下一代防火墙aaa技术_下一代防火墙价格

下一代防火墙，即Next Generation Firewall，简称NG Firewall。

下一代防火墙aaa技术_下一代防火墙价格

2009年，著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”。第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁。由于采用的是基于服务的架构与Web2.0使用的普及，更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行，这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统（IPS）可根据已知攻击对操作系统与漏失部署补丁的软件进行检查，但却不能有效的识别与阻止应用程序的滥用，更不用说对于应用程序中的具体特性的保护了。

Gartner将网络防火墙定义为在线安全控制措施，即：可实时在各受信级网络间执行网络安全策略。Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性，以应对业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。

2012年伊始，NGFW(Next generation firewall)即下一代防火墙已经成为业界的热点声音。云计算、WEB2.0及移动互联网等一系列新应用技术被广泛使用，Gartner2009年定义NGFW时的认知已经明显不足。NGFW商标持有者，也是中国国内最知名的信息安全品牌TOPSEC(天融信)给出了下一代防火墙必须具备六大特质：基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合。这也补充了Gartner2009年定义NGFW时，对于云计算、web2.0、移动互联等新技术的认知不足。

传统防火墙可以缓解简单的网络攻击，而“新一代”防火墙可以应对企业数据中心的出站漏洞。但只有基于新型数据中心防火墙架构可以在确保基于标准的合规性的同时，通过消除防火墙设备和升级以及最大限度利用其它数据中心资源来显著降低资本支出。这种新型数据中心防火墙架构在网络边界拥有全代理、高连接能力的ADC。

下一代防火墙并不是简单的功能堆砌和性能叠加，下一代防火墙以全局的视角，从解决用户网络面临的实际问题出发来定义才更为妥当。

下一代防火墙并不是凭空而出的产品，也不会是防火墙的终极形态。下一代防火墙需要安全厂商不断的关注IT环境和客户需求的变化、持续专注的技术积累及创新，而厚积薄发的产品成果。

下一代防火墙还会有“下一代”，那会是性能更强，功能更加贴合网络环境与用户需求的产品。

推荐一下电脑管家防火墙功能，很全面我防护电脑。

腾讯电脑管家是腾讯公司出品的永久免费专业安全软件， 2 合 1 杀毒版集“专业病毒查杀、智能软件管理、系统安全防护”于一身，开创了“杀毒 + 管理”2合1的创新模式，先后通过VB100等四大权威测试，杀毒实力跻身全球第一阵营

很多的厂家在炒作这个概念，就和云的概念一样，所谓的下一代，除非你的防御方式可以完全进行改革，忽悠这个概念的目的为的是赚钱，目前只能说是你的算法不同或者是防御的效果比较好

传统防火墙——UTM防火墙——下一代防火墙（UGFW））

现在最多的就是UGFW，华为是USG6000系列。

然后UTM和UGFW的差别是：性能更好

华为指导书原话：传统UTM产品在每个UTM模块（AV、IPS、URL过滤）都进行内容检测相比，下一代防火墙只进行一次检测和处理，系统性能大幅度提升

然后传统防火墙和UTM的差别是：UTM可以检查4层以上报文，传统的只能检查4层以下报文

华为指导书的原话，说的很清楚

防火墙模式和UTM模式是USG5300的两种运行模式。

当USG5300工作在防火墙模式下时，IPS功能、URL过滤功能、AV功能和升级服务不能使用，只能使用传统防火墙功能；当USG5300工作在UTM模式下时，IPS功能、URL过滤功能、AV功能和升级服务以及传统的防火墙功能都可以使用，但是传统防火墙功能的规格有所下降

下一代防火墙是公安部第三研究所研究适用于我国网络环境的功能。下一代防火墙标准GA/T 1177-2014《信息安全技术 第二代防火墙安全技术要求》（“标准”），将国际通用说法“下一代防火墙”更名为“第二代防火墙”，依据安全的强弱和高低将安全等级分为基础级和增强级。锐捷防火墙产品满足第二代防火墙的规范要求，是适用我国网络环境的高性能第二代防火墙。

著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”（参见“工具包：评估信息安全预算，2007年升级版”）。Gartner将网络防火墙定义为在线安全控制措施，即：可实时在各受信级网络间执行网络安全策略。Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性，以应对目前业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。2012年伊始，NGFW(Next generation firewall)即下一代防火墙已经成为目前业界的热点声音。在云计算、WEB2.0及移动互联网等一系列新应用技术被广泛使用的今天，Gartner2009年定义NGFW时的认知已经明显不足。NGFW商标持有者，也是国内最知名的信息安全品牌TOPSEC(天融信)给出了下一代防火墙必须具备六大特质：基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合。这也补充了Gartner2009年定义NGFW时，对于云计算、web2.0、移动互联等新技术的认知不足。

下一代防火墙作为当前网络安全领域讨论最热的产品，天融信下一代防火墙为什么好呢：

NGFW○R系列产品基于天融信公司10年高品质安全产品开发经验结晶的NGTOS系统架构，采用了多项突破性技术。基于分层的设计思想，天融信公司通过长期的安全产品研发经验，分析多种安全硬件平台技术的差异，创造性地提出在硬件和操作系统内核层之间引入硬件抽象层。基于硬件抽象技术，使得NGTOS能适应各种硬件体系平台，并充分利用多种计算技术的优点。通过完善的系统结构设计，使NGTOS对比业界通常使用的其它系统具有如下特性：

高效、可靠的基础系统

NGTOS高效转发系统提供的多任务机制中对任务的控制采用了优先级抢占(Preemptive Priority Scheduling)和轮转调度(Round-Robin Scheduling)机制，充分保证了可靠的实时性，使同样的硬件配置能满足更强的实时性要求，为应用的开发留下更大的余地。同时，采用专为报文转发设计实现的系统，与通用操作系统相比，内容更精简，稳定性、可靠性更高。

应用安全精细识别与控制

NGTOS能够精确的识别12大类，超过400种当今互联网中常见和流行的网络协议，而这些协议的识别，并不是像传统防火墙中依赖端口号来简单的区分应用。天融信组建了一支专业的协议分析团队，密切的跟踪互联网应用协议的变化动态，及时的更新设备内置的应用协议特征库。在业界通用的单包特征匹配方法(DPI)之外，天融信还独创行为识别方法(DFI)，通过的报文地址、端口、长度、数量，以及多个会话间的关联关系，来识别很多种特征并不明显或特征经常发生变化的协议，例如一些P2P应用和加密协议。

内容安全策略完美整合

由于传统防火墙基于五元组的访问控制机制无法应对各种复杂的网络应用，因此，NGTOS中的安全策略整合了用户身份、应用识别与控制、IPS、AV、URL过滤、垃圾邮件过滤、流量控制等等多种安全特性，从而构建了全方位立体化的安全防御体系。而这些安全已经实现单一引擎处理和联动，例如入侵防御功能侦测到的威胁可以自动加载到防火墙规则内，在网络层就能提前阻断。它们之间已经不仅仅再是互动关系，而是一个整体。

高性能平台

据测算，到2015年通过网络处理的数据量将比目前增长4倍，这对网络设备的性能提出了更高要求。天融信NGTOS基于先进的SmartAMP并行处理架构，内置处理器动态负载均衡专利技术，结合独创的SecDFA核心加速算法，保证了在NGFW○R产品中开启全特征和全部流量的情况下，整机的转发性能并不受明显的影响。与此同时，天融信通过此次与Intel的合作，利用Intel数据层高速处理技术将数据包处理解决方案快速迁移到最新的英特尔架构平台上，以获得最优性能。Intel数据层高速处理技术是一套用于高速网络的数据平面库，与Intel多核平台合而为一，可获得更高的数据包处理能力。通过将天融信NGTOS与Intel数据层高速处理技术进行有效整合，使天融信NGFW○R系列产品单安全引擎板网络吞吐性能达到40Gbps,而在天融信并行多级的硬件架构下通过部署多安全引擎将使NGFW○R旗舰机型整机吞吐达到320Gbps

区别：

1、功能

下一代防火墙结合了传统防火墙的许多功能，包括数据包过滤，网络地址转换（NAT）和端口地址转换（PAT），URL阻塞和虚拟专用网络（VPN），以及服务质量（QoS）功能和传统防火墙中没有的其他功能。

其中包括入侵防御，SSL和SSH检查，深度数据包检测，基于信誉的恶意软件检测以及应用程序感知。这些特定于应用程序的功能旨在阻止在OSI网络堆栈的第4-7层发生的越来越多的应用程序攻击。

2、数据检测

下一代防火墙提供深度包检测功能，通过检查网络数据包中携带的数据，超越简单的端口和协议检查。

3、应对威胁

下一代防火墙增加了应用级检查，入侵防御以及对威胁情报服务提供的数据采取行动的能力。此外，下一代防火墙扩展了NAT，PAT和VPN支持的传统防火墙功能，以在路由模式下运行，防火墙在其中充当路由器，以及透明模式，其中防火墙的行为类似于线路中的突起它扫描数据包，同时还集成了新的威胁管理技术。

扩展资料

下一代防火墙（next-generation firewall,NGFW）是第三代防火墙技术的一部分，可以在硬件或软件中实现，并且能够通过在应用程序，端口和协议级别实施安全策略来检测和阻止复杂的攻击。

大多数下一代防火墙至少集成了三个基本功能：企业防火墙功能，入侵防御系统（IPS）和应用程序控制。

与在传统防火墙中引入状态检查一样，NGFW为防火墙的决策过程带来了额外的环境，使其能够了解通过它的Web应用程序流量的详细信息，并采取措施阻止可能利用漏洞的流量。

参考资料：

防火墙作为做最基本的安全设备，从最早的传统防火墙，到后来的UTM设备，再到2009年Gartner提出下一代防火墙的概念，经历了较长的演变史，这也是因为传统的防火墙已经不能满足现在新网络环境下的安全需求。举个例子来说，传统防火墙是以IP定义用户，以端口定义应用，但现在很多网络应用开始使用非分配端口，或者随机指定的端口，比如迅雷这种P2P应用，以端口定义应用不再有效。而IP地址往往也会因为使用者的接入位置改变而随之改变，以IP定义用户的方式也不再有效。

正是为了弥补传统防火墙的不足，下一代防火墙不再只基于五元组进行访问控制，还融合了应用识别技术，可以直接识别应用协议本身，而不是通过端口号定义应用。同时也可以与户认证系统联动，实现任何用户在接入网络后自动获得对应访问权限，做到策略跟随。

除了刚刚提到的基于用户和应用进行访问控制的功能外，下一代防火墙与传统防火墙的另一个主要区别就是下一代防火墙除了基本的三层的访问控制功能，还集成很多应用层的安全功能，比如应用识别、入侵防御、病毒防护、web防护等等，可以进行深度安全防护，而且下一代防火墙只需进行一次拆包即可匹配所有安全特征，提高了设备内部处理效率。

下一代防火墙和传统防火墙的区别。软件问题。下一代防火墙是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。传统防火墙功能：具有数据包过滤、网络地址转换（NAT）、协议状态检查以及VPN功能等功能。相对而言，下一代防火墙检测更加细。UTM 与下一代防火干墙有一些交集，但二者有本质的区别，Unified Threat Management，统一威胁管理。即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理新类别。而且新一代防火墙还具有云防护能力。

下面详细地看看下一代防火墙的这些特性：

1.应用程序感知

传统防火墙与下一代防火墙的最大不同是：下一代防火墙可以感知应用程序。传统的防火墙依赖常见的应用程序端口来决定正在运行的应用程序以及攻击类型。而下一代防火墙设备并不是认为特定的应用程序运行在特定的端口上。防火墙必须能够在第二层到第七层上监视通信，并且决定发送和接收哪类通信。

最常见的例子是当前对HTTP和80号端口的使用。传统上，这个端口仅用于HTTP的通信，但如今的情况不同了，而且有大量的不同应用程序都使用这个端口在终端设备和中央服务器之间传送通信。常见端口用于不同类型通信的方法有很多种，其中最常见的方法之一就是隧道技术。借助于隧道技术，通信在传统的 HTTP数据字段内部建立隧道，并在目的结点解开封装。从传统的防火墙的观点看，这看起来就是简单的HTTP Web通信，但对于下一代防火墙来说，它真正的目的在其能够到达目的结点之前就在防火墙上被发现了。如果这种通信是由下一代防火墙的策略所允许的，就放行;否则，防火墙将阻止通信。

2.身份感知

传统防火墙和下一代防火墙之间的另一个很大的不同点是，后者能够跟踪本地通信设备和用户的身份，它一般使用的是现有的企业认证系统(即活动目录、轻量目录访问协议，等)。信息安全人员通过这种方法就不仅能够控制允许进出网络的通信类型，还可以控制哪个特定用户可以发送和接收数据。

3.状态检测

虽然从状态检测的一般定义上来看，下一代防火墙并无不同，但它不是仅跟踪第二层到第四层的通信状态，而是要能够跟踪第二层到第七层的通信状态。这种不同可以使安全人员实施更多控制，而且可以使管理员能够制定更精细的策略。

4.集成IPS

入侵防御系统(IPS)能够根据几种不同的技术来检测攻击，其中包括使用威胁特征、已知的漏洞利用攻击、异常活动和通信行为的分析等。

在部署了传统防火墙的环境中，入侵检测系统或入侵防御系统是经常部署的设备。通常，这种设备的部署是通过独立的设备部署的，或是通过一个设备内部在逻辑上独立的设备来部署的。而在下一代防火墙中，入侵防御或入侵检测设备应当完全地集成。入侵防御系统本身的功能与其在独立部署时并无不同，下一代防火墙中此功能的主要不同在于性能，以及通信的所有层如何实现对信息的访问。

5.桥接和路由模式

桥接或路由模式虽不是全新的特征，但下一代防火墙的这种功能仍很重要。在当今的网络中部署了许多传统的防火墙，但其中的多数并非下一代防火墙。为更容易地过渡下一代防火墙，下一代防火墙必须能够以桥接模式(也称为透明模式)连接，设备本身并不显示为路由路径的一部分。对任何一家特定的企业来说，在合适的时间，下一代防火墙应逐渐地替换传统防火墙，从而使用路由模式。

比较下一代防火墙

如今的市场上有不少信息安全方案都宣称自己是下一代防火墙。如何发现其差异并?下面谈几个审查和比较下一代防火墙的标准：

1.下一代防火墙是否可以防御针对服务器应用和客户端应用的攻击?其防御程度如何?

2.是否能被规避或逃脱?

3.它是否稳定和可靠?

4.该方案是否能够强化入站和出站的应用策略?

5.该方案是否能够强化入站和出站的身份策略?

6.其性能如何?

进一步讲，企业选择部署哪种防火墙设备取决于几个有限的因素。这是因为多数设备都满足下一代防火墙的范畴，并能执行同样的任务。所以，为什么要选择这个而不选那个?安全管理者最初可能是凭个人的喜爱和直觉来选择，有时是根据一些事实或道听途说的证据，但这些毕竟已经成为选择标准的一部分。

在选择具体的方案时，我们应考虑设备的功效问题。其中一个主要方面在发生了针对服务器和客户端应用的攻击时，具体的方案可以阻止攻击的比例有多大。虽然不同的方案之间的差异可能很小，但正是这小小的不同就可能成为发生严重安全事件和挫败攻击的分水岭。

另一个需要考虑的因素是可通过设备的总吞吐量。由于这些设备在总吞吐量方面并不能直接比较，那如何更好地使用此标准呢?方法之一就是衡量每个受保护的比特所花费的成本。如果企业没有经过审查而优先选择了一家厂商，那么机会成本是什么呢?那就是还有一个更小巧或更强大的版本满足企业环境的要求。

企业需要考虑的最后一个因素是该方案利用的电能和空间。还是那个问题，不同的设备并不能直接比较，一个简单的比较和决定方法是，将设备的消耗量除以设备的规模(或除以设备的总吞吐量)，并比较不同设备的计算结果。

1.包过滤技术

包过滤技术是一种简单、有效的安全控制技术，它工作在网络层，通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。

防火墙技术有哪些？防火墙的核心技术及最新防火墙技术

包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。

2.应用代理技术

应用代理防火墙工作在OSI的第七层，它通过检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。

应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。

3.状态检测技术

状态检测防火墙工作在OSI的第二至四层，采用状态检测包过滤的技术，是传统包过滤功能扩展而来。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。主要特点是由于缺乏对应用层协议的深度检测功能，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。

4.完全内容检测技术

完全内容检测技术防火墙综合状态检测与应用代理技术，并在此基础上进一步基于多层检测架构，把防病毒、内容过滤、应用识别等功能整合到防火墙里，其中还包括IPS功能，多单元融为一体，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路，(因此也被称为“下一代防火墙技术”)。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。完全内容检测技术防火墙可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细等优点，但由于功能集成度高，对产品硬件的要求比较高。