訪問控制

防火墻是最具策略性的網絡安全基礎結構組件，可以檢測所有通信流。因此，防火墻是企業(yè)網絡安全控制的中心，通過部署防火墻來強化網絡的安全性，是實施安全策略的最有效位置。不過，傳統(tǒng)的防火墻是依靠端口和通信協(xié)議來區(qū)分通信流內容，這樣導致精心設計的應用程序和技術內行的用戶可以輕松地繞過它們；例如，可以利用跳端口技術、使用 SSL、利用 80 端口秘密侵入或者使用非標準端口來繞過這些防火墻。

       由此帶來的可視化和控制喪失會使管理員處于不利地位，失去應用控制的結果會讓企業(yè)暴露在商業(yè)風險之下，并使企業(yè)面臨網絡中斷、違反規(guī)定、運營維護成本增加和可能丟失數(shù)據(jù)等風險。用于恢復可視化和控制的傳統(tǒng)方法要求在防火墻的后面或通過采用插接件集成的組合方式，單獨部署其他的“輔助防火墻”。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲（將引發(fā)掃描進程）的不足，均無法解決可視化和控制問題。現(xiàn)在需要一種完全顛覆式的方法來恢復可視化和控制。而新一代防火墻正是我們所需的。

       Gartner在研究報告中通過對目前市場的分析，說明對于需要規(guī)劃和升級傳統(tǒng) FW/IPS/UTM 的用戶提出明確的建議，建議用戶應采用或更新為 ”新一代防火墻 ” (Next Generation Firewall, NGFW)架構，理由很簡單傳統(tǒng)的防火墻遠遠不能適合現(xiàn)在IT變遷的新的形勢：
       傳統(tǒng)的防火墻+IPS不能解決應用的可視性和精細控制的問題，傳統(tǒng)的防火墻+UTM 會帶來性能的瓶頸問題，而權衡新一代防火墻必須五大要素：
        •           識別應用程序而非端口。準確識別應用程序身份，檢測所有端口，而且不論應用程序使用何種協(xié)議、SSL、加密技術或規(guī)避策略。應用程             序的身份構成所有安全策略的基礎。（識別七層或七層以上應用）
        •           識別用戶，而不僅僅識別 IP 地址。
                           利用企業(yè)目錄中存儲的信息來執(zhí)行可視化、策略創(chuàng)建、報告和取證調查等操作。
        •           實時檢查內容。
                           幫助網絡防御在應用程序通信流中嵌入的攻擊行為和惡意軟件，并且實現(xiàn)低延遲和高吞吐速度。
        •           簡化策略管理。
                           通過易用的圖形化工具和策略編輯器（可通過統(tǒng)一的方式將應用程序、用戶和內容結合在一起）來恢復可視化和控制。
        •           提供數(shù)千兆位的數(shù)據(jù)吞吐量。
                           在一個專門構建的平臺上結合高性能硬件和軟件來實現(xiàn)低延遲和數(shù)千兆位的數(shù)據(jù)吞吐量性能。