日益紧迫的安全威胁,催生着传统安全服务和产品的改变。对企业或机构来说,安全产品中的防火墙更是首当其冲,需要保证业务模式的抗攻击性,持续的正常运行,具备应对变化的弹性和多功能性,支出成本要合理等等。
防火墙品牌选择:
Gartner魔力象限:
NSS Labs:
防火墙使用场景:
- 互联网出口:检测和阻挡来自互联网的威胁
- 多分支站点:多分支站点架构中(如零售行业),尤其是有直接Internet访问的,每个分支站点的边界部署防火墙做内外网隔离和威胁防护,总部部署集中化管理平台做统一管理
- 站点到站点的VPN:分支机构之间,分支机构与总部之间的安全VPN互联
- 远程接入VPN:为远程办公用户提供VPN接入
- 数据中心:数据中心边界隔离,内部东西向访问控制
互联网出口(Internet Edge):
使用场景:
- 园区网新建项目
- 原有的4层防火墙无法提供7层的防御功能
- 原有的7层防火墙威胁检测效率低,对零日威胁,恶意软件往往无法有效检测
防火墙可提供:
- 高可用性HA
- 七层高级威胁防御(应用程序控制、IPS、Anti-Virus、Anti-Bot、URL-Filtering…)
- 可视化安全管理
多分支机构:
使用场景:
- 每个分支机构的互联网访问走本地互联网出口
- 分支机构之间,分支机构和总部之间需要安全的互联访问
防火墙可提供:
- 下一代防火墙做分支机构互联网出口的威胁检测和防御
- 分支机构防火墙之间,分支机构防火墙和总部防火墙之间建立站点到站点的加密的VPN隧道
远程VPN:
高可用性方案:
- 设备级别(A/S或A/A failover)
- VPN服务级别(VPN load balancing)
方案级别(多站点冗余互备):
- 基于零信任的安全VPN解决方案:
- 用户的多因素认证
- VPN终端的合规性检测
- 基于用户角色、终端信息、合规性状态的访问控制
用户体验:
- VPN网关的自动最优选择
- 断线自动重连机制
数据中心内部东西向访问控制:
使用场景:
- 区域隔离、高吞吐、低延迟、快速转发
- 特定服务器区需要部署独立IPS系统防御应用层攻击
防火墙可提供:
- 高可用性HA
- 动态路由协议
- 策略路由
- 下一代入侵防御
- 应用识别和控制AVC
- 硬件bypass
- 高级恶意软件防护
