日益緊迫的安全威脅,催生著傳統(tǒng)安全服務(wù)和產(chǎn)品的改變。對(duì)企業(yè)或機(jī)構(gòu)來(lái)說(shuō),安全產(chǎn)品中的防火墻更是首當(dāng)其沖,需要保證業(yè)務(wù)模式的抗攻擊性,持續(xù)的正常運(yùn)行,具備應(yīng)對(duì)變化的彈性和多功能性,支出成本要合理等等。

防火墻品牌選擇:

Gartner魔力象限:

下一代防火墻插圖

NSS Labs:

下一代防火墻插圖(1)

防火墻使用場(chǎng)景:

 

  • 互聯(lián)網(wǎng)出口:檢測(cè)和阻擋來(lái)自互聯(lián)網(wǎng)的威脅
  • 多分支站點(diǎn):多分支站點(diǎn)架構(gòu)中(如零售行業(yè)),尤其是有直接Internet訪問(wèn)的,每個(gè)分支站點(diǎn)的邊界部署防火墻做內(nèi)外網(wǎng)隔離和威脅防護(hù),總部部署集中化管理平臺(tái)做統(tǒng)一管理
  • 站點(diǎn)到站點(diǎn)的VPN:分支機(jī)構(gòu)之間,分支機(jī)構(gòu)與總部之間的安全VPN互聯(lián)
  • 遠(yuǎn)程接入VPN:為遠(yuǎn)程辦公用戶提供VPN接入
  • 數(shù)據(jù)中心:數(shù)據(jù)中心邊界隔離,內(nèi)部東西向訪問(wèn)控制

 

聯(lián)網(wǎng)出口(Internet Edge):

使用場(chǎng)景:

  • 園區(qū)網(wǎng)新建項(xiàng)目
  • 原有的4層防火墻無(wú)法提供7層的防御功能
  • 原有的7層防火墻威脅檢測(cè)效率低,對(duì)零日威脅,惡意軟件往往無(wú)法有效檢測(cè)

防火墻可提供:

  • 高可用性HA
  • 七層高級(jí)威脅防御(應(yīng)用程序控制、IPS、Anti-Virus、Anti-Bot、URL-Filtering…)
  • 可視化安全管理
下一代防火墻插圖(2)

分支機(jī)構(gòu):

使用場(chǎng)景:

  • 每個(gè)分支機(jī)構(gòu)的互聯(lián)網(wǎng)訪問(wèn)走本地互聯(lián)網(wǎng)出口
  • 分支機(jī)構(gòu)之間,分支機(jī)構(gòu)和總部之間需要安全的互聯(lián)訪問(wèn)

防火墻可提供:

  • 下一代防火墻做分支機(jī)構(gòu)互聯(lián)網(wǎng)出口的威脅檢測(cè)和防御
  • 分支機(jī)構(gòu)防火墻之間,分支機(jī)構(gòu)防火墻和總部防火墻之間建立站點(diǎn)到站點(diǎn)的加密的VPN隧道
下一代防火墻插圖(3)

遠(yuǎn)程VPN:

高可用性方案:

 

  • 設(shè)備級(jí)別(A/S或A/A failover)
  • VPN服務(wù)級(jí)別(VPN load balancing)

 

方案級(jí)別(多站點(diǎn)冗余互備):

 

  • 基于零信任的安全VPN解決方案:
  • 用戶的多因素認(rèn)證
  • VPN終端的合規(guī)性檢測(cè)
  • 基于用戶角色、終端信息、合規(guī)性狀態(tài)的訪問(wèn)控制

 

用戶體驗(yàn):

 

  • VPN網(wǎng)關(guān)的自動(dòng)最優(yōu)選擇
  • 斷線自動(dòng)重連機(jī)制

 

 

下一代防火墻插圖(4)

數(shù)據(jù)中心內(nèi)部東西向訪問(wèn)控制:

使用場(chǎng)景:

  • 區(qū)域隔離、高吞吐、低延遲、快速轉(zhuǎn)發(fā)
  • 特定服務(wù)器區(qū)需要部署獨(dú)立IPS系統(tǒng)防御應(yīng)用層攻擊

 

防火墻可提供:

 

  • 高可用性HA
  • 動(dòng)態(tài)路由協(xié)議
  • 策略路由
  • 下一代入侵防御
  • 應(yīng)用識(shí)別和控制AVC
  • 硬件bypass
  • 高級(jí)惡意軟件防護(hù)

 

 

下一代防火墻插圖(5)