梭子魚中國區(qū)產品經理潘淵
企業(yè)為什么需要下一代防火墻?
隨著互聯(lián)網(wǎng)的飛速發(fā)展��, WEB 2.0, 3G/4G移動平臺���,虛擬應用/云計算等新技術的廣泛應用,它們?yōu)槠髽I(yè)帶來業(yè)務便捷的同時�,也帶來了更多的安全威脅。在信息安全建設過程中��,企業(yè)面臨新一輪的挑戰(zhàn):
1) 傳統(tǒng)的防火墻面對日益復雜的應用安全威脅已經顯得力不從心;
2) 防火墻的部署����、管理需要專業(yè)技術人員,小型企業(yè)或者企業(yè)分支機構難以維護;
3) 而防火墻/IPS/病毒墻…這種“羊肉串式”的解決方案正變得日益復雜��,IT投資性價比越來越低;
企業(yè)需要全面的考慮企業(yè)真實網(wǎng)絡環(huán)境下的安全性和實用性��,需要在網(wǎng)絡防火墻具備的端口/協(xié)議/包過濾的基礎上�,增加應用識別控制以及用戶識別控制��,不僅如此�,在真實的應用網(wǎng)環(huán)境下���,自適應的路由功能����,帶寬管理��,全面的網(wǎng)絡接入控制(包括遠程接入)���,以及便捷的網(wǎng)絡擴展性和方便的網(wǎng)絡管理性也是企業(yè)需要考慮的內容。
企業(yè)在選擇下一代防火墻時的注意事項
潘淵認為�,市場上有著大量的下一代防火墻產品,提供的安全功能看似也大致相仿,在這個前提下,企業(yè)可以將網(wǎng)絡管理的便捷性和企業(yè)網(wǎng)絡的可延展性作為重點注意事項.
從網(wǎng)絡延展性的角度講,他談到�,隨著BYOD的普及,企業(yè)辦公地點的延伸,異地辦公,遠程接入變得非常普及,企業(yè)網(wǎng)絡正變得異常龐大,企業(yè)選擇的下一代防火墻產品需要具備良好的可操作性,為多樣化的網(wǎng)絡接入設備提供安全防護,比如識別接入設備的MAC地址,提供更清晰的網(wǎng)絡可識別性.
他認為��,在選擇防火墻的時候不僅僅是設備功能性的問題���,設備提供的可管理性才是企業(yè)安全管理的基石,統(tǒng)一的安全防護策略,快速便捷的網(wǎng)絡部署,中后期的設備維護,需要綜合考慮���,牽扯到大量的人力成本及投資成本,這些都是選擇防火墻的重要注意事項。
梭子魚下一代防火墻的分類和定位
潘淵介紹說,梭子魚下一代防火墻是專為分布式網(wǎng)絡設計產品,由防火墻產品和集中管理平臺組成,提供硬件設備和虛擬應用兩種交付形式,十多款硬件型號中,從專為辦事處/分店等小型機構設計的F10/F100設備,到適合企業(yè)總部/大型數(shù)據(jù)中心使用, 吞吐量達到超過20Gbps的F900設備,可以應對企業(yè)搭建整體網(wǎng)絡的需求����。梭子魚下一代防火墻 體現(xiàn)在以下幾個方面:
1) 智能識別,已識別超過800個應用程序和超過100���,000����,000條URL地址庫
2) 智能流量控制���,在多條鏈路間提供高智能化的應用智能路由�,策略路由等功能�,并且可應用在VPN通道間。
3) 智能集中管理理念�����,以推送的方式����,進行配置&版本&安全庫的同步,通過U盤實現(xiàn)一鍵式快速恢復��。
梭子魚防火墻的優(yōu)勢核心技術以及如何減少成本
梭子魚下一代防火墻采用獨特的三層引擎架構,除了傳統(tǒng)的防火墻功能外��,在應用安全��,應用路由���,VPN組網(wǎng)���,WAN流量優(yōu)化,集中管理方面都進行了專門的設計�,獨具特色。
一方面��,它非常適合于幫助用戶組建大型分布式網(wǎng)絡���。例如:歐洲某金融企業(yè)部署了超過2500臺NG防火墻,并建立VPN網(wǎng)絡����,全球只需4個IT管理員便可支撐系統(tǒng)的穩(wěn)定運行。
另一方面��,它部署便捷����,管理簡單�。 例如:對于小型企業(yè)或者分支機構����,只需要把預配置U盤插入全新的NG設備,啟動設備�,即可運行。不需要現(xiàn)場人員具備任何的專業(yè)知識���。管理員可以通過管理平臺對設備進行所有操作��。
梭子魚下一代防火墻集成了IPS 功能���,擁有實時更新的攻擊庫和病毒庫。下一代防火墻很重要一點是集很多個安全功能為一身的產品���。梭子魚后臺在國外有個實驗室���,時刻關注互聯(lián)網(wǎng)的發(fā)展,通過實驗室的內容發(fā)布�,隨時提供更新攻擊庫的服務。
梭子魚的全圖形化操作界面直觀且全面��,比如防火墻日志會清晰記錄每一個訪問記錄,無論是成功的訪問還是失敗的訪問��,而梭子魚的策略配置獨具特色���,開 創(chuàng)性的將訪問者���,業(yè)務類型,目的地�,認證,出口鏈路等信息在同一個配置界面中呈現(xiàn)���,非常簡潔���,而策略測試是非常有用的一個排障工具,在策略正式生效前可以 進行各種模擬測試���,避免可能導致的網(wǎng)絡故障。
配置中央管理平臺減少維護成本��。潘淵表示���,梭子魚下一代防火墻除具備傳統(tǒng)防火墻功能以外��,還具有應用安全���,應用路由���,BPM網(wǎng)絡搭建,智能流量管 理����,集中管理方面的特色,產品適合用戶組建大型分布式網(wǎng)絡�。管理員可以通過中央管理平臺遠程管理所有設備。節(jié)約了后期維護的成本�����。
企業(yè)選擇梭子魚防火墻的技術支持
梭子魚在上海建立了技術支持中心�����,有專業(yè)的技術支持專家�����,為客戶提供專業(yè)的技術支持和技術問題解決�。潘淵介紹說����,客戶通過定制的服務條款����,可獲得一系列的產品服務。比如實時的文件更新���。又或者���,只要在服務期內,設備發(fā)生任何問題��,都可以享受硬件立即更換的服務�。
梭子魚防火墻給客戶帶來的價值
通過梭子魚下一代防火墻的集中管理界面,可以提供三維立體的NG EARTH工具���,潘淵表示��,可以對3D 地圖上的一個防火墻設備進行管理�,也可以對某兩個防火墻點之間進行拖和拉以建立VPN通道�����,隨時對通道進行管理或者刪除/新建���,通過圖形化界面我們既可以 管理全網(wǎng)設備又可以管理設備間的數(shù)據(jù)傳輸�。操作界面可以涵蓋所有的命令和操作����,進行故障分析和和問題診斷的時候,通過中央管理平臺統(tǒng)一操作�,節(jié)約了大量的 管理成本。
以梭子魚下一代防火墻在歐洲地區(qū)最大的銀行客戶為例��,該客戶擁有超過1440萬客戶���,超過2.2萬名雇員�,超過2500臺自動取款機和自助服務終端和辦公網(wǎng)點�����。通過部署梭子魚的下一代防火墻設備��??蛻臬@得了非常好的效果反饋。
1) 使用安全的AES加密在DSL鏈路上提供安全穩(wěn)定的VPN遠程接入服務,提供遠端設備接入和數(shù)據(jù)私有網(wǎng)絡的搭建�����。對于條件所困的區(qū)域�����,提供3G網(wǎng)絡作為備用鏈路����,隨時可以接管服務,提供了安全高效的數(shù)據(jù)傳輸能力�����。
2) 在數(shù)據(jù)中心采用HA模式部署�,兩臺設備通過VPN進行同步以保障業(yè)務24小時的持續(xù)運行,而在其辦公網(wǎng)絡����,通過一臺帶VPN功能的防火墻設備即可滿足其需求。穩(wěn)定的設備運行保障業(yè)務連續(xù)性���。
3) 全圖形化界面操作和3D化的地圖型VPN通道管理技術���,實現(xiàn)了高度自動化����,在人員數(shù)量和能力有限的情況下��,網(wǎng)絡具備優(yōu)異的擴展性能��,可以滿足每年都遞增的大量遠程終端網(wǎng)點的新建和配置需求����。
4) 無須命令行輸入�,即可進行故障分析和診斷,使日常運維節(jié)約了大量的人力資源和相關的成本支出�����。
下一代防火墻在中國的認知程度
在國內很多企業(yè)和很多安全廠商都相繼提出了下一代防火墻產品�,整個行業(yè)市場正處在逐步加深印象的過程,大部分的下一代防火墻概念目前主要是由分析機 構和廠商來主導�����,潘淵說��,目前梭子魚下一代防火墻在國內的很多客戶都是跨國企業(yè)在國內的分支機構,這些客戶對于梭子魚的產品已有很深刻的了解��,非常愿意在 國內繼續(xù)使用梭子魚產品�����。同時�,非常多的新客戶對于梭子魚下一代防火墻的產品理念都表示出了強烈的興趣,尤其是對于集中管理理念和多種安全功能容于一體的 產品設計�,為用戶提供了多種選擇,大量用戶提出試用申請�����。
梭子魚針對中國市場的計劃
潘淵談道���,現(xiàn)在國內和國外的安全環(huán)境大致相同��,雖然很多國外經驗和技術可以拿來直接使用�����,針對國內的安全環(huán)境還是需要做一些特定的修改��。梭子魚在國 內招聘了專門的技術專家�����,為國內的實際的使用環(huán)境做出相應的修改���,希望產品可以更好融入中國的實際環(huán)境中��,不僅僅能滿足國外客戶的需求,也能更好的滿足國 內客戶的需求����。
