《WAF和NG的区别.doc》由会员分享,可在线阅读,更多相关《WAF和NG的区别.doc(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、WAF和NG的区别从采用的技术上看,下一代防火墙采用的是包转发技术,而WAF采用的是代理技术.这是两种完全不同的技术手段,如果通过代理技术来做NGFW,将会极大地限制NGFW的吞吐能力。而如果采用包转发技术来做WAF,则会严重影响waf的安全防护能力。所以,从技术上看这两者也不适合放在一起。随着BYOD、云计算和社交网络的流行,网络已经迎来了大带宽时代。移动办公消除了网络边界,数据中心的云化、面向云和面向虚拟机的安全带来了新的挑战。应用和社交网络给安全管控也带来了新的威胁。被动防御为主的传统防火墙已经不能应对新型威胁,企业需要更主动的防御方式.2009年Gartner发布了一篇白皮书,增加了一
2、名新成员下一代防火墙(NGFW),它基于用户、应用和内容作为管控基础。现在已经距离当时过了四年,在这四年期间,下一代防火墙作为业界的新词越来越火,国内外众多厂商纷纷推出了自己的下一代防火墙产品,但它们真的是下一代防火墙吗?还是披着“下一代防火墙外衣的UTM或者上网行为管理产品?什么是真正的下一代防火墙?首先它应该具备基本防火墙的功能,如NAT、VPN等;第二,也是最核心的本质特性:应用识别能力,且应用识别应该是下一代防火墙所有安全管控的基础,而非简单的为了实现应用控制;第三是要跟IPS深度的集成,而不是简单的功能叠加;最后,Gartner还要求NGFW提供诸如智能联动和智能分析等一些辅助功能。
3、下一代防火墙功能众多,它将取代UTM、WAF或者上网行为管理吗?Gartner在企业防火墙魔力象限报告中指出,出现这种疑问的原因主要有两个:一个是在技术术语,不同产品之间确实有重合之处;另一个方面则是由于厂商混淆视听的营销宣传所致。Gartner强调,下一代防火墙有其独特的产品价值,与上述产品有明显的区别。下一代防火墙vs高级防火墙下一代防火墙的性能和功能无疑更强大了,但仅仅如此与高级防火墙有何区别?有些厂商在防火墙上加了一些简单的应用识别;有些厂商在流量管控的基础上,加上一些威胁防控;还有一些DLP厂商转身来做下一代防火墙.其实下一代防火墙代表的是完全不同的安全理念,在部署、使用、管理乃至整
4、个安全模式上都与传统防火墙截然不同,NGFW能够把整个策略实现原理和对网络资源调度提升到新的应用管理水平,它还颠覆整个防火墙访问控制管理的基础,带来了新的管理视角,因此实际上能够简化管理.在众多厂商发布了NGFW后,华为作为后起之秀,今年下半年也将推出NGFW。华为安全产品营销经理朱峰指出NGFW面临四大挑战。1。管控是否精细。随着IT潮流的巨变,NGFW如何识别更新的应用,如何在应用过程中识别风险,解决新IT环境下边界失效的问题,重新建立起网络边界的有效管控,成为首要挑战。2。管理是否简单。NGFW在强化了管控手段以后,管理配置的复杂度明显提升,面对着数以千计的应用选择,那些隐藏风险?哪些对
5、工作有用应该打开甚至保障带宽应用?哪些对工作无用需要进一步的控制甚至阻断?这对管理员提出了更高的管理挑战.3.可辨未知威胁。近几年新威胁和新挑战持续增加,特别是未知的攻击越来越多,很多的攻击行为非常隐蔽的,需要延时去检测,黑客行为已经是组织化,甚至国家化。防火墙的作用类似网络出口的看守,要能够对新的威胁做防护.4.性能是否足够。有些产品一旦开启强制性防护,性能急剧下降,基本不可用,NGFW如果不想重蹈覆辙,在性能方面一定要有自己的定义,是要有专门的测试办法和门槛要求的,不是说有了某些特性就可以。而且这些特性一定要在真实的网络环境下可用,不是摆设.华为企业网络产品线的安全产品总经理左文树表示:“
6、针对以上挑战,华为的NGFW能够做到四点:一、细粒度管控。为了应对移动化、虚拟化、社交化,除了价值应用、用户和内容外,还应该感知位置、风险和设备等。二、智能管理,随着配置维度的复杂化,管理会变为一个瓶颈,华为的NGFW提供了一种全新的管控视角,通过流量分析,自动识别网络中的应用,风险和问题,给出合理的意见和建议,方便使用者和管理者。三、全面防护.不仅识别应用,还要识别应用威胁、风险和未知威胁,可有效防御APT攻击。四、高性能体验.NGFW的基础性能是在同时开启防火墙和应用识别时的产品性能,因为应用识别是NGFW的基础,所以开启应用识别后的性能,才能代表NGFW的基本性能。NGFW的高性能就在于
7、开启了所有威胁防护后,其性能相对基础性能的下降幅度不能超过50%。”华为的NGFW提供独特的ACTUAL管控机制。通过六个维度进行管控:A是App,C是Cantent,T是Time,U是User,A是Attack,L是Location,不仅可识别6000多种应用,还可以识别应用中的威胁和攻击位置,提供最细粒度的管控。此次华为发布的全系列NGFW,面向企业和运营商,一共有十余款设备,覆盖到1G-40G应用层性能,提供20G全威胁防护性能.1、弹性部署和灵活的自适应性:NGFW应该具备可以根据用户业务环境变化实现自适应性。例如:要能够适应物理环境架构部署,虚拟化环境部署以及云环境部署;2、可以任意
8、转换角色:一定是围绕用户业务的需求,用户需要NGFW产品扮演什么角色,NGFW就可以转换成需要的角色,例如可以转换成下一代IPS,下一代VPN,下一代防火墙,L2FW,这需要NGFW要有自由灵活的统一的安全引擎;3、面向未来的安全威胁防护能力:NGFW系统应该是具有对于目前和未来安全威胁的感知和主动防御能力,例如:对于组合数量级庞大的高级逃逸技术要具备完全防护能力,要能够持续性的进行动态库更新.4、上下文感知能力:应用感知/内容感知/身份感知都属于上下文感知,NGFW要能够精准的识别应用及应用参数。例如:HTTP POST,HTTP GET ,以及还要能够识别应用中植入的其它数据。上下文感知是
9、NGFW核心要求,它能够帮助用户制订出更加完善的安全策略,因为NGFW可以清楚的了解到用户访问的是哪些应用,用户访问的信息是否包含敏感信息,上下文感知能力考验的是NGFW 深度检测技术的能力。5、稳定和高性能:高性能前提是NGFW对于安全的防护能力不能削减,这要求NGFW产品软件系统要能够充分激发硬件的性能潜力,要能够实现可以通过软件优化版本升级提升NGFW性能。6、实现下一代集中管理:NGFW要能够实现集中管理,无论NGFW部署在数据中心,还是网络边界和远端站点,通过集中管理平台要能够实现对NGFW智能监控和日志的关联分析。 对于传统FW,Web GUI管理非常容易出现人为的错误以及由于日志缺乏关联性而导致报告不可用情况的发生。