梭子鱼下一代防火墙整体应用解决方案

梭子鱼下一代防火墙解决方案介绍

如下图所示，我们将部署一台梭子鱼下一代防火墙（以下简称NG Firewall）产品替换原有防火墙，由于我们梭子鱼的物理性能高达1.4G的路由性能，所以完全可以支持内网２０００名员工的上网服务，同时具有AV防病毒及IPS入侵检测的功能。

其次梭子鱼下一代防火墙产品，拥有７层应用层数据过滤的功能，因此，我们可以为公司内网员工提供应用过滤，可以屏蔽一些Ｐ２Ｐ下载，网页视频，ＩＭ通讯等服务。当然，对其他应用层服务，我们计划做一些带宽限制或者带宽保留服务，保证我们正常业务的流量。

同时在整体方案中，我们计划将分支机构，也部署梭子鱼ＮＧ Firewall其意义为：1、IPSEC-VPN连接总部梭子鱼设备； 2、便于分支机构的网络安全防卫；3、对内网的数据流进行应用层识别及带宽管理。

针对越来越多的移动办公人员，我们建议起用梭子鱼NG Firewall 的SSL-VPN功能，这样既可以便于公司领导外出期间，使用公司内部系统，又可以非常安全的为公司服务器提供数据保障。

梭子鱼下一代防火墙产品介绍

2010年，梭子鱼公司将推出一款名为NG Firewall的网络安全产品，这是一款基于应用层设计和开发的防火墙产品，也称7层防火墙。梭子鱼NG Firewall可以针对丰富的应用提供更完整的可视化内容安全保护方案，解决了传统防火墙在应用管控、应用防护、未知威胁处理方面的巨大不足，具备了传统防火墙和IPS、AV的所有功能，并可在全功能开启后达到8-10Gbps的最高性能，是UTM产品在同等工作状态下的10-25倍。

梭子鱼NG Firewall 七层防火墙时代的到来

梭子鱼推出的新一代的7层防火墙-梭子鱼下一代防火墙 ，这是一个划时代的产品。她从TCP 7层出发，基于应用的类型和内容提供安全解决方案，同时还包含了传统防火墙和IPS的所有功能。

NG Firewall可以基于应用的类型实现可视化管控。NG Firewall可以恢复安全设备对应用的可视化感知，对同一端口上运行的不同应用类型进行区分，在根据客户需要对同一端口的不同应用进行管理。

NG Firewall可以提供更加完整的应用防护功能。 NG Firewall可以提供两个维度防护：终端防护（AV、Web安全过滤等）、服务器防护（IPS、WAF、DDoS防护等）。其中WAF（web application firewall）的各种功能包括了：对弱密码的保护、对数据注入攻击的保护、服务器信息隐藏等。

NG Firewall能够基于应用的内容实现更精确的安全防护。她既能让用户访问各种应用，又能对其中的内容进行信息过滤和危险流量拦截，还可以通过关联分析技术识别出未知威胁，并及时处理。

当然，NG Firewall依然可以对端口进行封堵，也保留了传统防火墙中的NAT、路由等用户普遍需要的功能。通过NG Firewall，用户可以向传统的防火墙和IPS说再见了。

NG Firewall不仅具备它们的各种有用的功能，还终于实现了对应用层的保护。用户可以看见网络管道中跑着那些应用，有哪些内容，存在哪些风险，并且均可以一一进行控制和记录。有人会问，AF是不是就是UTM，好像实现的功能很相似。事实上，他们是完全不同的产品。UTM只能算是防火墙产品的改进版，通过叠加各种模块来弥补传统防火墙产品在应用层的不足。但是，UTM依然工作在TCP的3-4层，而不是在第7层，一旦把应用层的功能开启后，性能将大幅度下降，这也不难解释一些号称10G的UTM设备在开启全功能后，性能迅速下降到400Mbp左右。

而梭子鱼NG Firewall 则完全基于7层设计，并通过多核并行计算技术，数据包一次扫描技术，深度内容识别及快速还原等技术，使得她在全功能开启后最高性能依然能达到8-10G。

准备迎接下一代防火墙时代的来临

无独有偶，梭子鱼推出的产品NG Firewall同全球著名分析机构Gartner定义的NGFW（下一代防火墙）十分接近。Gartner认为下一代防火墙必须有以下几点：

标准的防火墙功能，如网络地址转换，状态检测，VPN和大企业需要的功能。

入侵防御系统和防火墙真正一体化。

应用程序感知能力，自动识别和控制应用程序。

额外的防火墙智能，为辅助决策提供更多信息，如信誉分析，与活动目录（AD）集成，有用的阻塞或漏洞列表。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友