网络威胁提升 企业应部署怎样的防火墙?

冶天

http://net.zol.com.cn/568/5682969.html

今天，企业面临的网络安全挑战日益严峻，犯罪分子往往利用合法的网络资源展开各种攻击，并从中获利。据近期发布的安全调研报告统计，仅通过赎金勒索一项手段，不法黑客每年就可骗取3400万美元，为企业带来了极大的经济损失。那么伴随网络威胁逐步提升，各类攻击行为愈加复杂、猖獗之际，传统的防火墙、UTM（统一威胁管理）设备都已无法满足当前企业用户的安全需求，对此企业又该部署什么样的防火墙来抵御恶意攻击的侵害呢？下面就一起来探究一下吧。

　　第二代防火墙设备成企网防护首选

　　近些年，各类恶意木马横行、网络钓鱼事件频发、基于Web2.0的攻击飞速增长、新型混合攻击也开始崭露头角，甚至来自企业内部员工的破坏行为都对企业网络安全构成了严重威胁。

　　面对上述各类攻击，企业需要在网络中部署种类不同的安全产品进行防护，诸如防火墙、入侵防御系统（IPS）、防病毒网关（AV）、安全接入、VPN、数据防泄漏（DLP）设备等等。不过目前的现状是各企业仍然依靠普通的防火墙或UTM进行着网络的基本防护。

　　在这种情况下，采用端口和IP协议进行控制的传统防火墙已经落伍，对于利用僵尸网络作为传输方法的威胁，基本无法探测到。同时由于基于服务的架构与Web2.0使用的普及，更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行，这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。因此，传统防火墙在新型网络攻击面前，防护作用日益降低。

　　而UTM设备虽然将多种安全特性集于一身，但只是将防火墙、IPS、AV等功能进行了简单的堆砌，吞吐量性能是其致命缺陷，在开启全面防御功能的情况下，其性能会下降超过80%，基本处于不可用状态。

　　即使一些不差钱的企业，装备了上述全部的网络安全设备，如果没有专业的网络安全人员与之匹配或运维，这些安全产品往往也无法发挥出全部的功用。而且这些传统安全设备往往只能防范单一类型攻击，无法实现有效的联动，也很容易被恶意攻击者发现安全空隙。

　　对此，具有高性能、功能全面，又兼具数据防泄漏和简单管理的第二代防火墙产品无疑成为了今天企业网络防护的首选。

　　基于我国用户需求特点的第二代防火墙不仅可部署于不同的安全域之间，除了拥有传统防火墙的基本访问控制功能之外，还具备应用层访问控制、用户控制、Web攻击防护、信息泄露防护、深度内容检测、高性能等特征。而且它可实现架构上一次解包完成全部检查，突破了性能瓶颈；再结合其高效、可视化、易管理等特性，已成为取代传统安全产品的新趋势。而在这里，华为USG6000系列下一代防火墙便是其中的重要代表之一。