话说下一代防火墙(NGFW)的“三个”

合集下载

防火墙的发展历史

防⽕墙的发展历史防⽕墙发展历史第⼀代：包过滤防⽕墙第⼆代：代理防⽕墙第三代：状态监测防⽕墙（发展史上的⾥程碑）第四代：统⼀威胁管理（简称UTM）第五代：下⼀代防⽕墙（简称NG）NOTE:1) 我们现在常见的防⽕墙都是第五代防⽕墙。

2) 第五代防⽕墙的名字就叫“下⼀代防⽕墙”，没有指代之意。

第⼀代和第⼆代防⽕墙第⼀代防⽕墙是1989年产⽣的，仅能实现简单的访问控制。

第⼆代防⽕墙是代理防⽕墙，在应⽤层代理内部⽹络和外部⽹络之间的通信。

代理防⽕墙的安全较⾼，但是处理速度较慢，⽽且对每⼀个应⽤都要开发⼀个代理服务很难做到，因此只能对少量的应⽤提供代理⽀持。

我们下⾯描述⼀下第⼀代防⽕墙和第⼆代防⽕墙的⼯作过程：如上图所⽰，PC和WEB服务器位于不同的⽹络，分别与防⽕墙相连，PC与WEB服务器之间的通信受到防⽕墙的控制。

当PC需要访问WEB服务器⽹页时，在防⽕墙上必须配置下表当中列出的⼀条规则：允许PC访问访问WEB服务器的报⽂通过。

这⾥说的规则其实就是指防⽕墙上的安全策略。

只不过本节重点讲解状态检测和会话机制，安全策略不是重点，所以通过规则来简化描述。

关于安全策略的内容我们将在后⾯的⽂章当中讲解。

在这条规则当中，源端⼝处的ANY表⽰任意端⼝，这是因为PC在访问WEB的时候端⼝是操作系统随机指定的，并不是确定的，所以这⾥设定为任意端⼝。

配置了这条规则之后，PC发出的报⽂就可以顺利的通过防⽕墙，到达WEB服务器，然后WEB服务器会向PC发送回应报⽂，这个报⽂也要穿过防⽕墙，在第三代防⽕墙（状态监测防⽕墙）出现之前，第⼀代和第⼆代防⽕墙还必须配置下表当中的规则，允许反⽅向的报⽂通过防⽕墙。

在规则2当中，⽬的端⼝也没有设定为任意端⼝，因为我们⽆法确定PC访问WEB到底⽤的哪个端⼝，要想使得WEB服务器的回应报⽂顺利通过防⽕墙到达PC，只能将规则2当中的⽬的端⼝设定为任意端⼝。

任意端⼝其实也就是所有端⼝，这样会有很⼤的安全隐患，外部的恶意报⽂者伪装成WEB服务器，就可以畅通⽆阻的穿过防⽕墙，PC 将会⾯临严重的安全风险。

天融信NGFW系列防火墙-猎豹(万兆)产品说明

精细的应用识别与控制 ...............................................................................................3 全面保障 WEB 应用安全 ............................................................................................4 双引擎病毒检测 ...........................................................................................................4 强大的攻击检测能力 ...................................................................................................4 一体化智能过滤引擎 ...................................................................................................5 高效转发平台 ........................................................................................................................ 5 TOS 安全系统平台.......................................................................................................5 TopTURBO 数据层高速处理.......................................................................................6 TopASIC 芯片级安全防护 ...........................................................................................7 多层级冗余化 ........................................................................................................................ 8 物理级冗余 ...................................................................................................................9 系统级冗余 ...................................................................................................................9 方案级冗余 ...................................................................................................................9 全方位可视化 ...................................................................................................................... 10 节点可视 .....................................................................................................................10 全网可视 .....................................................................................................................10 安全技术融合 ...................................................................................................................... 10 全面防御 .....................................................................................................................10 虚拟化接入技术 .........................................................................................................11 4 产品功能.....................................................................................................................................13 基础功能 .............................................................................................................................. 13 负载均衡 .............................................................................................................................. 14 流量管理 .............................................................................................................................. 15 反垃圾邮件 .......................................................................................................................... 15 攻击防护 .............................................................................................................................. 15 病毒防御 .............................................................................................................................. 15 上网行为管理 ...................................................................................................................... 16 远程接入 .............................................................................................................................. 16 5 产品规格......................................................................................................................................17 6 产品资质......................................................................................................................................18 7 典型应用......................................................................................................................................19 云数据中心 .......................................................................................................................... 19 企业互联网边界 .................................................................................................................. 20 高校多出口环境 .................................................................................................................. 21

深信服下一代防火墙介绍

传统防火墙厂商
从90年代随着我国第一波信息化安全浪潮涌现了老牌安全公司，同时2000年之后涌现了山石网科，定位为传统防火墙厂商，其防火墙专注于传统防火墙功能，如网络适应性、访问控制协议、会话管理等基本功能。典型代表：天融信、启明星辰、绿盟科技
国外厂商
在中国的外资厂商，国外厂商采用渠道化战略，定位中高端客户，通常高度产品化，以技术路线运作项目典型代表：Fortinet（飞塔）、 Checkpoint、Palo Alto
集成学习
深度神
SAVE
经网络
深信服人工智能杀毒引擎SAVE
Sangfor Anti-Virus Engine
自然语言处理
创新人工智能无特征技术准确检测未知病毒
Bad Rabbit（17年10月出现的最新勒索病毒），年后最新出现的 GlobeImposter 2.0 勒索病毒均能使用旧模型查杀。
解决之道之二：简单有效
全程可视
风险的可视保护过程的可视保护结果的可视
优势1
简单交付
一体化策略部署全过程运营中心综合风险报表
优势 2
高效稳定
单次解析多模匹配算法软硬件双冗余架构
优势 3
1 防火墙需求背景 2 产品功能 3 价值主张 4 市场地位
为什么之选深信服NGAF？
高速增长，年复合增长超70% 2011年发布国内首台下一代防火墙 4万家用户一致好评 5.4万台在线稳定运行
简单有效
全程可视+简单交付
解决之道之一：融合安全
事前预知
事中防御
事后检测／响应
解决之道之一：融合安全
潜伏威胁事件检测和分析 4
安全策略加固和有效性自检

Cisco Firepower 下一代防火墙

数据表Cisco Firepower 下一代防火墙Cisco Firepower™ 下一代防火墙 (NGFW) 是业内首款具有统一管理功能的完全集成、专注于威胁防御的下一代防火墙。

它包括应用可视性与可控性 (AVC)、可选的Firepower 下一代 IPS (NGIPS)、思科®高级恶意软件防护 (AMP) 和 URL 过滤。

在攻击前、攻击中和攻击后，Cisco Firepower NGFW 均可提供高级威胁防护。

性能亮点表 1 概述 Cisco Firepower NGFW 4100 系列和 9300 设备的性能亮点。

表 1.性能亮点1 Cisco Firepower 4150 计划于 2016 年上半年发布；具体技术参数将于日后发布 2数据包平均大小为 1024 字节的 HTTP 会话Cisco Firepower 4100 系列：带 40-GbE 接口的业内首款 1RU NGFWCisco Firepower 9300：随需求增长可扩展的超高性能 NGFW平台支持Cisco Firepower 4100 系列和 Firepower 9300 NGFW 设备使用 Cisco Firepower 威胁防御软件映像。

这些设备还可以支持思科自适应安全设备 (ASA) 软件映像。

Cisco Firepower 管理中心（原来的 FireSIGHT）提供 Cisco Firepower NGFW 以及 Cisco Firepower NGIPS 和思科 AMP 的统一管理。

此外，优选 Cisco Firepower 设备上还提供直接源自思科的 Radware DefensePro 分布式拒绝服务 (DDoS) 缓解功能。

Cisco Firepower 4100 系列设备Cisco Firepower 4100 系列包括四个专注于威胁防御的 NGFW 安全平台。

其最大吞吐量从 20 Gbps 到 60 Gbps 以上，可应对从互联网边缘到数据中心等各种使用案例。

思科 Firepower 4110

产品手册思科 Firepower 下一代防火墙思科 Firepower™下一代防火墙 (NGFW) 是业内首款专注于威胁防御的下一代防火墙，它将多种功能完全集于一身，采用统一管理，可在攻击前、攻击中和攻击后提供独一无二的高级威胁防护。

阻止更多威胁使用行业领先的思科®高级恶意软件防护(AMP) 和沙盒技术遏制各种已知和未知恶意软件。

获得更高可视性思科 Firepower 下一代 IPS 可对您的环境提供卓越的可视性。

它能自动确定风险评级和影响标记，从而帮助您的团队确定事务优先级。

加快检测和响应速度思科年度安全报告确定各企业的从感染到检测的中值时间为 100 天。

而思科能够将检测时间缩短至不到一天。

降低复杂性通过紧密集成应用防火墙、NGIPS 和 AMP 等安全功能实现统一管理和自动威胁关联。

让您的网络发挥更多价值选择性地集成其他的思科和第三方网络和安全解决方案，提高安全性和利用现有投资。

性能亮点表 1 概括列出思科 Firepower NGFW 4100 系列和 9300 安全设备及特定思科 ASA 5500-X 设备的性能亮点。

Table 1. 性能亮点功能思科 Firepower 型号思科 ASA 5500-FTD-X 型号4110 4120 4140 4150 带 1 个SM-24 模块的 930带 1 个SM-36 模块的 930带 1 个SM-44 模块的 930带 3 个SM-44 模块的 9305506-FTD-X5506W-FTD-X5506H-FTD-X5508-FTD-X5516-FTD-X5525-FTD-X5545-FTD-X5555-FTD-X防火墙吞吐量 (ASA)35 Gbps 60 Gbps 70 Gbps 75 Gbps 75 Gbps 80 Gbps 80 Gbps 234 Gbps 750 Mbps750 Mbps750 Mbps1 Gbps 1.8 Gbps2 Gbps3 Gbps4 Gbps吞吐量：防火墙+ AVC（Firepower 威胁防御）12 Gbps 20 Gbps 25 Gbps 30 Gbps 30 Gbps 42 Gbps 54 Gbps 135 Gbps 250 Mbps250 Mbps250 Mbps450 Mbps850 Mbps1100 Mbps1500 Mbps1750 Mbps吞吐量：防火墙+ AVC + NGIPS（Firepower 威胁防御）10 Gbps 15 Gbps 20 Gbps 24 Gbps 24 Gbps 34 Gbps 53 Gbps 133 Gbps 125 Mbps125 Mbps125 Mbps250 Mbps450 Mbps650 Mbps1000 Mbps1250 Mbps1吞吐量计算基于数据包平均大小为 1024 字节的 HTTP 会话。

Gartner定义下一代防火墙

Gartner定义下一代防火墙防火墙必须演进，才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。

随着攻击变得越来越复杂，企业必须更新网络防火墙和入侵防御能力来保护业务系统。

不断变化的业务流程、企业部署的技术，以及威胁，正推动对网络安全性的新需求。

不断增长的带宽需求和新应用架构(如Web2.0)，正在改变协议的使用方式和数据的传输方式。

安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。

在这种环境中，简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测，不再有足够的价值。

为了应对这些挑战，防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(NextGenerationFirewall，简称NGFW)”的产品。

如果防火墙厂商不进行这些改变的话，企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。

一、什么是NGFW?对于使用僵尸网络传播方式的威胁，第一代防火墙基本上是看不到的。

随着面向服务的架构和Web2.0使用的增加，更多的通信通过更少的端口(如HTTP 和HTTPS)和使用更少的协议传输，这意味着基于端口/协议的政策已经变得不太合适和不太有效。

深度包检测入侵防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知攻击方法，但不能有效地识别和阻止应用程序的滥用，更不要说应用程序中的特殊性了。

Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。

Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。

NGFW至少具有以下属性：1．支持联机“bump-in-the-wire”配置，不中断网络运行。

2．发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：（1）标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。

深信服下一代防火墙NGAF 品牌实力介绍

深信服下一代防火墙中国第一品牌下一代防火墙已是大势所趋国际三大权威IT调研机构一致推荐优先使用下一代防火墙『我们预计到2014 年，35% 的企业将会安装下一代防火墙，而60%用户新购买的防火墙将是NGFW，并且它会拥有紧密集成的入侵防护、应用可视性和控制功能。

』——Gartner『随着市场对下一代安全网关的需求增加，预计到2018年，这一比例将达到80%，2013到2018年的5年复合增长率超过40%。

』——IDC『我们不再将整合式防火墙(Integrated Appliance)中入侵检测(IDS)/入侵防御(IPS)的市场份额取出，而是将下一代防火墙中的各个功能视为一个整体，称为”整合式网络安全设备”。

』——Frost&Sullivan90%的主流安全厂商已发布下一代防火墙目前国内主流的安全厂商已发布下一代防火墙，而作为国内下一代防火墙第一品牌，早在2011年，深信服就发布国内首款下一代防火墙NGAF，自发布后国内追随者不断，但销量一直稳居市场份额榜首，拥有最多用户数量。

截止2014年9月，深信服下一代防火墙在全国的用户累计超过8000家，在线稳定运行的设备超过15000台。

用户覆盖各行各业，其中包括60多家部委省厅级单位、80多家运营商金融单位、90多家知名教育单位、超过百家大型企业，国资委下属央企集团，用户数量遥遥领先。

68%的用户已优先选择下一代防火墙根据深信服往年的销售数据分析，在有安全建设需求的客户当中已有68%的客户购买了下一代防火墙。

国内第二代防火墙标准发布2015年2月4日由公安部网络安全保卫局、公安部科技信息化局和公安部第三研究所指导，深信服科技等国内主流安全厂商主办的第二代防火墙标准联合发布会在京召开，标志着国内下一代防火墙产品的技术选型有了权威的指导标准。

而深信服则是最早参与起草第二代防火墙标准的国内安全厂商，在标准的制定过程当中积极参与主导，提供了大量的技术咨询，建议和修订工作，历史两年最终完成该标准的出台和发布。

下一代防火墙产品知识介绍

威胁检测系列
➢ 恶意代码发现 ➢ 蜜罐系统 ➢ 底层硬件威胁检查 ➢ 网络边界完整性检查
工控安全系列
➢ 工控防火墙 ➢ 工控入侵检测/工控业
务检测 ➢ 工控漏扫/工控安全运
维平台 ➢ 工控终端控制/工控无
线安全 ➢…
传统上，防火墙的安全能力包括：
• 基于IP五元组的访问控制策略 • 基于静态特征匹配的应用层安全防护 • 对网络行为和部分明文数据记录日志 • 策略配置和威胁处理依赖管理员技术能力 • 单纯防火墙形态可支撑数G的业务流量
➢ 终端管理 ➢ 终端防泄密 ➢ 景云网络防病毒 ➢ 移动设备管理 ➢ 数据安全（文档加密）
泰合系列
➢ 安全管理平台（SOC） ➢ 业务支撑平台（BSM） ➢ 综合日志审计（SA） ➢ 网络行为分析（NBA） ➢ 应用性能管理（APM） ➢ 4A平台 ➢ 弱口令核查系统 ➢ 漏洞管理平台
合众系列
➢ 视频安全交换系统 ➢ 光盘物理摆渡系统 ➢ 电子文档访问控制 ➢ 分布式数据库系统 ➢ 大数据基础平台 ➢ 数据集成系统 ➢ 请求服务系统 ➢ 集中监控管理系统
平面（安全业务处理）动态分配不同平面的CPU资源，无分流瓶颈或业务瓶颈开启全部安全特性，64字节小包吞吐量可达100G bps
T系列NGFW有效提升您的下一代安全能力
基础
高性能架构
基于第三代多核并行化架构，提供高达160G的吞吐能力和超万兆实网性能。
核心价值
安全控制能力
基于七元组、多维度的安全控制能力，涵盖访问控制、会话控制、行为控制和流量控制
Internet
可疑文件发送至APT检测引擎
分析样本提取特征
– T系列下一代防火墙支持与启明星辰天清APT形成安全解决方案，为客户提供面向0DAY/APT攻击的纵深防护体系。

绿盟下一代防火墙产品介绍

易用
稳定
让入侵防护强大
怎样强化安全能力？
• 获得NSS Labs推荐的IPS签名库 • 3000+无重复特征库 • 检出率国际领先 • 13年自研经验，国内技术领军
FROST & SULLIVAN
绿盟科技
下一代防火墙
继承
蠕虫
间谍软件
SQL 注入
木马
怎样强化安全能力？
让潜在威胁无处遁形
• WEB信誉防范钓鱼，挂马网站 • 启发式分析快速识别病毒变种 • 文件过滤轻松屏蔽恶意软件
APP signature
非法应用
可疑应用
进站
合法应用
AV
IPS
signature signature
Malware
URL
signature signature
内容过滤
出
站
病毒防御
URL过滤
入侵防护
一体化安全策略框架
用户价值篇安全、易用、稳定
绿盟下一代防火墙核心价值
安全
绿盟科技下一代防火墙
15Mbps Http病毒
应用层
内容层
OSI分层
1+1<1的原因
防火墙
防火墙安全策略 IP协议/端口解析
L2数据包解析
URL引擎
URL分类策略应用层协议解码 IP协议/端口解析 L2数据包解析
IPS引擎
威胁防护策略威胁签名匹配应用层协议解码 IP协议/端口解析 L2数据包解析
AV引擎
病毒防护策略
怎样提高稳定性？
安全引擎故障不影响转发安全引擎升级不中断转发双引擎间资源共享
快速升级，高风险，低可靠
安全引擎

Paloalto下一代防火墙运维手册

Paloalto防火墙运维手册目录下一代防火墙产品简介Paloalto下一代防火墙(NGFW)是应用层安全平台。

解决了网络复杂结构，具有强大的应用识别、威胁防范、用户识别控制、优越的性能和高中低端设备选择。

数据包处理流程图：查看会话可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙，如果会话已经建立，并且一直有后续报文命中刷新,基本可以排除防火墙的问题。

2.1.查看会话汇总命令：showsessioninfo举例：admin@PA-VM>showsessioninfo说明：通过以上命令可以查看到设备支持会话数的最大值，从而检查是否有负载的情况发生。

2.2.查看sessionID命令：showsessionidXX举例：说明：从以上命令中可以看出到底是否存在非法流量，可以通过检查源地址和目的地址端口等信息2.3.条件选择查看会话命令：showsessionallfiltersource[ip]destination[ip]application[app]举例：说明：可以检查一些风险会话2.4.查看当前并发会话数命令：showsessioninfo举例：当前并发会话13个，而最大会话为262138，说明会话利用率并不高，最后一条红色标记为新建数值。

说明：了解设备当前并发会话情况2.5.会话过多处理方法命令：1、showsessionall（检查所有session）2、showsessionidXX（检查该session是否不法流量）说明：如果发现会话数大于设备可支撑的性能，需要按照以上步骤检查和清除或者防御通过第一步发现占会话总数较多的ID，通过第二步检查该ID是否存在不法app或者其他流量，通过Dos保护或者会话限制该IP数目（如果确定是攻击，可以通过安全策略屏蔽该IP地址访问）。

清除会话命令：Clearsessionall举例：可通过sessionid、源或目的IP、源或目的端口或清除所有会话。

思科Firepower下一代防火墙（NGFW）数据表说明书

Data SheetCisco Firepower Next-Generation Firewall (NGFW) Prevent breaches, get deep visibility to detect and stop threats fast, and automate your network and security operations to save time and work smarter.Model OverviewCisco Firepower 2100 SeriesThe industry’s first midrange NGFWs delivering sustainable performance when threat inspection is enabledCisco Firepower 4100 Series:The industry’s first 1RU NGFWs with 40-GbpsinterfacesCisco Firepower 9300:Ultra-high-performance NGFW, expandable as yourneeds growCisco ASA 5500-X Series:Models for branch offices, industrial applications, and the Internet edgeFirepower NGFWv:The NGFW for virtual and cloud environmentsPlatform Image SupportThe Cisco Firepower NGFW includes Application Visibility and Control (AVC), optional Next-Gen IPS (NGIPS), Cisco® Advanced Malware Protection (AMP) for Networks, and URL Filtering. The Cisco Firepower 2100 Series, 4100 Series, and 9300 appliances use the Cisco Firepower Threat Defense software image. Alternatively, Cisco Firepower 2100 Series, 4100 Series, and 9300 appliances can support the Cisco Adaptive Security Appliance (ASA) software image.Management OptionsCisco Firepower NGFWs may be managed in a variety of ways depending on the way you work, your environment, and your needs.The Cisco Firepower Management Center (formerly FireSIGHT) provides centralized management of the Cisco Firepower NGFW, the Cisco Firepower NGIPS, and Cisco AMP for Networks. It also provides threat correlation for network sensors and Advanced Malware Protection (AMP) for Endpoints.The Cisco Firepower Device Manager is available for local management of 2100 Series and select 5500-X Series devices running the Cisco Firepower Threat Defense software image.The Cisco Adaptive Security Device Manager is available for local management of the Cisco Firepower 2100 Series, 4100 Series, Cisco Firepower 9300 Series, and Cisco ASA 5500-X Series devices running the ASA software image.Cisco Defense Orchestrator cloud-based management is also available for consistent policy management across Cisco security devices running the ASA software image, enabling greater management efficiency for the distributed enterprise.Firepower DDoS MitigationAlso available on the Cisco Firepower 4100 Series and 9300 appliances is tightly integrated, comprehensive, behavioral DDoS mitigation for both network and application infrastructure protection. This DDoS mitigation is Radware’s Virtual DefensePro (vDP). It is available from and supported directly by Cisco.Cisco Firepower 2100 Series AppliancesThe Cisco Firepower 2100 Series is a family of four threat-focused NGFW security platforms that deliver business resiliency through superior threat defense. It offers exceptional sustained performance when advanced threat functions are enabled. These platforms uniquely incorporate an innovative dual multicore CPU architecture that optimizes firewall, crypto graphic, and threat inspection functions simultaneously. The series’ firewall throughput range addresses use cases from the Internet edge to the data center. Network Equipment Building Standards (NEBS)- compliance is supported by the Cisco Firepower 2100 Series platform.Cisco Firepower 4100 Series AppliancesThe Cisco Firepower 4100 Series is a family of four threat-focused NGFW security platforms. Their throughput range addresses data center and internet edge use cases. They deliver superior threat defense, at faster speeds, with a smaller footprint. Cisco Firepower 4100 Series supports flow-offloading, programmatic orchestration, and the management of security services with RESTful APIs. Network Equipment Building Standards (NEBS)-compliance is supported by the Cisco Firepower 4120 platform.Cisco Firepower 9300 Security ApplianceThe Cisco Firepower 9300 is a scalable (beyond 1 Tbps when clustered), carrier-grade, modular platform designed for service providers, high-performance computing centers, large data centers, campuses, high-frequency trading environments, and other environments that require low (less than 5-microsecond offload) latency and exceptional throughput. Cisco Firepower 9300 supports flow-offloading, programmatic orchestration, and the management of security services with RESTful APIs. It is also available in Network Equipment Building Standards (NEBS)-compliant configurations.Cisco ASA 5500-FTD-X Series AppliancesThe Cisco ASA 5500-FTD-X Series is a family of eight threat-focused NGFW security platforms. Their throughput range addresses use cases from the small or branch office to the Internet edge. They deliver superior threat defense in a cost-effective footprint.Cisco Firepower NGFW Virtual (NGFWv) AppliancesCisco Firepower NGFWv is available on VMware, KVM, and the Amazon Web Services (AWS) and Microsoft Azure environments for virtual, public, private, and hybrid cloud environments. Organizations employing SDN can rapidly provision and orchestrate flexible network protection with Firepower NGFWv. As well, organizations using NFV can further lower costs utilizing Firepower NGFWv.Performance Testing MethodologiesCisco uses a variety of testing methodologies in a lab environment to ensure the performance specifications we report are as close to real world as possible. Firewall performance is affected by many factors including network environment, packet sizes, packet type, TLS encryption, and more.Two modes of firewall testing exist: static or real world. Static testing leverages performance and security testing tools in a simulated environment. Real-world testing uses samples of live traffic on a production or side-car network. While static testing does not completely mimic performance in a real-world networking environment, we review and modify the static methodology to ensure the results are as close to real-world as possible.The following are test methodologies used for measurements listed in Table 1. Change in performance vs change in packet size is not linear, so extrapolation from a single test is not possible for the almost unlimited variety of network environments. Testing security efficacy or security service performance under loaded conditions adds even more complexity. For these reasons we rely on the 1024B HTTP Test.1024B HTTP Test (256KB Object)This number is to compare with other vendors at a 256KB object size. It uses a larger and commonly tested packet size for every simulated session. With the protocol overhead, the average frame size is around 1024 bytes. This represents typical production conditions for most firewall deployments.1500B UDP vs 64B UDPThis test uses a transactional UDP profile with either 1500B or 64B frames. Due to the stateless nature of UDP, it creates very little impact on a stateful NGFW. Many vendors use this profile to measure maximum firewall performance, however it is only practical as a comparison point. This test does not represent real-world conditions, therefore Cisco only uses it as a legacy metric for ASA performance. For NGFW products, various UDP packet size should only be used to test latency and not overall performance.Performance Specifications and Feature HighlightsTable 1 summarizes the capabilities of the Cisco Firepower NGFWv, Firepower 2100 Series, and 4100 Series and 9300 appliances as well as the Cisco ASA 5500-FTD-X appliances when running the Cisco Firepower Threat Defense image. All numbers are derived with two-way traffic evaluation to replicate the best security posture.Table 1. Cisco Firepower Threat Defense (FTD) Performance Specifications and Feature Highlights for Physical and Virtual AppliancesNote: Throughput assumes HTTP sessions.Performance will vary depending on features activated, and network traffic protocol mix, packet size characteristics and hypervisor employed (NGFWv). Performance is subject to change with new software releases. Consult your Cisco representative for detailed sizing guidance.Table 2 summarizes the performance and capabilities of the Cisco Firepower 2100, 4100 Series and 9300 appliances when running the ASA image. For Cisco ASA 5500-X Series performance specifications with the ASA image, please visit the Cisco ASA with FirePOWER Services data sheet.Table 2. ASA Performance and Capabilities on Firepower Appliances211021202130214041104120414041509300 9300 9300 9300Newconnections per second 18000 28000 40000 75000 150,000 250,000 350,000 800,000 800,0001.2 million 1.8 million 4 millionIPsec VPN throughput (450B UDP L2L test) 500 Mbps 700 Mbps 1 Gbps 2 Gbps 8 Gbps 10 Gbps 14 Gbps 15 Gbps 15 Gbps 18 Gbps 20 Gbps60 Gbps 3/ 40 GbpsIPsec/Cisco AnyConnect/Apex site-to-site VPN peers 1500 3500 7500 10000 10,000 15,000 20,000 20,000 20,000 20,000 20,000 60,0003/ 20,000Maximum number of VLANs 400 600 750 1024 1024 1024 1024 1024 1024 1024 1024 1024Security contexts (included; maximum) 2; 25 2; 25 2; 30 2; 40 10; 250 10; 250 10; 250 10; 250 10; 250 10; 250 10; 250 10; 250HighavailabilityActive/acti ve and active/sta ndby Active/acti ve and active/sta ndby Active/acti ve and active/sta ndbyActive/a ctive and active/st andby Active/acti ve and active/stan dby Active/acti ve and active/stan dby Active/acti ve and active/stan dby Active/acti ve and active/stan dby Active/acti ve and active/sta ndby Active/acti ve and active/sta ndby Active/acti ve and active/sta ndby Active/acti ve and active/sta ndbyClustering - - --Up to 16 appliances Up to 16 appliances Up to 16 appliances Up to 16 appliances Up to 5 appliances with 3 security modules each Up to 5 appliance s with three security modules each Up to 5 appliance s with three security modules eachUp to 5 appliance s with 3 security modules eachScalability VPN Load BalancingVPN Load Balancing, Firewall ClusteringCentralized management Centralized configuration, logging, monitoring, and reporting are performed by Cisco Security Manager or alternatively in the cloud with Cisco Defense Orchestrator Adaptive Security Device ManagerWeb-based, local management for small-scale deployments1 Throughput measured with 1500B User Datagram Protocol (UDP) traffic measured under ideal test conditions.2“Multiprotocol” refers to a traffic profile consisting primarily of TCP -based protocols and applications like HTTP, SMTP, FTP, IMAPv4, BitTorrent, and DNS. 3In unclustered configuration.Table 3.Operating Requirements for Firepower NGFWv Virtual AppliancesHardware SpecificationsTables 4, 5, and 6 summarize the hardware specifications for the 2100 Series, 4100 Series, and 9300 Series, respectively. Table 7 summarizes regulatory standards compliance. For Cisco ASA 5500-X Series hardware specifications, please visit the Cisco ASA with FirePOWER Services data sheet.Table 4. Cisco Firepower 2100 Series Hardware Specifications1 Dual power supplies are hot-swappable.2 Fans operate in a 3+1 redundant configuration where the system will continue to function with only3 operational fans. The 3 remaining fans will run at full speed.3 FPR-2130 platform is designed to be NEBS ready. The availability of NEBS certification is pending.Table 5. Cisco Firepower 4100 Series Hardware Specifications1 Dual power supplies are hot-swappable.Table 6. Cisco Firepower 9300 Hardware Specifications* Minimum turn-on voltage is -44V DCTable 7. Cisco Firepower 2100 Series, 4100 Series and Cisco Firepower 9300 NEBS, Regulatory, Safety, and EMC ComplianceCisco Trust Anchor TechnologiesCisco Trust Anchor Technologies provide a highly secure foundation for certain Cisco products. They enable hardware and software authenticity assurance for supply chain trust and strong mitigation against a man-in-the-middle compromise of software and firmware.Trust Anchor capabilities include:●Image signing: Cryptographically signed images provide assurance that the firmware, BIOS, and othersoftware are authentic and unmodified. As the system boots, the system’s software signatures are checked for integrity.●Secure Boot: Secure Boot anchors the boot sequence chain of trust to immutable hardware, mitigatingthreats against a system’s foundational state and the software that is to be loaded, regardless of a user’s privilege level. It provides layered protection against the persistence of illicitly modified firmware.●Trust Anchor module: A tamper-resistant, strong-cryptographic, single-chip solution provides hardwareauthenticity assurance to uniquely identify the product so that its origin can be confirmed to Cisco, providing assurance that the product is genuine.Firepower DDoS MitigationFirepower DDoS Mitigation is provided by Radware Virtual DefensePro (vDP), available and supported directly from Cisco on the following Cisco Firepower 9300 and 4100 series appliances:Radware vDP is an award-winning, real-time, behavioral DDoS attack mitigation solution that protects organizations against multiple DDoS threats. Firepower DDoS mitigation defends your application infrastructure against network and application degradation and outage.DDoS Mitigation: Protection SetFirepower’s vDP DDoS mitigation consists of patent-protected, adaptive, behavioral-based real-time signature technology that detects and mitigates zero-day network and application DDoS attacks in real time. It eliminates the need for human intervention and does not block legitimate user traffic when under attack.The following attacks are detected and mitigated:●SYN flood attacks●Network DDoS attacks, including IP floods, ICMP floods, TCP floods, UDP floods, and IGMP floods●Application DDoS attacks, including HTTP floods and DNS query floods●Anomalous flood attacks, such as nonstandard and malformed packet attacksPerformanceThe performance figures in Table 8 apply to all Cisco Firepower 4100 series models.Table 8. Key DDoS Performance Metrics for Cisco Firepower 4100 SeriesThe performance figures in Table 9 are for Cisco Firepower 9300 with 1 to 3 Security Modules irrespective of Security Module type (SM-24, SM-36 or SM-44).Table 9. Key DDoS Performance Metrics for Cisco Firepower 9300 with 1, 2, or 3 Security Modules.Ordering InformationCisco Smart LicensingThe Cisco Firepower NGFW is sold with Cisco Smart Licensing. Cisco understands that purchasing, deploying, managing, and tracking software licenses is complex. As a result, we are introducing Cisco Smart Software Licensing, a standardized licensing platform that helps customers understand how Cisco software is used across their network, thereby reducing administrative overhead and operating expenses.With Smart Licensing, you have a complete view of software, licenses, and devices from one portal. Licenses are easily registered and activated and can be shifted between like hardware platforms. Additional information is available here: https:///web/ordering/smart-software-licensing/index.html. Related information, on Smart Licensing Smart Accounts, is available here: https:///web/ordering/smart-software-manager/smart-accounts.html.Cisco Smart Net Total Care Support: Move Quickly with Anytime Access to Cisco Expertise and ResourcesCisco Smart Net Total Care™ is an award-winning technical support service that gives your IT staff direct anytime access to Technical Assistance Center (TAC) engineers and resources. You receive the fast, expert response and the dedicated accountability you require to resolve critical network issues.Smart Net Total Care provides the following device-level support:●Global access 24 hours a day, 365 days a year to specialized engineers in the Cisco TAC●Anytime access to the extensive online knowledge base, resources, and tools●Hardware replacement options include 2-hour, 4-hour, Next-Business-Day (NDB) advance replacement, aswell as Return For Repair (RFR)●Ongoing operating system software updates, including both minor and major releases within your licensedfeature set●Proactive diagnostics and real-time alerts on select devices with Smart Call HomeIn addition, with the optional Cisco Smart Net Total Care Onsite Service, a field engineer installs replacement parts at your location and helps ensure that your network operates optimally. For more information on Smart Net Total Care please visit: https:///c/en/us/services/portfolio/product-technical-support/smart-net-total-care.html.Select Part NumbersTables 10, 11, and 12 provide details on part numbers for Cisco Firepower NGFW solutions. Please consult the Ordering Guide for additional configuration options and accessories.Table 10. Cisco Firepower 2100 Series: Select Product ComponentsTable 11. Cisco Firepower 4100 Series: Select Product ComponentsTable 12. Cisco Firepower 9300: Select Product Components*Note: Firepower 9300 may also be deployed as a dedicated threat sensor, with fail-to-wire network modules. Please contact your Cisco representative for details.Table 13. Cisco Firepower NGFW VirtualNote: These optional security services licenses can be ordered with 1-, 3-, or 5-year subscriptions.Warranty InformationFind warranty information on at the Product Warranties page.Cisco ServicesCisco offers a wide range of service programs to accelerate customer success. These innovative services programs are delivered through a unique combination of people, processes, tools, and partners, resulting in high levels of customer satisfaction. Cisco Services help you protect your network investment, optimize network operations, and prepare your network for new applications to extend network intelligence and the power of your business. For more information about Cisco services for security, visit https:///go/services/security.Cisco CapitalFlexible payment solutions to help you achieve your objectivesCisco Capital makes it easier to get the right technology to achieve your objectives, enable business transformation and help you stay competitive. We can help you reduce the total cost of ownership, conserve capital, and accelerate growth. In more than 100 countries, our flexible payment solutions can help you acquire hardware, software, services and complementary third-party equipment in easy, predictable payments. Learn more.More Information for Service ProvidersFor information about Cisco Firepower in service provider environments, please visit:●https:///c/en/us/solutions/enterprise-networks/service-provider-security-solutions/More Information about Firepower NGFWsFor further information about Cisco Firepower NGFWs, please visit:●https:///go/ngfwMore Information about Cisco Anyconnect●Cisco AnyConnect Secure Mobility Clienthttps:///go/anyconnect●Cisco AnyConnect Ordering Guidehttps:///c/dam/en/us/products/security/anyconnect-og.pdf。

FortiGate下一代防火墙介绍

2014上半年，亚太区网络安全公司市场份额排名：
1. Cisco 2. Fortinet 3. Check Point 4. Juniper
4
Fortinet Confidential
数据来源： IDC APAC, 2014年9月
Fortinet 服务于全部的网络安全市场
网络安全市场
市场规模 - $B
总部位于: Sunnyvale, 加利福尼亚员工数: 2500+ 全球
平台优势基于三点主要创新
▪ 基于云发布的行业领先的威胁研究技术及信息共享 ▪ 网络与安全紧密结合的操作系统 ▪ 自研基于ASIC 芯片的分布式硬件架构
年度营收
$13M 2003
排名 1 2 3 4 5
公司 Cisco/SourceFire Check Point
FortiAP
FortiAnalyzer 日志报表系统
FortiAuthenticator 统一认证中心
DMZ
销售部
技术部
12
Fortinet Confidential
FortiToken 认证令牌
2014 NSS NGFW SVM（安全价值图）
13
Fortinet Confidential
2014 Gartner 企业防火墙与UTM魔力象限
DLP
僵尸网络防御
漏洞评估
终端安全
云沙箱
内容过滤 IPv6
应用/流量控制
WAN优化
10
Fortinet Confidential
单一设备实现多重安全防御
FortiASIC-始终拥有领先的安全性能
防火墙 VPN
40Gbps 25Gbps
IPS VPN

下一代防火墙和传统防火墙的区别

下一代防火墙和传统防火墙的区别：传统防火墙：无法防御应用层攻击NGAF：解决运行在网络传统防火墙对应用层协议识别、控制及防护的不足！功能优势：1、应用层攻击防护能力（漏洞防护、web攻击防护、病毒木马蠕虫）2、双向内容检测的优势（具备网页防篡改、信息防泄漏）3、8元组ACL与应用流控的优势4、能实现模块间智能联动下一代防火墙和IPS(入侵防御模块)区别：IPS：应用安全防护体系不完善，对WEB攻击防护效果不佳；NGAF：解决保护系统层面的入侵防御系统，和对应用层攻击防护不足，及应用层攻击漏判误判的问题！功能优势：1、Web攻击防护，尤其是各类逃逸攻击（注入逃逸、编码逃逸）的防护下一代防火墙和WAF（Web应用防火墙）：WAF：处理性能不足，缺乏底层漏洞攻击特征库，无法对WEB业务进行整体安全防护NGAF：解决定位于防护Web攻击的Web应用防火墙功能优势：1、三大特征库保护网站安全：漏洞2800+、web攻击2000+、敏感信息（OWASP综合4星）2、敏感信息防泄漏功能，业内热点，业界独家3、自动建模技术，自动生成策略。

下一代防火墙和UTM（统一权威管理）:UTM：多功能开启性能差，各模块缺乏联动NGAF：解决面向中小型企业一体化的UTM统一威胁管理系统，解决多功能模块开启后性能下降以及应用层防护能力不足的问题。

功能优势：1、六大特征库更完整安全：（漏洞2800+、应用2000+、病毒库10万、web攻击2000+、URL+恶意网址10万、敏感信息）2、Web攻击模块（web攻击防护、敏感信息、防篡改、应用信息隐藏、自动建模（新））3、客户端外发异常流量检测（new）4、智能联动模块。

思科Firepower NGFW

产品手册思科 Firepower NGFW思科 Firepower ® NGFW （下一代防火墙）是业内首款专注于威胁防御的下一代防火墙，它将多种功能完全集于一身，采用统一管理，可在攻击前、攻击中和攻击后提供独一无二的高级威胁防护。

阻止更多威胁获得更出色的可视性加快检测和响应速度降低复杂性让您的网络发挥更多价值主要性能参数表 1 概括列出思科 Firepower 4100 系列 NGFW 、9300 系列安全设备及特定思科 ASA 5500-X 设备的主要性能参数。

表 1.设备主要性能参数1 吞吐量计算基于数据包平均大小为 1024 字节的 HTTP 会话 21024 字节 TCP 防火墙性能注：NGFW 性能根据网络和流量特征而异。

如在确定合适的产品方面需要帮助，请咨询您的思科代表。

性能可能会随软件更新而发生变化。

思科 Firepower 2100 系列：业内首批能够在启用威胁检测时维持稳定性能的中档 NGFW思科 Firepower 4100 系列：业内首批采用 40 Gbps 接口的 1RU NGFW思科 Firepower 9300：可随需求增长而扩展的超高性能 NGFW思科 ASA 5500-X 系列：适合分支机构、工业应用和互联网边缘的型号Firepower NGFWv：适用于虚拟环境和云环境的 NGFW平台映像支持思科 Firepower NGFW 包括应用可视性与可控性 (AVC)、可选的下一代 IPS (NGIPS)、面向网络的思科®高级恶意软件保护 (AMP)，以及 URL 过滤功能。

思科 Firepower 2100 系列、4100 系列和 9300 设备使用思科 Firepower 威胁防御软件映像。

此外，思科 Firepower 2100 系列、4100 系列和 9300 设备也支持思自适应安全设备 (ASA) 软件映像。

管理选项思科 Firepower NGFW 提供多种管理选项，您可以根据自己的工作方式、实际环境和具体需求进行选择。

不一样的NGFW

不一样的NGFW下一代防火墙，即NGFW（Next-Generation Firewall），2009年由全球著名分析机构Gartner 定义，至此在硬件安全网关市场引起了一场“工业革命”。

国内外主流安全网关厂商纷纷向NGFW定义看齐，争先恐后将自有产品升级到NGFW或推出全新的NGFW系列产品，NGFW 已成为硬件安全市场最为闪耀的一颗新星。

至今，NGFW的概念已产生五年，按照ICT的发展速度，五年基本是一代产品的更换周期。

在这五年里，Garter并未对NGFW进行重新定义，于是各个安全厂商纷纷拉起了一场重新定义NGFW风潮，希望对它赋予更高的能力要求，满足ICT技术与网络威胁的快速发展。

本文将追溯到重新定义NGFW的源头，悉数NGFW面临的诸多挑战来看NGFW的发展方向。

环境的挑战移动化、社交化、云和大数据是ICT发展的四大趋势。

根据Facebook 2013年Q1财报，Facebook月活跃用户达11.1亿人，其中移动端占据7.51亿，比去年同期增长了54%，全球1/6人口在使用社交应用。

根据Dimensional Research的调查结果显示，55％以上的受访企业认为移动安全是当前的TOP安全问题，其中71％的受访企业认为移动设备增加了安全事件，47％的受访企业有大量客户数据存储在移动设备上。

随着企业数字化需求的增加，ICT业务日益增多，特别是软件定义网络（Software Defined Network, SDN ）技术的成熟，网络与策略的改变会频发发生。

而NGFW作为企业网络重要的安全守卫，必须能够适配网络环境的不断变化，才能尽忠职守，提供精确的安全防护。

BYOD让网络边界日渐模糊，企业环境更加开放，社交应用为信息的传递提供了更便捷的途径，云和虚拟化正在改变企业的信息化使用方式。

这一系列的变化仅仅依靠NGFW定义中的“应用+用户”识别很难支撑。

感知能力将是NGFW在新环境下的最大挑战，防护的精准程度，直接取决于感知的准确能力。

网络安全防护中下一代防火墙的应用

网络安全防护中下一代防火墙的应用关键词：下一代；防火墙；网络；安全防护下一代防火墙（NGFW）可以全面应对应用层威胁，通过深度过滤网络流量中的用户、应用和内容，并借助全新的高性能并行处理引擎，为用户提供有效的网络一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

当前我国自主的主流防火墙产品有华为NGFW、深信服NGAF、网神防火墙等，在政企、教育、银行、医疗、科研等行业和领域承接着防护网络及数据安全的重任，下面对下一代防火墙在网络安全防护中的应用做深入分析。

1下一代防火墙的比较优势下一代防火墙除去传统防火墙具有的包过滤、网络地址转换、状态检测和VPN技术等以外，还具有很多弥补传统防火墙缺陷的技术优势。

一是多模块功能的集成联动，如入侵防御系统（IPS）、病毒检测系统、VPN、网络应用防护系统（WAF）等，改变了传统防护设备叠加部署、串糖葫芦式的部署模式，节约成本、消除网络瓶颈和单点故障，数据包单次解析多核并行处理提高检测速度，多模块联动提高响应速度，日志整合提高检测效率。

二是网络二至七层的全栈检测能力，克服传统防火墙包过滤基于IP 和端口检测的局限性，可以具体应用为粒度设置过滤及安全策略，辅助用户管理应用。

三是数据包深度检测，通过对数据包进行深层次的协议解码、内容解析、模式匹配等操作，实现对数据包内容的完全解析，查找相对应的内容安全策略进行匹配。

下一代防火墙通过HTTPS的代理功能，实现对SSL加密的数据进行解密分析，可以检测邮件中的非法信息。

四是可视化配置界面，结合先进的技术和理念，设备配置可视简化，功能完善，使技术人员精力从复杂的配置命令中解放出来，更多关注配置规则的现实意义。

通过可视化报表不仅能够全面呈现用户和业务的安全现状，还能帮助用户快速定位安全问题。

2下一代防火墙设备的选配下一代防火墙功能强大，成本也相对较高，一些厂商按功能模块收费，因此在选配防火墙设备时需要考虑性价比。

深信服下一代防火墙销售话术

深信服下一代防火墙NGAF产品导入什么是下一代防火墙？防火墙通常用于两个网络之间的隔离，隔离的是“火”的蔓延，而又保证“人”的穿墙而过。

这里的“火”是指网络中的各种攻击，而“人”是指正常的通信报文。

但是随着黑色产业链的兴起和攻防技术的进步，“人”的因素已经发生了变化，有行为正常的“好人”，也可能有居心叵测，想携带“火种”混入的“坏人”。

所以对于防火墙来说，需要能够有更先进的技术可以识别出“好人”和“坏人”，于是就有了下一代防火墙的概念。

国际知名IT咨询机构Gartner在2009年最初发布了对下一代防火墙NGFW 的定义，简单来说下一代防火墙相较与传统防火墙的区别就是NGFW深度集成了入侵防御功能，能够实现对数据内容的检测以及能够对应用协议和用户进行识别和管控，比传统防火墙只能基于IP地址和端口的管控方式提供了更细粒度的控制手段。

深信服在2011年7月发布了下一代防火墙产品NGAF，是国内最早发布NGFW的安全厂商。

相较与Gartner定义的下一代防火墙，深信服下一代防火墙做了更进一步的提升，最大的特点就是融入了对Web业务安全保护的能力，深信服下一代防火墙提倡的价值主张是：融合安全，简单有效。

融合是指围绕业务生命周期，从事前、事中、事后所需要的安全保护技术手段的融合，简单有效是指安全交付能够简单、可视，安全运营可以持续开展。

销售场景1.客户有网络改造，新建机房或者新建业务系统的需求；2.客户网站被第三方监管机构检测出漏洞或威胁，并被通报要求限期整改；3.出现了如新型恶意软件（勒索病毒，木马等），高危漏洞大规模爆发的安全事件应急处置需求；4.客户存在等级保护等安全合规性建设需求；5.客户原有防火墙使用年限较长（3年以上），存在替换的需求；6.网络不同逻辑区域之间或者物理区域边界之间还未部署安全设备；7.客户有采购入侵防御系统IPS或Web应用防火墙WAF的需求；8.客户需要采购互联网出口网关设备或者有对外发布的网站需要做安全加固;核心功能事前➢资产发现：自动识别内部业务服务器的IP地址、开放端口，以及是否有安全策略覆盖这些识别出的服务器。