访问控制

防火墙是最具策略性的网络安全基础结构组件，可以检测所有通信流。因此，防火墙是企业网络安全控制的中心，通过部署防火墙来强化网络的安全性，是实施安全策略的最有效位置。不过，传统的防火墙是依靠端口和通信协议来区分通信流内容，这样导致精心设计的应用程序和技术内行的用户可以轻松地绕过它们；例如，可以利用跳端口技术、使用 SSL、利用 80 端口秘密侵入或者使用非标准端口来绕过这些防火墙。

       由此带来的可视化和控制丧失会使管理员处于不利地位，失去应用控制的结果会让企业暴露在商业风险之下，并使企业面临网络中断、违反规定、运营维护成本增加和可能丢失数据等风险。用于恢复可视化和控制的传统方法要求在防火墙的后面或通过采用插接件集成的组合方式，单独部署其他的“辅助防火墙”。上述两种方法由于存在通信流可视化受限、管理繁琐和多重延迟（将引发扫描进程）的不足，均无法解决可视化和控制问题。现在需要一种完全颠覆式的方法来恢复可视化和控制。而新一代防火墙正是我们所需的。

       Gartner在研究报告中通过对目前市场的分析，说明对于需要规划和升级传统 FW/IPS/UTM 的用户提出明确的建议，建议用户应采用或更新为 ”新一代防火墙 ” (Next Generation Firewall, NGFW)架构，理由很简单传统的防火墙远远不能适合现在IT变迁的新的形势：
       传统的防火墙+IPS不能解决应用的可视性和精细控制的问题，传统的防火墙+UTM 会带来性能的瓶颈问题，而权衡新一代防火墙必须五大要素：
        •           识别应用程序而非端口。准确识别应用程序身份，检测所有端口，而且不论应用程序使用何种协议、SSL、加密技术或规避策略。应用程             序的身份构成所有安全策略的基础。（识别七层或七层以上应用）
        •           识别用户，而不仅仅识别 IP 地址。
                           利用企业目录中存储的信息来执行可视化、策略创建、报告和取证调查等操作。
        •           实时检查内容。
                           帮助网络防御在应用程序通信流中嵌入的攻击行为和恶意软件，并且实现低延迟和高吞吐速度。
        •           简化策略管理。
                           通过易用的图形化工具和策略编辑器（可通过统一的方式将应用程序、用户和内容结合在一起）来恢复可视化和控制。
        •           提供数千兆位的数据吞吐量。
                           在一个专门构建的平台上结合高性能硬件和软件来实现低延迟和数千兆位的数据吞吐量性能。