我們一直所稱為下一代防火墻(NGFW)中“下一代”到底是什么?不妨參照專注網(wǎng)絡(luò)安全的Fortinet公司的FortiGate安全平臺(tái);運(yùn)行于該平臺(tái)的操作系統(tǒng)FortiOS 5的操作版本最近已升級(jí)到了5.0.3版本，升級(jí)的新功能包括功能部署預(yù)配置、關(guān)聯(lián)可視性和高級(jí)威脅防護(hù)，充分反映了企業(yè)防火墻“下一代”所蘊(yùn)含的意義所在。

FortiOS操作系統(tǒng)的“下一代”功能，具體描述如下：

1. 功能部署預(yù)配置：用戶在進(jìn)入安全防御FortiGate設(shè)備平臺(tái)后，首先呈現(xiàn)的是安全部署配置選項(xiàng)，包括高速防火墻、下一代防火墻(NGFW)、高級(jí)威脅防護(hù)(ATP)、網(wǎng)頁(yè)過(guò)濾與統(tǒng)一威脅管理(UTM)等。企業(yè)用戶的需求有一些相對(duì)的共性，譬如：高吞吐量低延遲防火墻;但是基于不同規(guī)模下的個(gè)性化的需求譬如分布式企業(yè)安全控制管理的多功能應(yīng)用;這樣的部署選項(xiàng)設(shè)置目的在于對(duì)用戶提供隨需應(yīng)變的網(wǎng)絡(luò)與安全選擇。

2. 關(guān)聯(lián)可視性：此項(xiàng)功能賦予企業(yè)用戶可以基于網(wǎng)絡(luò)中應(yīng)用、用戶與設(shè)備即時(shí)或查看過(guò)往的網(wǎng)絡(luò)使用狀況，及時(shí)的調(diào)配流量、應(yīng)用控制以及安全策略。

3. 高級(jí)威脅防護(hù)(ATP)：提供強(qiáng)化的安全工具，抵御多面向的持續(xù)性滲透攻擊。

Gartner研究主管Eric Ahlm表示，‘安全設(shè)備的采購(gòu)者會(huì)尋求各種防火墻功能的組合，例如NGFW、UTM、虛擬或靜態(tài)防火墻，來(lái)符合一般企業(yè)的各種不同需求，像是數(shù)據(jù)中心、小型辦公室或高度分布式的企業(yè)，而且成本效益愈高愈好。’

Fortinet行銷副總裁John Maddison表示，‘為了強(qiáng)化防護(hù)能力、簡(jiǎn)化管理并降低成本，現(xiàn)今企業(yè)已逐漸采用單一廠商的防火墻環(huán)境，避免采行多家廠商的產(chǎn)品讓環(huán)境復(fù)雜化。例如，企業(yè)數(shù)據(jù)中心可建置高速防火墻，NGFW可應(yīng)用于校園網(wǎng)絡(luò)，UTM則可保護(hù)所有的分布式辦公室。然而，目前只有專注于安全研發(fā)與創(chuàng)新的Fortinet，能提供具備各種完善安全功能有機(jī)整合的網(wǎng)絡(luò)安全平臺(tái)，滿足數(shù)據(jù)中心、校園網(wǎng)絡(luò)與分散型辦公室的需求。’

Fortinet網(wǎng)絡(luò)安全：隨需應(yīng)變的部署選擇

藉由最新的“功能部署預(yù)配置”選項(xiàng)，企業(yè)可以依其商業(yè)與安全需求，很快地設(shè)定FortiGate設(shè)備。這些預(yù)設(shè)的安全選項(xiàng)，可在設(shè)備安裝時(shí)，或是任何時(shí)候按個(gè)鍵便完成。功能組選項(xiàng)包括高速防火墻(涵蓋VPN)、NGFW(涵蓋防火墻、入侵防護(hù)和應(yīng)用控制與管理)、ATP(涵蓋高級(jí)威脅防護(hù)和端點(diǎn)控管)、WF(涵蓋網(wǎng)頁(yè)過(guò)濾和顯示代理)，以及NGFW+ATA(涵蓋NGFW和ATP功能)和UTM(涵蓋所有上述功能，再加上郵件過(guò)濾、數(shù)據(jù)泄漏防護(hù)與漏洞掃瞄)。

更佳的可視性提供更佳的保護(hù)

FortiOS操作系統(tǒng)5.0.3版本中，新的”關(guān)聯(lián)可視性”功能，讓管理人員能更深入解析過(guò)往或即時(shí)的網(wǎng)路活動(dòng)?？杀粩X取的數(shù)據(jù)型態(tài)，包括IP和端口號(hào)、地理IP、會(huì)話類型、用戶名稱、網(wǎng)路使用率、網(wǎng)絡(luò)覆蓋范圍，以及應(yīng)用程序與聯(lián)網(wǎng)設(shè)備的種類。透過(guò)此項(xiàng)功能，管理員可依據(jù)關(guān)聯(lián)數(shù)據(jù)找出最可能與威脅相關(guān)的客戶端，并進(jìn)一步先行封阻可疑的網(wǎng)站和IP地址，該操作可通過(guò)客戶端信譽(yù)(client reputation)的選項(xiàng)進(jìn)入。

防護(hù)高級(jí)目標(biāo)式攻擊(ATA; Advanced Targeted Attacks)

先進(jìn)目標(biāo)式攻擊，又稱為高級(jí)持續(xù)性滲透攻擊 (APT： Advanced Persistent Threats)。APT鎖定特定的組織，透過(guò)各種方法滲透進(jìn)入，而且在竊取資料之前，潛伏期較長(zhǎng)。FortiGate ATP防護(hù)配置，采行多管齊下的方式，協(xié)助防護(hù)可能藉由零日攻擊、未發(fā)現(xiàn)的惡意軟件、網(wǎng)絡(luò)釣魚(yú)電郵或密碼破解而潛入的威脅攻擊。此項(xiàng)功能于ATP服務(wù)中，包括僵尸網(wǎng)路封阻名單、惡意軟件特征和云端沙箱功能。

定制化ASIC帶來(lái)的卓越效能

FortiGate安全平臺(tái)設(shè)計(jì)中專有的FortiASIC網(wǎng)絡(luò)和內(nèi)容單芯片處理器，已獲各個(gè)業(yè)界領(lǐng)先的評(píng)測(cè)實(shí)驗(yàn)室認(rèn)證，例如NSS Labs、ICSA Labs、Common Criteria、Virus Bulletin和FIPS，讓網(wǎng)絡(luò)管理人員有能力以Gigabit的速度來(lái)檢測(cè)惡意的內(nèi)容。無(wú)論防火墻變得多么智能，支撐其智能與可控的基礎(chǔ)首先是性能，這也是不斷發(fā)展的網(wǎng)絡(luò)的要求。FortiGate設(shè)備的FortiASIC處理器，能確保網(wǎng)絡(luò)安全不會(huì)成為網(wǎng)絡(luò)效能的瓶頸。