大家好!今天让小编来大家介绍下关于下一代防火墙(下一代防火墙和普通防火墙有什么区别)的问题,以下是小编对此问题的归纳整理,让我们一起来看看吧。

文章目录列表:

下一代防火墙(下一代防火墙和普通防火墙有什么区别) 第1张

本文目录

下一代防火墙和普通防火墙有什么区别

下一代防火墙和普通防火墙的区别如下:

一、功能的区别

下一代防火墙可收集防火墙外的各类信息,用于改进阻止决策,或作为优化阻止规则的基础。范例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。

传统防火墙具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN功能等。

二、数据检测的区别

下一代防火墙提供深度包检测功能,通过检查网络数据包中携带的数据,超越简单的端口和协议检查。

而普通防火墙不具备深度包检测功能。

三、应对威胁的区别

下一代防火墙增加了应用级检查,入侵防御以及对威胁情报服务提供的数据采取行动的能力。

此外,下一代防火墙扩展了NAT,PAT和VPN支持的传统防火墙功能,以在防火墙充当路由器的路由模式下以及在防火墙充当线路颠簸的透明模式下运行 ,同时还可以扫描数据包,并且还集成了新的威胁管理技术。

而这些技术,普通防火墙不具备。

下一代防火墙是在什么样的情况下提出的,有什么优势呢

下一代防火墙概念的提出是在2009年,著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁,认为防火墙必需要再一次升级为下一代防火墙。原因是第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁,下一代防火墙主要是为了应对现在复杂的网络环境,也就是探测和防御应用。面对如此庞大的网络规模以及安全挑战,主流网络安全企业先后推出了下一代防火墙产品,除了传统防火墙功能外,下一代防火墙同时具备可与之联动的IPS、应用管控、可视化和智能化联动等。下一代的防火墙产品对各种安全功能进行重新组合和排列,并从配置上把这些功能进行很好的集成。像国内一些知名供应商,如网康、深信服等早已着手这方面了,据朋友的公司说网康的下一代防火墙还可以,综合性能比深信服烧好一些,主要操作也简单。

如何比较和选择下一代防火墙

下面详细地看看下一代防火墙的这些特性:
1.应用程序感知
传统防火墙与下一代防火墙的最大不同是:下一代防火墙可以感知应用程序。传统的防火墙依赖常见的应用程序端口来决定正在运行的应用程序以及攻击类型。而下一代防火墙设备并不是认为特定的应用程序运行在特定的端口上。防火墙必须能够在第二层到第七层上监视通信,并且决定发送和接收哪类通信。
最常见的例子是当前对HTTP和80号端口的使用。传统上,这个端口仅用于HTTP的通信,但如今的情况不同了,而且有大量的不同应用程序都使用这个端口在终端设备和中央服务器之间传送通信。常见端口用于不同类型通信的方法有很多种,其中最常见的方法之一就是隧道技术。借助于隧道技术,通信在传统的 HTTP数据字段内部建立隧道,并在目的结点解开封装。从传统的防火墙的观点看,这看起来就是简单的HTTP Web通信,但对于下一代防火墙来说,它真正的目的在其能够到达目的结点之前就在防火墙上被发现了。如果这种通信是由下一代防火墙的策略所允许的,就放行;否则,防火墙将阻止通信。
2.身份感知
传统防火墙和下一代防火墙之间的另一个很大的不同点是,后者能够跟踪本地通信设备和用户的身份,它一般使用的是现有的企业认证系统(即活动目录、轻量目录访问协议,等)。信息安全人员通过这种方法就不仅能够控制允许进出网络的通信类型,还可以控制哪个特定用户可以发送和接收数据。
3.状态检测
虽然从状态检测的一般定义上来看,下一代防火墙并无不同,但它不是仅跟踪第二层到第四层的通信状态,而是要能够跟踪第二层到第七层的通信状态。这种不同可以使安全人员实施更多控制,而且可以使管理员能够制定更精细的策略。
4.集成IPS
入侵防御系统(IPS)能够根据几种不同的技术来检测攻击,其中包括使用威胁特征、已知的漏洞利用攻击、异常活动和通信行为的分析等。
在部署了传统防火墙的环境中,入侵检测系统或入侵防御系统是经常部署的设备。通常,这种设备的部署是通过独立的设备部署的,或是通过一个设备内部在逻辑上独立的设备来部署的。而在下一代防火墙中,入侵防御或入侵检测设备应当完全地集成。入侵防御系统本身的功能与其在独立部署时并无不同,下一代防火墙中此功能的主要不同在于性能,以及通信的所有层如何实现对信息的访问。
5.桥接和路由模式
桥接或路由模式虽不是全新的特征,但下一代防火墙的这种功能仍很重要。在当今的网络中部署了许多传统的防火墙,但其中的多数并非下一代防火墙。为更容易地过渡下一代防火墙,下一代防火墙必须能够以桥接模式(也称为透明模式)连接,设备本身并不显示为路由路径的一部分。对任何一家特定的企业来说,在合适的时间,下一代防火墙应逐渐地替换传统防火墙,从而使用路由模式。
比较下一代防火墙
如今的市场上有不少信息安全方案都宣称自己是下一代防火墙。如何发现其差异并?下面谈几个审查和比较下一代防火墙的标准:
1.下一代防火墙是否可以防御针对服务器应用和客户端应用的攻击?其防御程度如何?
2.是否能被规避或逃脱?
3.它是否稳定和可靠?
4.该方案是否能够强化入站和出站的应用策略?
5.该方案是否能够强化入站和出站的身份策略?
6.其性能如何?
进一步讲,企业选择部署哪种防火墙设备取决于几个有限的因素。这是因为多数设备都满足下一代防火墙的范畴,并能执行同样的任务。所以,为什么要选择这个而不选那个?安全管理者最初可能是凭个人的喜爱和直觉来选择,有时是根据一些事实或道听途说的证据,但这些毕竟已经成为选择标准的一部分。
在选择具体的方案时,我们应考虑设备的功效问题。其中一个主要方面在发生了针对服务器和客户端应用的攻击时,具体的方案可以阻止攻击的比例有多大。虽然不同的方案之间的差异可能很小,但正是这小小的不同就可能成为发生严重安全事件和挫败攻击的分水岭。
另一个需要考虑的因素是可通过设备的总吞吐量。由于这些设备在总吞吐量方面并不能直接比较,那如何更好地使用此标准呢?方法之一就是衡量每个受保护的比特所花费的成本。如果企业没有经过审查而优先选择了一家厂商,那么机会成本是什么呢?那就是还有一个更小巧或更强大的版本满足企业环境的要求。
企业需要考虑的最后一个因素是该方案利用的电能和空间。还是那个问题,不同的设备并不能直接比较,一个简单的比较和决定方法是,将设备的消耗量除以设备的规模(或除以设备的总吞吐量),并比较不同设备的计算结果。

下一代防火墙的特点是什么

下一代防火墙的概念是什么

下一代防火墙,即Next Generation Firewall,简称NG Firewall。Gartner将网络防火墙定义为在线
安全控制措施,即:可实时在各受信级网络间执行网络安全策略。Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性,以应对目前业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。目前仅有不到1%的互联网连接采用了下一代防火墙保护。但是随着下一代网络的来临,下一代防火墙的应用已然是不可抗拒的趋势,有理由相信到2014年年末使用这一产品进行保护的比例将上升至35%,同时,其中将有60%都为重新购买下一代防火墙。
F5是应用交付网络(ADN)的全球领导者,是应用交付网络(ADN)领域的全球领先厂商,致力于帮助全球大型的企业和服务提供商实现虚拟化、云计算和“随需应变”的IT的业务价值。F5的解决方案有助于整合不同的技术,以便更好地控制基础架构,提高应用交付和数据管理能力,并使用户能够通过企业桌面系统和智能设备无缝、安全并更快速地接入应用。F5的解决方案包括:应用交付网络(ADN)、服务器负载均衡、链路负载均衡、多站点负载均衡、WEB加速及应用安全、流量管理、灾难备份、广域网传输优化、SSL VPN、ISP互访互通、远程安全接入/访问、SSL加解密、文件存储虚拟化、多链路接入、远程安全访问等。
F5提供全面的网络安全系列产品,在RSA 2012大会展示的最新安全产品中,F5公司的访问策略管理器排名第一。此外知名产品还有F5 BIG-IP ASM应用安全管理器、F5 BIG-IP SAM 安全接入管理器等,口碑非常不错,网络安全圈的基本都知道F5的品牌和名气。

下一代防火墙的主要功能有哪些与传统防火墙相比有什么区别

传统防火墙是包过滤防火墙,就是根据数据包中的IP、端口等信息进行过滤。下一代防火墙除了传统的包过滤之外,还可以基于应用层的数据特征和内容进行过滤。
举例来说,传统的包过滤是无法禁止QQ的(因为QQ会自动转换端口),而下一代防火墙就可以基于特征进行屏蔽。
具体的功能列表,建议你搜索下“WFilter
NGF”的功能介绍。NGF就是Next
Generation
Firewall(下一代防火墙)的意思。

下一代防火墙和传统防火墙的区别

一、功能不同

1、下一代防火墙:可收集防火墙外的各类信息,用于改进阻止决策,或作为优化阻止规则的基础。范例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。

2、传统防火墙:具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN功能等。



扩展资料:

防火墙功能

1、入侵检测功能

网络防火墙技术的主要功能之一就是入侵检测功能,主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能,可以极大程度上减少网络威胁因素的入侵,有效阻挡大多数网络安全攻击。

2、网络地址转换功能

利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换,可以分为源地址转换和目的地址转换,即SNAT和NAT。SNAT主要用于隐藏内部网络结构,避免受到来自外部网络的非法访问和恶意攻击,有效缓解地址空间的短缺问题,而DNAT主要用于外网主机访问内网主机,以此避免内部网络被攻击。

3、网络操作的审计监控功能

通过此功能可以有效对系统管理的所有操作以及安全信息进行记录,提供有关网络使用情况的统计数据,方便计算机网络管理以进行信息追踪。

4、强化网络安全服务

防火墙技术管理可以实现集中化的安全管理,将安全系统装配在防火墙上,在信息访问的途径中就可以实现对网络信息安全的监管。

下一代防火墙的选择方式

选择下一代防火墙的性能
当挑选将要部署的下一代防火墙特定性能时,网络和安全团队应该合作。用一个保守的方法来挑选性能是比较适合的,有两个原因。首先,负责网络安全的管理员必须能熟练操作和监控新的性能。其次,许多功能都是单独授权的,需要前期和持续的资金来维持。
最直接的方法就是选择一个能提供所有你所希望部署的服务的下一代防火墙平台,但是只购买那些要立即使用的服务的授权。推出一套能紧密匹配目前你所拥有的利基产品的服务,然后慢慢妥善过渡到下一代防火墙。一旦一切都在掌握中,就可以开始考虑部署新的功能之一,直到慢慢达到你期望的最终状态。
采购
应用识别和控制。任何下一代防火墙最重要的功能就是要能够正确地理解、解码以及分析应用流量来检测已知或未知威胁。绝大部分关键业务应用的策略变化设计的很微妙,用以支持不同类型的功能。防火墙需要能够察觉到这些细微的变化以做出恰当的策略决策。任何高效的下一代防火墙必须支持细颗粒度的应用策略部署及管控,同时,也要能更新至允许设备评估规则和持续应用它们的分析和处理引擎,而无论流量模式怎样随时间变化。
协议解析和异常检测。任何下一代防火墙必须要能快速地将协议解析至现有组成部件中去。很多攻击者使用复杂的隧道技术,将指定协议或敏感数据嵌入其他协议中。这样一来,下一代防火墙需要判断出ICMP、HTTP以及其他协议类型是真实的还是攻击者人为制造的。
用户识别。所有的企业级下一代防火墙产品都应该具备与各类目录资源(比如说Active Directory以及现有环境中的相关活动)连接的功能用以进行用户识别。理想情况下,系统应该能将IP地址映射到系统名称以及用户登录上去。防火墙上基于角色的策略能用于特殊用户检测。这就使得防火墙能够判断出是否有与协议和应用有关的不寻常的流量出现,即使它追踪的使用模式是基于特定的用户和组的也无妨。此种情形下,对于打算进行采购的企业来说,需要考虑的最重要的一点就是产品对于用户资源库类型的支持。
速度和性能。除理解和过滤流量之外,评估NGFW的另一项关键的因素就是速度。考虑到对于任何下一代防火墙设备来说,数据包的处理和分析都非常密集,因而流量延迟是一个主要的关注点。很多厂家鼓吹其产品可以保持10 Gbps或更快的速度,不过在决定购买之前企业还是要进行彻底地检测以得出实际的速度。

深信服下一代防火墙参数

网络层吞吐量:20G,应用层吞吐量:8G,防病毒吞吐量:1.5G,IPS吞吐量:1.3G。
根据深信服官方资料显示,深信服下一代防火墙参数网络层吞吐量:20G,应用层吞吐量:8G,防病毒吞吐量:1.5G,IPS吞吐量:1.3G。
深信服科技股份有限公司于2000年12月25日成立,法定代表人何朝曦。

以上就是小编对于下一代防火墙(下一代防火墙和普通防火墙有什么区别)问题和相关问题的解答了,下一代防火墙(下一代防火墙和普通防火墙有什么区别)的问题希望对你有用!

收藏(0)