安全漫談：下一代防火墻將是智能防火墻

目前，一種新型的下一代防火墻已發(fā)布，其旨在為Web 2.0環(huán)境提供強大的安全性能、強健的入侵防御能力和細粒度應(yīng)用控制功能。然而，是否所有的下一代防火墻都能實現(xiàn)這些功能呢？

針對這個疑問，全球領(lǐng)先的、獨立的安全產(chǎn)品測試和認證機構(gòu)NSS實驗室于2012年2月公布了七款下一代防火墻產(chǎn)品的深入評估測試結(jié)果，接受測試的產(chǎn)品分別是來自SonicWALL、Check Point、Palo Alto Networks、瞻博網(wǎng)絡(luò)、Fortinet、Stonesoft和Barracuda Networks公司的解決方案。

測試的結(jié)果如何表明，SonicWALL的SuperMassive E10800是綜合保護能力最強的下一代防火墻，榮獲了NSS實驗室的“推薦”級別。

SonicWALL解決方案的差異化特點

免重組深度包檢測（RFDPI）

目前，包過濾和全狀態(tài)包檢測等功能已經(jīng)商品化，融入了備受歡迎的消費級集成式路由器/交換機組合設(shè)備。如今的防火墻必須具備全狀態(tài)包檢測和包過濾功能，單靠全狀態(tài)包檢測功能不足以提供企業(yè)級安全性。值得稱道的是，防火墻的處理能力不斷增強，先進防火墻的功能能夠得以充分發(fā)揮，提供更高級別的安全性。一般來說，用于提供深度安全防護的主要技術(shù)是深度包檢測（DPI）。采用深度包檢測技術(shù)，防火墻可檢測所有數(shù)據(jù)包的有效負載，實現(xiàn)了更高級別的智能性，并提供了一系列功能，如入侵防御、惡意軟件檢測、實時流量分析和應(yīng)用控制功能。

RFDPI專利引擎是每款SonicWALL網(wǎng)絡(luò)安全解決方案的核心。這一專利技術(shù)將多款安全產(chǎn)品融入了單一的集成式套件，讓管理員能以經(jīng)濟實惠的價格輕松管理本地、遠程和移動網(wǎng)絡(luò)安全。

深度包檢測引擎采用了多種技術(shù)來捕獲和清除惡意軟件。部分引擎只是簡單地使用了簽名匹配，而其它一些則采用了啟發(fā)式方法。SonicWALL則融合了多項技術(shù)，同時保持了高性能、低延遲、高效率，而且無需考慮文件大小。

SonicWALL下一代防火墻（NGFW）可使用單通道架構(gòu)跨每種協(xié)議、經(jīng)每個界面檢測每個數(shù)據(jù)包的有效負載，不會給網(wǎng)絡(luò)造成任何延遲。許多下一代防火墻解決方案在可擴展性方面都有所局限，與此不同，SonicWALL的NGFW是市面上經(jīng)實踐檢驗最具擴展性的防火墻。

應(yīng)用智能

應(yīng)用智能，或應(yīng)用認知，是下一代防火墻的基礎(chǔ)組件，它可識別網(wǎng)絡(luò)流量中的每個應(yīng)用，無需考慮端口、協(xié)議或躲閃策略。SonicWALL下一代防火墻的核心組件是免重組深度包檢測（RFDPI）引擎，以及一個能不斷擴展的、跨各種協(xié)議和接口掃描每個數(shù)據(jù)包的簽名數(shù)據(jù)庫，能夠識別和控制3500多種應(yīng)用和單獨的應(yīng)用功能。這種方式不會依賴其所使用的端口和協(xié)議，也沒有端口和協(xié)議方面的限制，還能擴展至SSL加密流量。此外，SonicWALL研究小組將不斷開發(fā)新的簽名，這些簽名可自動發(fā)送至和部署于企業(yè)環(huán)境，管理員無需更新規(guī)則和/或底層應(yīng)用對象。企業(yè)也可根據(jù)需要創(chuàng)建自定義簽名。

應(yīng)用可視化

應(yīng)用可視化指的是管理員能夠查看網(wǎng)絡(luò)中發(fā)生的所有事情，例如，誰在什么時候使用了哪些特定應(yīng)用，使用程度如何等等。這些信息對于開發(fā)策略和規(guī)則、排除故障和分析非常重要，可用于解釋規(guī)則實施的影響以及企業(yè)隨時間推移所需做出的改變。

SonicWALL提供了全面的實時可視化和分析工具。SonicWALL可視化儀表板包括Real-Time Monitor（用于查看報告和系統(tǒng)級信息）和AppFlow Monitor（用于查看與應(yīng)用、用戶、URL、啟動程序、響應(yīng)程序、威脅、VoIP、VPN、設(shè)備和內(nèi)容有關(guān)的細粒度的實時數(shù)據(jù)）?，F(xiàn)有數(shù)據(jù)可通過多種格式查看，但容易受到幾乎所有系列的過濾器的影響，也可通過多種方式控制，最大程度地提高有效性。

除獨特的實時可視化功能，SonicWALL下一代防火墻還支持開放的（如業(yè)界標準的）機制——帶擴展功能的IPFIX/NetFlow，可將所有相同的深度分析的、以應(yīng)用為導(dǎo)向的數(shù)據(jù)導(dǎo)出至外部收集程序和工具（如Plixer國際提供的Scrutinizer）。這讓企業(yè)可利用各種第三方管理應(yīng)用對網(wǎng)絡(luò)使用率和與威脅相關(guān)的潛在行為進行長期的趨勢分析和深入的取證分析。

應(yīng)用控制

采用SonicWALL下一代防火墻，管理員可根據(jù)應(yīng)用類型、特定應(yīng)用或特定應(yīng)用功能（如IM的文件傳輸功能）配置高度靈活的策略，同時可對各種情境變量進行說明，包括用戶和設(shè)備身份、所涉及內(nèi)容的類型，以及一天、一周或一月內(nèi)的某個時間。此外，SonicWALL解決方案支持各種各樣的行為，而不是簡單的允許、阻止和記錄，還包括了（可能是最有價值的）帶寬優(yōu)先化和限制能力。此外，SonicWALL還能幫助管理員創(chuàng)建許多應(yīng)用的對象，以及URL、URL類別，并將帶寬管理規(guī)則應(yīng)用于這些對象。

技術(shù)所有權(quán)

SonicWALL下一代防火墻無需依賴任何外部安全組件，提供了完全統(tǒng)一的、高度優(yōu)化的解決方案架構(gòu)，該架構(gòu)可最大限度地提高性能，實現(xiàn)最高級別的安全效率。而且，SonicWALL保持了特有的、廣泛的威脅和應(yīng)用智能感知網(wǎng)絡(luò)（SonicWALL全球響應(yīng)智能防御（GRID）網(wǎng)絡(luò)），以及自有的研究實驗室，配備了世界知名的安全研究小組。事實上，SonicWALL威脅中心去年阻止了57億次惡意軟件嘗試，避免了3260億個漏洞利用程序/入侵攻擊，提供了徹底的、及時的智能防御和內(nèi)容更新，讓企業(yè)能有效地處理當今計算環(huán)境特有的不斷變化的各種條件。

增值安全功能

SonicWALL下一代防火墻集成了多種增值安全功能。SonicWALL解決方案表現(xiàn)突出的三大領(lǐng)域分別是Clean Wireless、 Mobile Connect和針對集成式SSL VPN的增強功能。

除基于網(wǎng)關(guān)的防病毒程序提供的安全防護外，SonicWALL強制客戶端防病毒及反間諜軟件選件進一步增強了安全性。當用戶在防火墻邊界外訪問服務(wù)時，配置了SonicWALL防病毒/反間諜軟件的 所有端點都能保持該軟件的更新和有效性。SonicWALL下一代防火墻包括不可或缺的無線訪問控制器/交換機（WAC）。與SonicWALL自有的WLAN訪問點（SonicPoints）同時運行時，可為企業(yè)提供統(tǒng)一的解決方案，讓網(wǎng)絡(luò)管理員能在有線網(wǎng)和無線網(wǎng)中執(zhí)行一致的、全面的NGFW策略。

SonicWALL下一代防火墻不僅集成了SSL VPN解決方案組件，還融入了獨立SSL VPN產(chǎn)品的大量先進功能，如針對3層信道的多平臺支持、臨時密碼以及可對用戶計算設(shè)備進行遠程觀察和控制的虛擬輔助功能。

廣泛的客戶群

到目前為止，SonicWALL已經(jīng)為全球客戶提供了200萬多臺設(shè)備。多個國家的大型企業(yè)和分布式網(wǎng)絡(luò)環(huán)境都采用了SonicWALL下一代防火墻進行安全保護。已部署SonicWALL解決方案的企業(yè)包括漢堡王、假日酒店、王牌硬件公司、The Body Shop、美國紐約州立大學(xué)老韋斯特伯利分校、Peets Coffee和The Continental Group。