訪問控制

防火墻是最具策略性的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)組件，可以檢測所有通信流。因此，防火墻是企業(yè)網(wǎng)絡(luò)安全控制的中心，通過部署防火墻來強化網(wǎng)絡(luò)的安全性，是實施安全策略的最有效位置。不過，傳統(tǒng)的防火墻是依靠端口和通信協(xié)議來區(qū)分通信流內(nèi)容，這樣導(dǎo)致精心設(shè)計的應(yīng)用程序和技術(shù)內(nèi)行的用戶可以輕松地繞過它們；例如，可以利用跳端口技術(shù)、使用 SSL、利用 80 端口秘密侵入或者使用非標(biāo)準(zhǔn)端口來繞過這些防火墻。

       由此帶來的可視化和控制喪失會使管理員處于不利地位，失去應(yīng)用控制的結(jié)果會讓企業(yè)暴露在商業(yè)風(fēng)險之下，并使企業(yè)面臨網(wǎng)絡(luò)中斷、違反規(guī)定、運營維護成本增加和可能丟失數(shù)據(jù)等風(fēng)險。用于恢復(fù)可視化和控制的傳統(tǒng)方法要求在防火墻的后面或通過采用插接件集成的組合方式，單獨部署其他的“輔助防火墻”。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲（將引發(fā)掃描進程）的不足，均無法解決可視化和控制問題。現(xiàn)在需要一種完全顛覆式的方法來恢復(fù)可視化和控制。而新一代防火墻正是我們所需的。

       Gartner在研究報告中通過對目前市場的分析，說明對于需要規(guī)劃和升級傳統(tǒng) FW/IPS/UTM 的用戶提出明確的建議，建議用戶應(yīng)采用或更新為 ”新一代防火墻 ” (Next Generation Firewall, NGFW)架構(gòu)，理由很簡單傳統(tǒng)的防火墻遠遠不能適合現(xiàn)在IT變遷的新的形勢：
       傳統(tǒng)的防火墻+IPS不能解決應(yīng)用的可視性和精細控制的問題，傳統(tǒng)的防火墻+UTM 會帶來性能的瓶頸問題，而權(quán)衡新一代防火墻必須五大要素：
        •           識別應(yīng)用程序而非端口。準(zhǔn)確識別應(yīng)用程序身份，檢測所有端口，而且不論應(yīng)用程序使用何種協(xié)議、SSL、加密技術(shù)或規(guī)避策略。應(yīng)用程             序的身份構(gòu)成所有安全策略的基礎(chǔ)。（識別七層或七層以上應(yīng)用）
        •           識別用戶，而不僅僅識別 IP 地址。
                           利用企業(yè)目錄中存儲的信息來執(zhí)行可視化、策略創(chuàng)建、報告和取證調(diào)查等操作。
        •           實時檢查內(nèi)容。
                           幫助網(wǎng)絡(luò)防御在應(yīng)用程序通信流中嵌入的攻擊行為和惡意軟件，并且實現(xiàn)低延遲和高吞吐速度。
        •           簡化策略管理。
                           通過易用的圖形化工具和策略編輯器（可通過統(tǒng)一的方式將應(yīng)用程序、用戶和內(nèi)容結(jié)合在一起）來恢復(fù)可視化和控制。
        •           提供數(shù)千兆位的數(shù)據(jù)吞吐量。
                           在一個專門構(gòu)建的平臺上結(jié)合高性能硬件和軟件來實現(xiàn)低延遲和數(shù)千兆位的數(shù)據(jù)吞吐量性能。