进行一系列变种和组合,组合之后的变化会达到上亿种,远远大于任何厂家的特征库数量,所以对于传统的安全设备根本不可能检测和拦截这类的攻击,高级逃逸技术对于客户数据安全的威胁是明显的。它有两个最致命特点:一是现有的网络安全设备对其完全无法检测,不起作用;二是用户被高级逃逸攻击后,在安全设备上是不留任何日志的,也就是用户不会知道自己丢了资料,所谓亡羊补牢都难以实现。

  3、可管理

  NGFW必须具备下一代集中管理平台,集中管理平台可以作为安全信息和事件管理平台(SIEM),管理平台同时还要能够实现对NGFW智能监控和日志的关联分析。

2
相关文章