网御星云：下一代防火墙“九宫八阵图”阵法

五、如何选择下一代防火墙

5.1、软件体系方面

首先，判断一款防火墙是否具备前瞻性，是否有能力为用户进行客制化的功能扩展，是否保障稳定可靠，核心的技术就是该防火墙在软件设计方面是不是自主创新设计，而不是采用通用系统（如Linux、Unix等）进行改造。下一代防火墙的软件体系，其应用功能的各个环节都应该基于核心的自主创新安全的操作系统平台，必须从基础建设做起，类似于下一代通用安全系统平台VSP（Versatile Security Platform），是一种基于硬件、软件、管理三种平台相融合的专用安全平台，集实时操作系统、网络处理、安全应用等技术于一身，具有高效、智能、安全、健壮、易扩展等特点；充分考虑到基础建设，采用有效的智能应用感控技术，随时应对复杂应用的高安全需求。

5.2、硬件架构方面

当今的网络可以理解为一个大型的局域网以及无数个小型的局域网，所以，适合用户的是不同硬件架构，不同性能的多系列防火墙产品，所以，选择防火墙时对硬件架构的评估也是首当其冲的，无论是IXP、X86、ASIC还是多核等硬件架构，适合用户自身的网络安全需求才是最好的安全产品；首先需要明确的是厂商各系列防火墙所对应的硬件架构着作权，比如ASIC防火墙，就需要查清是否具备ASIC并行操作平台（或系统）着作权，当然，对于高端用户，硬件架构面临着高性能、多业务的应用，业界很多厂商开始宣传多核防火墙，有的甚至拿X86多核来混淆用户，但什么才是真正的多核架构，如何判断多核防火墙更需要明确。当前，业界多核厂商主要有RMI和Cavium，其推出的基于MIPS架构的嵌入式多核处理器，与X86、X86多核以及ASIC相比，多核处理器每个核可以模拟出8、16或32个虚拟的处理器单元，并可在配置界面上针对每个CPU运行的状态、利用率进行监控，另外，比较明显的区别在于防火墙最大并发连接和新建连接数的指标值不同，真正多核最大并发连接数在400万以上、每秒新建连接在10万以上。

5.3、方案部署方面

对于使用僵尸网络传播方式的威胁，传统防火墙的部署模式基本上是看不到的。随着面向服务的架构和Web2.0使用的增加，更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输，这意味着基于端口/协议的政策已经变得不太合适和不太有效。用户在选择下一代防火墙的部署方案时，需要认清防火墙是否在不同信任级别的网络之间实时执行网络安全政策的联机控制，是否支持新信息馈送和新技术集成的升级路径来应对未来的威胁，收集外来信息来做出更好的阻止决定或建立优化的阻止规则库方案。

5.4、用户体验方面

下一代防火墙在用户体验方面首先就是要看其软件的简洁性，如果不易配置与管理，且界面看起来比较老派，那么该产品也就有可能是过时产品。如果需要利用命令行进行繁杂的后台工作，则肯定是利用过时代码编写的产品，因为现在已经没人会再利用那种界面来编制代码。

5.5、云防御技术方面

随着人们对云计算的质疑声越来越少、越来越弱，云计算作为IT发展的下一个关键方向已经基本得到了确认。云计算如此高效，正让整个IT行业发生变革，然而安全性问题始终困扰着云计算。云计算服务自身的安全隐患随着应用的不断深入逐渐暴露出来。作为下一代防火墙，必须具备技术前瞻性，从“云”开始出现的第一天起就要考虑其安全性，给“云”提供必要的安全措施也是很重要的，提供安全隔离。

5.6、网络防攻击方面

下一代防火墙在网络攻击方面首先需要很容易处理以下的威胁，如DDoS攻击、DNS攻击、病毒、间谍软件、漏洞/入侵、蠕虫、僵尸网络、木马等攻击；其次能精确地应用识别(无论是端口，协议，ssl还是其他的逃避策略，在应用层访问/功能之上的细粒度的识别和策略控制，实时的保护来对抗嵌入在跨应用的威胁。

六、网御下一代防火墙安全解决方案

网御下一代防火墙分为KingGuard万兆系列、Super V高端系列、Power V中高端系列和Smart V低端系列，共计80余款，可为各种规模的企业和政府机构网络系统提供相适应的产品。网御防火墙已在税务、公安、政府、军队、能源、交通、电信、金融、制造等各行业中部署50000台以上。KingGuard、Super V系列采用高性能的RSIC多核架构，并结合国内首创的WindRunner矩阵式并行处理技术，将多颗CPU排成矩阵，在对网络数据流进行IPv4/IPv6双协议栈的策略匹配、抗攻击、内容过滤、加解密、QOS、日志等多项业务处理时，采用并行计算和流水线两个维度进行并行处理，确保了高安全的前提下的高性能处理。Power V系列采用基于应用识别的绿色上网控制模块，并在Power V-4000及3000系列集成了专用ASIC加速硬件芯片，使得小包高达10Gbps；Power V是已部署3万多台套的高可用多威胁统一管理的下一代防火墙系列。Smart V系列是集成防火墙、VPN、交换机、主动防御等功能于一身，可采用机架型和桌面型两种设备部署方案，适合各类大集团的分支机构、区县级政府机关、小型企业及SOHO用户。

在应用感控与云安全技术方面，网御下一代防火墙结合VSP、USE、MRP等核心安全技术，通过智能感控技术收集攻击检测源和挂马网站URL等特征，，与已部署的防病毒网关、IPS、UTM、Guard等设备联合抓取病毒源、攻击检测源和挂马网站URL等特征，汇集至云防御服务器定时收纳合并，云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有网御安全网关设备中，使其他设备也具有防病毒、IPS、防挂马等功能，同时使其具备更高的处理性能，共同形成整体可信架构云防御体系。网御公司提前部署可信架构“云防御”体系，主动防御未知威胁，网御下一代防火墙在不断变化的威胁环境、不断变化的业务IT流程、不断更新的云威胁下，为用户提供真正有价值的信息安全整体防护方案，使信息安全3.0时代提前到来。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友