數字化轉型 | 下一(yī / yì ／yí)代防火牆-網絡安全-解決方案-202211101141513.mp4

Next Generation Firewall（NGFW）是(shì)傳統狀态防火牆和(hé / huò)統一(yī / yì ／yí)威脅管理（UTM）設備的(de)下一(yī / yì ／yí)代産品。它不(bù)僅包含傳統防火牆的(de)全部功能（基礎包過濾、狀态檢測、NAT、VPN等）還集成了(le／liǎo)應用和(hé / huò)用戶的(de)識别和(hé / huò)控制、入侵防禦（IPS）等更高級的(de)安全能力。相對于(yú)UTM設備，NGFW則擁有更快處理效率和(hé / huò)更強的(de)外部拓展、聯動能力。

早在(zài)2007年，針對企業業務流程和(hé / huò)IT架構的(de)變化，結合安全威脅的(de)新趨勢，著名咨詢機構Gartner就(jiù)提出(chū)了(le／liǎo)Next-Generation Firewall （NGFW）的(de)概念。2009年，Gartner正式發布《Defining the Next-Generation Firewall》。

Gartner把NGFW看做不(bù)同信任級别的(de)網絡之(zhī)間的(de)一(yī / yì ／yí)個(gè)線速（wire-speed）實時(shí)防護設備，能夠對流量執行深度檢測，并阻斷攻擊。Gartner認爲(wéi / wèi)，NGFW必須具備以(yǐ)下能力：

l 傳統的(de)防火牆功能

NGFW是(shì)新環境下傳統防火牆的(de)替代産品，必須向前兼容傳統防火牆的(de)基本功能，包括包過濾、協議狀态檢測、NAT、VPN等等。

l 應用識别與應用控制技術

具備應用感知能力，并能夠基于(yú)應用實施精細化的(de)安全管控策略和(hé / huò)層次化的(de)帶寬管理手段，是(shì)NGFW引進的(de)最重要(yào / yāo)的(de)能力。傳統的(de)狀态檢測防火牆工作在(zài)二到(dào)四層，不(bù)會對報文的(de)載荷進行檢查。NGFW能對七層檢測，可以(yǐ)清楚地(dì / de)呈現網絡中的(de)具體業務，并實行管控。

l IPS與防火牆深度集成

NGFW要(yào / yāo)支持IPS功能，且實現與防火牆功能的(de)深度融合，實現1+1>2的(de)效果。Gartner特别強調IPS與防火牆的(de)“集成”而(ér)不(bù)僅僅是(shì)“聯動”。

l 利用防火牆以(yǐ)外的(de)信息，增強管控能力

防火牆能夠利用其他(tā)IT系統提供的(de)用戶信息、位置信息、漏洞和(hé / huò)網絡資源信息等，幫助改進和(hé / huò)優化安全策略。

圖片3.png

FortiGate下一(yī / yì ／yí)代防火牆産品采用了(le／liǎo)專用的(de)安全處理芯片（ASIC）并集成了(le／liǎo)自有的(de)FortiGuard實驗室的(de)威脅情報服務，提供業界領先的(de)安全保護功能和(hé / huò)包括加密流量在(zài)内的(de)超高性能。FortiGate所提供的(de)應用、用戶和(hé / huò)網絡可視化大(dà)大(dà)降低了(le／liǎo)安全的(de)複雜度，同時(shí)提供安全評級讓客戶能夠遵從安全最佳實踐。

FortiGate NGFW有多種不(bù)同型号，滿足用戶從入門級硬件設備到(dào)超高端設備的(de)部署選擇，藉以(yǐ)滿足苛刻的(de)網絡環境與威脅防護性能要(yào / yāo)求。無論是(shì)企業園區、數據中心，亦或是(shì)内網部署，FortiGate均可以(yǐ)無縫融入企業的(de)環境。

随着企業數字化轉型的(de)高速發展，企業從傳統的(de)網絡架構轉移到(dào)混合架構，據Gartner數據顯示，有50%的(de)企業都在(zài)使用多雲架構，以(yǐ)及勒索軟件攻擊事件的(de)不(bù)斷增加。無一(yī / yì ／yí)不(bù)促使着企業更加注重網絡的(de)安全防護。

圖片4.png

企業的(de)網絡安全正在(zài)發生着巨大(dà)的(de)轉變。首先就(jiù)是(shì)OT與IT融合加速、随時(shí)随地(dì / de)辦公（WFA）、多雲模式普及等企業數字化轉型趨勢，使得“網絡邊界”逐漸模糊，威脅已經無處不(bù)在(zài)，企業邊界已經不(bù)是(shì)“内網和(hé / huò)外網”這(zhè)種簡單的(de)二元劃分。

傳統的(de)網絡安全總是(shì)在(zài)遇到(dào)問題的(de)時(shí)候尋找能夠解決此問題的(de)産品，然而(ér)每遇到(dào)新的(de)問題時(shí)都需要(yào / yāo)部署新的(de)安全産品以(yǐ)防護網絡的(de)安全，但随之(zhī)而(ér)來(lái)的(de)是(shì)各個(gè)産品和(hé / huò)供應商之(zhī)間不(bù)會考慮協同的(de)工作，孤立的(de)解決方案容易出(chū)現漏洞。繁雜的(de)安全産品以(yǐ)及解決方案不(bù)但帶來(lái)了(le／liǎo)操作複雜性，限制了(le／liǎo)企業快速檢測和(hé / huò)響應攻擊的(de)核心能力。而(ér)随着威脅的(de)演進不(bù)斷疊加安全功能的(de)方法，無疑會帶來(lái)嚴重的(de)網絡性能，安全效能等損耗。

FortiGate下一(yī / yì ／yí)代防火牆擁有出(chū)色的(de)安全和(hé / huò)網絡能力，離不(bù)開三大(dà)關鍵：FortiOS操作系統、FortiGuard威脅情報服務、FortiSPU安全處理器。一(yī / yì ／yí)體(FortiOS)兩翼(FortiGuard、 FortiSPU)的(de)FortiGate下一(yī / yì ／yí)代防火牆能夠成爲(wéi / wèi)安全神經中樞，幫助用戶打造安全、高效、智能的(de)網絡邊界安全體系，加速數字化轉型。