读懂下一代防火墙性能指标

读懂下一代防火墙性能指标

读懂下一代防火墙，从读懂NSS Labs测试标准开

近年来，用户对网络业务的可视性、可管理性要求越来越高，要求能从业务视角理解网络流量，并针对应用制定管理策略；随之而来的，是以下一代防火墙（NGFW）为代表的应用层网络产品如雨后春笋般涌现出来；传统的网络层安全产品，如传统防火墙、IPS等，由于缺乏应用识别与控制能力，正在被面向应用层的NGFW、下一代IPS等产品取代。以下一代防火墙为例，根据Gartner的调研，在2011年时仅有不到1%的互联网连接采用NGFW来保护，而到2014年底，这个数字飙升到35%。什么样的防火墙能称之为下一代防火墙？

“下一代防火墙”首次提出于2009年。Gartner在题为《Defining the Next-Generation Firewall》的报告中指出：“不断变化的业务流程、IT技术和网络威胁，正推动网络安全的新需求。协议的使用方式和数据的传输方式已发生变化，网络攻击的目标由单纯的破坏演变为恶意软件植入。在这种环境中，试图要求在标准端口上使用合适协议的控制方法已不再具备足够的有效性，传统防火墙必须演进为下一代防火墙。”

由此可以总结得出，NGFW应具备应用识别和感知能力，同时应融合IPS系统以应对网络威胁；下一代防火墙的核心安全能力，是能够执行不依赖于IP、端口的应用、用户和内容控制策略，并能够实时检测网络流量中的恶意网址、病毒、漏洞利用、间谍软件等行为。这一切的基础，是对网络中的数据包执行深度检测，也就是将数据包解封到应用层。数据包封装和解封层次越多，CPU的计算负载就会越高，具体表现为设备性能衰减，这是“鱼与熊掌不能兼得”的简单逻辑，也是为了应用级防护所必须付出的成本。

NSS Labs评估NGFW性能的指标

评估传统网络层设备的指标，如吞吐量、丢包率等，关注更多的是包转发性能。将这些指标简单的套用到聚焦于应用层的NGFW上，不能完整的评估设备的整体性能，甚至连主要性能指标都无法覆盖。举个简单的类比，跑动能力是一名优秀足球运动员必备的条件，但如果由于足球运动员在长跑比赛中输给了马拉松选手，就得出结论说这名足球运动员的能力不足，显然是错误的。

国内防火墙市场上怪现状

也许是都看到了下一代防火墙这块巨大的市场蛋糕，近年来国内安全厂商纷纷加入了下一代防火墙的阵营，也陆续推出了各自的下一代防火墙产品。但在能指导用户选购的性能指标上，有些厂商仍在沿用衡量传统设备的网络层指标，一味的强调“快”，给用户洗脑“天下武功，唯快不破”的思想，而对于开启了全部安全模块后的实测性能，却采取了遮遮掩掩的态度。下一代防火墙不同于数通设备，吞吐量和报文转发能力只是其中一个基础功能，真正考验其在“逼近真实”网络环境中性能表现的核心指标是应用层处理能力。开启了全部安全模块后的真实性能在数字上远不如简单的吞吐量这个指标好看，但如果不向用户讲清开启

了应用层功能后的实际设备性能，就是一种误导行为。

网康的防火墙产品，从问世之日起就定位为下一代防火墙，因此网康始终强调的是其应用层处理，应将应用层性能参数作为主要指标，网络层性能参数作为参考指标。以其中一款高端NGFW产品为例，网康会诚实向用户坦白，开启了全部安全模块后，这款产品的实际吞吐量是14.6Gbps；但我们不会刻意强调，简单的大包处理能力可以达到80Gbps。事实上，80Gbps这个指标，完全可以媲美以“快”而著称的某友商的旗舰产品。

选择下一代防火墙：十大注意事项

白皮书 选择下一代防火墙：十大注意事项 中型企业必备 概述 很多中型公司的网络安全已步入关键时期，他们必须巩固传统安全解决方案，以应对移动和云引发的新趋势，并 适应不断变化的威胁形势。这些局面导致维护网络安全这一挑战更加复杂，并加重了企业网络以最佳状态运行的 负担。 在监控用户的操作、用户访问的应用类型或使用的设备方面，传统防火墙捉襟见肘。下一代防火墙则可以填补这些空白。本文档列举了中型企业在评估下一代防火墙解决方案时需要权衡的十大注意事项： 1. 防火墙是否基于综合全面的状态防火墙基础？ 2. 对于移动用户，解决方案是否支持强大安全的远程访问？ 3. 防火墙是否提供主动威胁防范？ 4. 防火墙能否在多个安全服务运行时保持性能不降级？ 5. 解决方案是否提供深度应用可视性和精细应用控制？ 6. 防火墙是否能够交付用户、网络、应用以及设备智能，推动情景感知防护？ 7. 防火墙是否提供基于云的网络安全？ 8. 能否部署可随着组织扩展的面向未来的解决方案？ 9. 防火墙供应商是否拥有广泛的支持和服务，可为迁移路径铺平道路？ 10. 防火墙供应商是否提供极具吸引力的融资方案，以缩短部署时间？ 下一代防火墙应提供“一体化”解决方案，并融合一系列经济实惠、且便于部署和管理的下一代防火墙服务。本白皮书将帮助您评估下一代防火墙，为您的中型组织作出最明智选择。

网络受损害的机率：100% 据思科 2014 年度安全报告，“所有组织都应该假设自己已经受到黑客的攻击。”1思科智能运营中心 (SIO) 的研究人员发现，所有企业网络中都能检测到恶意流量，这意味着有证据表明恶意人士已经侵入这些网络，而且可能不被察觉地活动了很长时间。2 这些发现强调了为什么所有组织必须部署可提供持续安全以及整个安全网络端到端可视性的下一代防火墙解决方案。成功的攻击是不可避免的，IT 团队必须能够确定损害的范围、遏制事件的发展、采取补救措施，并将运营恢复正常，而且这一切必须及时快速展开。 向新安全模式转变 下一代防火墙是以威胁为中心的安全模式的重要要素。采取以威胁为中心的模式，监控整个网络，并在攻击的整个生命周期（即攻击前、攻击中以及攻击后）做出适当的回应意义非凡。在为组织评估下一代防火墙时，一定要记住，任何解决方案都必须满足下列要求： ●具有全面的防护功能：要在当前威胁形势下保护网络，离不开基于漏洞调查、信誉评分以及其他关键要素的 一流防恶意软件和入侵防御。 ●遵守业务策略：下一代防火墙必须从深度和广度两个层面，对有关应用使用的策略进行全面实施。同时，必 须保证可根据业务策略，在细粒度级别，对出于个人和专业原因使用的各种协作和 Web 2.0 应用进行监控和控制。 ●确保策略得到设备和用户的实施：下一代防火墙必须对访问网络的设备和用户、及其访问网络的位置做到了 如指掌。同时，还必须确保安全策略可根据用户、群以及设备类型（Apple iPhone、iPod、Android 移动设备的具体版本）进行调整。 再者，启用多个服务时，下一代防火墙解决方案不能在以线速保证防护、策略、一致性以及环境的同时，造成性能突然大幅降级。 选择下一代防火墙解决方案时，请思考这些重要问题： 1思科 2014 年度安全报告：https://www.sodocs.net/doc/c58972819.html,/web/offer/urls/CN/whitepapers/sc-01casr2014_cte_lig_zh-cn_35330.pdf。 2同上。

下一代防火墙和传统防火墙的区别

下一代防火墙和传统防火墙的区别： 传统防火墙：无法防御应用层攻击 NGAF：解决运行在网络传统防火墙对应用层协议识别、控制及防护的不足！ 功能优势： 1、应用层攻击防护能力（漏洞防护、web攻击防护、病毒木马蠕虫） 2、双向内容检测的优势（具备网页防篡改、信息防泄漏） 3、8元组ACL与应用流控的优势 4、能实现模块间智能联动 下一代防火墙和IPS(入侵防御模块)区别： IPS：应用安全防护体系不完善，对WEB攻击防护效果不佳；NGAF：解决保护系统层面的入侵防御系统，和对应用层攻击防护不足，及应用层攻击漏判误判的问题！ 功能优势： 1、Web攻击防护，尤其是各类逃逸攻击（注入逃逸、编码逃逸）的防护

下一代防火墙和WAF（Web应用防火墙）： WAF：处理性能不足，缺乏底层漏洞攻击特征库，无法对WEB业务进行整体安全防护 NGAF：解决定位于防护Web攻击的Web应用防火墙 功能优势： 1、三大特征库保护网站安全：漏洞2800+、web攻击2000+、敏感信息（OWASP综合4星） 2、敏感信息防泄漏功能，业内热点，业界独家 3、自动建模技术，自动生成策略。 下一代防火墙和UTM（统一权威管理）: UTM：多功能开启性能差，各模块缺乏联动 NGAF：解决面向中小型企业一体化的UTM统一威胁管理系统，解决多功能模块开启后性能下降以及应用层防护能力不足的问题。 功能优势： 1、六大特征库更完整安全：（漏洞2800+、应用2000+、病毒库10万、web攻击2000+、URL+恶意网址10万、敏感信息） 2、Web攻击模块（web攻击防护、敏感信息、防篡改、应

防火墙设备技术要求 一、防火墙参数要求： 1性能方面： 11网络吞吐量

防火墙设备技术要求 一、防火墙参数要求： 1.性能方面： 1.1网络吞吐量>10Gbps，应用层吞吐率>2Gbps，最大并发连接数>400万（性能要求真实可靠，必须在设备界面显示最大并发连接数不少于400万），每秒新建连接＞15万。 1.2万兆级防火墙，网络接口数量不少于12个接口，其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个，另外具有不少于2个通用扩展插槽。 1.3冗余双电源，支持HA、冗余或热备特性。 1.4具备外挂日志存储系统，用于存储防火墙日志文件等相关信息，另外支持不同品牌网络设备、服务器等符合标准协议的日志格式，日志存储数量无限制。 1.5内置硬盘，不小于600G，用于日志存储。 2.功能方面（包含并不仅限于以下功能）： 2.1具有静态路由功能，包括基于接口、网关、下一跳IP地址的静态路由功能。 2.2具有OSPF动态路由功能，符合行业通用的OSPF协议标准。 2.3具有网络地址转换功能，支持一对一、多对一、多对多的网络地址转换功能。

2.4具有OSI网络模型三层至七层访问控制功能，可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。 2.5具有基于资源和对象的流量分配功能，包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。 2.6完善的日志及审计系统，防火墙内所有功能均具备相应的日志可供查看和审计。 2.7具有内置或第三方CA证书生成、下发及管理功能。 2.8具有身份认证、身份审计功能，支持用户ID与用户IP 地址、MAC地址的绑定，支持基于CA证书、AD域、短信、微信等多种身份认证方式。 2.9具有入侵检测模块，支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。 2.10具有上网行为管理模块，支持上网行为检测、内容过滤等功能，包含5年应用特征库升级服务。 2.11具有病毒防护模块，可包含5年病毒库升级服务。 2.12具备基于WEB页面的管理、配置功能，可通过WEB 页面实现所有功能的配置、管理和实时状态查看。 2.13具有SSL VPN模块，含不低于50人的并发在线数。针对手机和电脑，有专门的SSL VPN客户端。 3.质保和服务

话说下一代防火墙(NGFW)的“三个”

话说下一代防火墙（NGFW）的“三个” 下一代防火墙"NGFW"一个从产生到日渐成熟仍旧拥有一定热度的词汇，相较于传统的防火墙，NGFW的安全性能有了很大的提升，体现了极强的可视性、融合性、智能化。本文来和大家 说说下一代防火墙的"三个"。 下一代防火墙"NGFW"，一个从产生到日渐成熟仍旧拥有一定热度的词汇，相较于传统的防火墙，NGFW的安 全性能有了很大的提升，体现了极强的可视性、融合性、智能化。本文来和大家说说下一代防火墙的"三个"。 下一代防火墙发展的三个拐点 事物的更新迭代是必然的，就像是一个朝代的兴起与衰落，而防火墙性能的提升自然也不会例外，于是下 一代防火墙应景而生。同很多新生事物一样，它也需要慢慢的发展而后变得成熟。下面我们一起看看它的 经历。 拐点一：下一代防火墙的萌动发展 随着国外用户对应用的增多、攻击复杂，传统的防火墙已经不能满足人们的需求。于是美国的PaloAlto公司率先发布了下一代防火墙的产品，并凭借仅有的一条产品线在国外市场获得众多用户的青睐。2009年，著名的分析机构Gartner年发布的一份名为《Defining the Next-Generation Firewall》的文章重新定义 了防火墙，它集成了深度包检测入侵测试、应用识别与精细控制。这个定义一经发布便受到了国外一些安 全厂商的热捧，认为传统防火墙十多年缓慢的发展确实越来越不匹配其网络边界第一道防线的称号。 拐点二：下一代防火墙热潮汹涌 随着国外防火墙的升级发展，国内厂商也纷纷发布自己的下一代防火墙以顺应网络安全产品变革的趋势， 一股下一代防火墙的热潮被掀起。这其中比较知名的厂商有：梭子鱼、深信服、锐捷、天融信、东软等， 各家产品有着各自不同的特点。总的来说，下一代防火墙相比传统的防火墙功能更加的全面，性能更是强劲。 拐点三：下一代防火墙日渐成熟 热潮过后，厂商不断的反思对下一代防火墙进行改进升级。从2011年国内的下一代防火墙开始发展至今，这近两年的时间过后，下一代防火墙越来越成熟，越来越被人们认可接受。很多的用户使用下一代防火墙

华为USG6000系列防火墙性能参数表

华为USG6000系列下一代防火墙详细性能参数表

能，与Agile Controller配合可以实现微信认证。 应用安全●6000+应用协议识别、识别粒度细化到具体动作，自定义协议类型，可与阻断、限流、审计、统计等多种手段自由结合在线协议库升 级。注：USG6320可识别1600+应用。 ●应用识别与病毒扫描结合，发现隐藏于应用中的病毒，木马和恶意软件，可检出超过500多万种病毒。 ●应用识别与内容检测结合，发现应用中的文件类型和敏感信息，防范敏感信息泄露。 入侵防御●基于特征检测，支持超过3500漏洞特征的攻击检测和防御。 ●基于协议检测，支持协议自识别，基于协议异常检测。 ●支持自定义IPS签名。 APT防御与沙箱联动，对恶意文件进行检测和阻断。 Web安全●基于云的URL分类过滤，支持8500万URL库，80+分类。 ●提供专业的安全URL分类，包括钓鱼网站库分类和恶意URL库分类。 ●基于Web的防攻击支持，如跨站脚本攻击、SQL注入攻击。 ●提供URL关键字过滤，和URL黑白名单。 邮件安全●实时反垃圾邮件功能，在线检测，防范钓鱼邮件。 ●本地黑、白名单，远程实时黑名单、内容过滤、关键字过滤、附件类型、大小、数量。 ●支持对邮件附件进行病毒检查和安全性提醒。 数据安全●基于内容感知数据防泄露，对邮件，HTTP，FTP，IM、SNS等传输的文件和文本内容进行识别过滤。 ●20+文件还原和内容过滤，如Word、Excel、PPT、PDF等），60+文件类型过滤。 安全虚拟化安全全特性虚拟化，转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化（带宽、会话等）。 网络安全●DDoS攻击防护，防范多种类型DDoS攻击，如SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood和ARP 欺骗等。 ●丰富的VPN特性，IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等。 路由特性●IPv4：静态路由、RIP、OSPF、BGP、IS-IS。 ●IPv6：RIPng、OSPFv3、BGP4+、IPv6 IS-IS、IPv6RD、ACL6。 部署及可靠性透明、路由、混合部署模式，支持主/主、主/备HA特性。 智能管理●支持根据应用场景模板生成安全策略，智能对安全策略进行优化，自动发现冗余和长期不使用的策略。 ●全局配置视图和一体化策略管理，配置可在一个页面中完成。 ●可视化多维度报表呈现，支持用户、应用、内容、时间、流量、威胁、URL等多维度呈现报表。 标准服务●USG6300-AC：SSL VPN 100用户。 ●USG6300-BDL-AC：IPS-AV-URL功能集升级服务时间12个月，SSL VPN 100用户。 可选服务●IPS升级服务：12个月/36个月 ●URL过滤升级服务：12个月/36个月●反病毒升级服务：12个月/36个月 ●IPS-AV-URL功能集：12个月/36个月 注：√表示为支持此项功能，—表示为不支持此项功能。

下一代防火墙_绿盟_下一代防火墙产品白皮书

绿盟下一代防火墙 产品白皮书 ? 2014 绿盟科技■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录 一. 当今网络边界安全的新挑战 (1) 二. 现有防火墙解决方案的不足 (2) 三. 绿盟下一代防火墙产品 (3) 3.1客户价值 (3) 3.1.1 洞察网络应用，识别安全风险 (3) 3.1.2 融合安全功能，保障应用安全 (4) 3.1.3 高效安全引擎，实现部署无忧 (4) 3.1.4 内网风险预警，安全防患未然 (4) 3.1.5 云端高效运维，安全尽在掌握 (5) 3.2产品概述 (5) 3.3产品架构 (6) 3.4主要功能 (7) 3.4.1 识别和可视性 (7) 3.4.2 一体化策略与控制 (8) 3.4.3 应用层防护 (9) 3.4.4 内网资产风险识别 (10) 3.4.5 安全运维云端接入 (11) 3.4.6 基础防火墙特性 (12) 3.5产品优势 (13) 3.5.1 全面的应用、用户识别能力 (13) 3.5.2 细致的应用层控制手段 (15) 3.5.3 专业的应用层安全防护能力 (16) 3.5.4 卓越的应用层安全处理性能 (18) 3.5.5 首创的内网资产风险管理 (18) 3.5.6 先进的云端安全管理模式 (18) 3.5.7 完全涵盖传统防火墙功能特性 (19) 3.6典型部署 (19) 四. 总结 (20)

插图索引 图1 核心理念 (5) 图2 整体架构 (6) 图3 资产管理 (10) 图4 云端接入 (11) 图5 应用/用户识别 (13) 图6 应用控制 (15) 图7 一体化安全引擎 (16) 图8 双引擎多核并发 (18) 图9 典型部署 (19)

下一代防火墙-概念-本质

下一代防火墙：从概念回归本质 与传统防火墙相比，下一代防火墙性能有了很大的提升，体现了极强的可视性、融合性、智能化。那么，究竟何为NGFW的本质特征？NGFW的必备功能是什么？NGFW与UTM的区别究竟在哪里？ AD：2013大数据全球技术峰会低价抢票中从2007年Palo Alto Networks发布世界第一款下一代防火墙（NGFW）产品至今已经有五年多的光景，这期间不少国内外的厂商相继推出了NGFW。例如：深信服、梭子鱼（Barracuda Networks）、Check Point、网康、天融信等。在防火墙市场，已经展现出一场群雄争霸的局面。 NGFW应企业需求而生 随着互联网的快速发展，各种应用程序的爆发，企业面临着常用应用程序中的漏洞带来的风险。 网络通信不再像以前一样紧紧是依赖于存储和转发应用程序（例如电子邮件），而且已经扩展到涵盖实时协作工具、Web2.0应用程序、即时消息（IM）和P2P应用程序、语音IP 电话（VoIP）、流媒体和电话会议，这些都带来潜在的风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序（只是消耗带宽或者带来危险）。 恶意软件和网络攻击者瞄准了这个场所，让企业面临如数据泄露、潜在的渗透等风险。除了带来安全风险，这些应用程序也消耗带宽和生产力，并且与关键业务型应用程序抢夺网络带宽。因此，企业需要工具来保证业务关键应用程序的带宽，并需要应用程序智能和控制来保护入站和出站的流量，同时确保速度和安全性以提供高效的工作环境。 应企业需求，在多种多样大量的应用程序环境下，仅靠传统防火墙的功能似乎显得力不从心，它们的技术实际上已经过时，因为它们无法检查攻击者散播的网络数据包的数据负载。而NGFW可以提供应用智能控制、入侵防御、恶意软件防护和SSL检查，还可扩展到支持最高性能网络。 众说纷纭NGFW 市场呼唤新的防火墙产品。需要注意的是，机构对下一代防火墙所做出的定义是其最小化的功能集合，而从安全厂商的角度看，则会根据自身技术积累的情况，在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异，它们更像一个大而全的

华为下一代防火墙

产品概述 企业网络正向以移动宽带、大数据、社交化和云服务为核心的下一代网络演进。移动APP 、Web2.0、社交网络让企业处于开放的网络环境，攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透，企业面临前所未有的安全风险，传统防火墙面对变革却无能为力。 华为Secospace USG6300系列下一代防火墙应需而生，面向下一代网络环境，基于“ACTUAL ”感知，实现安全管理自我优化，通过云沙箱技术和信誉体系识别未知威胁，高性能地为中小企业、大型企业的分支机构、小型数据中心提供以应用层威胁防护为核心的下一代网络安全。 华为Secospace USG6300系列 下一代防火墙 产品特点 最精准的应用访问控制 ?全面创新的下一代环境感知和访问控制。通过应用、内容、时间、 用户、威胁和位置六个维度的组合，全局感知日益增多的应用层威胁，实现应用层安全防护。 ?丰富的报表将业务状态、网络环境、安全态势、用户行为等可视化展现，让用户全方位感知，安全运营。 ?深度融合的下一代内容安全。通过解析引擎合并，将安全能力与应用识别深度融合，防范借助应用进行的恶意代码植入、网络入侵、 数据窃取等破坏行为。 最高的性能体验 ?专用软硬件平台架构，IAE 单次解析引擎。智能感知应用信息后， 全安全特性并行处理。 ?内容检测硬件加速，提升应用层防护效率，保障全安全特性开启下的最佳性能。 最简单的安全管理 ?根据应用场景提供策略模板，实现策略快速部署。 ?根据网络中的实际流量和应用的风险，遵循最小权限控制原则，自动生成策略优化建议。 ?分析策略命中率，发现冗余、失效的策略，有效控制策略规模，简化管理。 最全面的未知威胁防护 ?遍布全球的安全中心，丰富的可疑样本来源。在云端采用沙箱技术，在模拟环境中监控可疑样本的运行行为，高效发现未知威胁。 ?发现未知威胁后自动提取威胁特征，并迅速将特征同步到设备侧，有效防范零日攻击。 ?准确、完善的信誉体系，防范APT 攻击。 USG6370/6380/6390 USG6310/6320 USG6330/6350/6360

Cisco Firepower 下一代防火墙

数据表 Cisco Firepower 下一代防火墙 Cisco Firepower? 下一代防火墙 (NGFW) 是业内首款具有统一管理功能的完全集成、专注于威胁防御的下一代防火墙。它包括应用可视性与可控性 (AVC)、可选的 Firepower 下一代 IPS (NGIPS)、思科?高级恶意软件防护 (AMP) 和 URL 过滤。在攻击前、攻击中和攻击后，Cisco Firepower NGFW 均可提供高级威胁防护。 性能亮点 表 1 概述 Cisco Firepower NGFW 4100 系列和 9300 设备的性能亮点。 表 1. 性能亮点 1 Cisco Firepower 4150 计划于 2016 年上半年发布；具体技术参数将于日后发布 2 数据包平均大小为 1024 字节的 HTTP 会话 Cisco Firepower 4100 系列： 带 40-GbE 接口的业内首款 1RU NGFW Cisco Firepower 9300： 随需求增长可扩展的超高性能 NGFW

平台支持 Cisco Firepower 4100 系列和 Firepower 9300 NGFW 设备使用 Cisco Firepower 威胁防御软件映像。这些设备还可以支持思科自适应安全设备 (ASA) 软件映像。Cisco Firepower 管理中心（原来的 FireSIGHT）提供 Cisco Firepower NGFW 以及 Cisco Firepower NGIPS 和思科 AMP 的统一管理。此外，优选 Cisco Firepower 设备上还提供直接源自思科的 Radware DefensePro 分布式拒绝服务 (DDoS) 缓解功能。 Cisco Firepower 4100 系列设备 Cisco Firepower 4100 系列包括四个专注于威胁防御的 NGFW 安全平台。其最大吞吐量从 20 Gbps 到 60 Gbps 以上，可应对从互联网边缘到数据中心等各种使用案例。它们可提供卓越的威胁防御能力以及更快的响应速度，同时占用空间却更小。 Cisco Firepower 9300 设备 Cisco Firepower 9300 是可扩展（超过 1 Tbps）运营商级模块化平台，专为要求低（少于 5 微秒分流）延迟和超大吞吐量的运营商、高性能计算中心、数据中心、园区、高频交易环境等打造。Cisco Firepower 9300 通过 RESTful API 实现分流、可编程的安全服务协调和管理。此外，它还可用于兼容 NEBS 的配置中。 性能规范和功能亮点 表 2 概述 Cisco Firepower NGFW 4100 系列和 9300 设备在运行 Cisco Firepower 威胁防御映像时的功能。 表 2.通过 Firepower 威胁防御映像实现的性能规范和功能亮点

防火墙技术参数

防火墙技术参数： 网络端口8GE+4SFP VPN支持支持丰富高可靠性的VPN特性，如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等 入侵检测超过5000种漏洞特征的攻击检测和防御。第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击，包括SQL注入攻击和跨站脚本攻击。管理预置常用防护场景模板，快速部署安全策略，降低学习成本 自动评估安全策略存在的风险，智能给出优化建议 支持策略冲突和冗余检测，发现冗余的和长期未使用策略，有效控制策略规模 一般参数 电源选配冗余电源100-240V，最大功率170W 产品尺寸442×421×44.4mm 产品重量7.9kg 适用环境温度：0-45℃(不含硬盘)/5℃-40℃ (包含硬盘) 湿度：5%-95%(不含硬盘)/ 5%-90% (包含硬盘) 其他性能产品形态：1U 带宽管理与QoS优化：在识别业务应用的基础上，可管理每用户/IP使用的带宽, 确保关键业务和关键用户的网络体验。管控方式包括：限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等 数据防泄漏：对传输的文件和内容进行识别过滤，可准确识别常见文件的真实类型，如Word、Excel、PPT、PDF等，并对敏感内容进行过滤 应用识别与管控：可识别6000+应用，访问控制精度到应用功能，例如区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合，提高检测性能和准确率 接口扩展：可扩展千兆电口/千兆光口/万兆光口，支持BYPASS插卡 软件认证：ICSA Labs: Firewall，IPS，IPSec VPN，SSL VPN CC：EAL4+ NSS Labs：推荐级 硬件认证：CB，CCC，CE-SDOC，ROHS，REACH&WEEE(EU)，C-TICK，ETL，FCC&IC，VCCI，BSMI

下一代防火墙设计方案V2

惠尔顿下一代防火墙 （NGWF） 设计方案 深圳市惠尔顿信息技术有限公司 2016年5月1日

目录 一、方案背景 (2) 二、网络安全现状 (2) 三、惠尔顿下一代防火墙（NGWF）介绍及优势 (7) 四、惠尔顿NGWF功能简介 (10) 五、部署模式及网络拓扑 (14) 六、项目报价 (15) 七、售后服务 (16)

一、方案背景 无锡某部队响应国家公安部82号令号召，加强部队网络安全建设。针对目前网络存在的涉密、泄密、木马、病毒等进行预防。 二、网络安全现状 近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统（IDS）越来越难以检测和阻挡。随着每一次成功的攻击，黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁。为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备，而社会工程（social engineering）陷阱也成为新型攻击的一大重点。

防火墙技术指标

技术要求采购数量：1台

服务要求 1、提供标的产品免费全国范围内现场安装服务和售后服务； 2、提供厂商出具的标的产品三年硬件保修服务证明，备品备件保障证明； 3、投标人至少有2名以上工程师，并指定专人工程师为项目接口工程师，提供标的产品的技术服务支持； 4、硬件故障处理 a)乙方提供三年产品保修服务。若出现硬件故障问题，从甲方报修开始至厂维修完毕返还给用户应不超过10个工作日，维修产品的运费及运输保险费由乙方承担； 5、技术咨询服务 b）乙方免费为用户提供产品咨询服务，协助用户进行新需求规划； c）甲方在系统相关环境上进行研发测试过程中，遇到技术难题时，提供技术咨询服务，包括远程电话支持和现场研讨支持； 6、系统配置管理 d) 建立所有维保设备的配置统计文档，在维保期间随时更新设备硬件或系统软件配置变更的情况。 7、不间断服务 e) 7×24小时响应的电话、传真、E-MAIL方式等日常售后技术服务；提供7×24小时的支持服务，设备出现故障进行实时电话响应； f）设备出现故障，如电话、远程等方式不能解决，全国范围内6小时内赶到现场，12小时内排除由设备问题造成的网络故障； 8、疑难问题升级处理 g) 就维保设备在用户日常管理中遇到的疑难杂症进行升级处理，疑难问题不限于设备故障； 9、定期巡检 h) 提供产品定期巡检服务：乙方在服务期内提供12人次/年的定期巡检服务（每月1次），对本次合同购买的设备的运行状态、安全策略等进行检测，确保其安全稳定的运行，巡检后3个工作日内向甲方提交检查总结报告； 10、系统升级、补丁安装服务

i)提供三年软件版本及补丁免费升级服务，特征库升级授权，供用户自行升级以及提供技术支持服务； 11、系统及相关环境重建服务 j) 设备维保期间，提供系统及相关环境的重新搭建服务； 12、重要事件服务 k）服务期内若甲方有特殊需求（如网络架构调整需求等），乙方技术支持工程师须在甲方提出需求的8个工作小时内到达甲方现场配合讨论方案和进行现场配置和调试； 13、紧急处理服务 l）对于紧急支持服务需求（例如系统瘫痪等严重问题），乙方须在接到甲方服务要求后2个小时内作出反应，在4个小时内到达甲方现场； m）服务期内，若因设备硬件/系统问题影响甲方正常生产环境，乙方须在4个小时内调拨备机到甲方现场，并确保备机的策略/运行状态正常，提供的备机服务应符合现在管理平台的要求，提供的备机应为同等档次或高于目前使用的型号； 14、硬件设备移机服务 n) 根据甲方实际需求提供硬件设备的物理搬迁服务。在搬迁过程中，提供相当于搬迁设备同样配置的备机在甲方本地(单次搬迁设备超过4台时，提供一半以上的备机，保证对故障设备进行及时替换)，保障设备移机前后的正常运行；搬迁过程中如设备有任何损坏，其造成的损失在得到甲方认可的前提下，全部由乙方负责赔偿； 15、辅助故障定位服务 o) 在甲方使用主流品牌的硬件、软件产品出现兼容性问题时，积极配合，与有关硬件、软件厂商和采购人接洽，及时定位问题原因、寻求解决方案； 16、产品关联服务 p) 提供其他与产品相关联的服务，如产品过期EOL(End of life)，提前一年通知甲方。 17、培训服务 q）提供标的产品2人/次原厂技术培训（非现场培训）； 18、续约 r) 维保服务合同到期后1个月内，如果甲方提出需求，继续提供上述技术服务；18、提供厂商出具的五年内备品备件保障证明；

下一代防火墙,安全防护三步走

下一代防火墙，安全防护三步走 下一代防火墙区别于传统防火墙的核心特色之一是对应用的识别、控制和安全性保障。这种显著区别源自于Web2.0与Web1.0这两个不同网络时代下的模式变迁。传统的Web1.0网络以服务请求与服务提供为主要特征，服务提供方提供的服务形态、遵循的协议都比较固定和专一，随着社会化网络Web2.0时代的到来，各种服务协议、形态已不再一尘不变，代之以复用、变种、行为差异为主要特征的各种应用的使用和共享。本文即针对下一代防火墙的这一主要特征，从基于应用的识别、控制、扫描的三步走中，阐述新时代网络环境下的防护重点和安全变迁，旨在帮助读者对下一代防火墙新的核心防护理念做一个较为全面的梳理和归纳。面对应用层威胁，传统防火墙遭遇“阿喀琉斯之踵” 1.新的应用带来全新的应用层威胁 Web2.0应用虽然可以显著增强协作能力，提高生产效率，但同时也不可避免地带来了新的安全威胁。 1)恶意软件入侵 WEB应用中社交网络的普及给恶意软件的入侵带来了巨大的便利，例如灰色软件或链接到恶意站点的链接。用户的一条评价、一篇帖子、或者一次照片上传都可能包含殃及用户或甚至整个网络的恶意代码。例如，如果用户在下载驱动程序的过程中点击了含有恶意站点的链接，就很有可能在不知情的情况下下载了恶意软件。 2)网络带宽消耗对于部分应用来说，广泛的使用会导致网络带宽的过渡消耗。例如优酷视频可以导致网络拥塞并阻碍关键业务使用和交付。还有对于文件共享类应用，由于存在大量的文件之间的频繁交换，也可能会最终导致网络陷入瘫痪。 3)机密资料外泄某些应用（如即时通信，P2P下载等）可提供向外传输文件附件的功能，如果对外传输的这些文件存在敏感、机密的信息，那么将给企业带来无形和有形资产的损失，并且也会带来潜在的民事和刑事责任。 2.传统防火墙的“阿喀琉斯之踵” 由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量，并执行相关的策略。对于WEB2.0应用来说，传统防火墙看到的所有基于浏览器的应用程序的流量是完全一样的，因而无法区分各种应用程序，更无法实施策略来区分哪些是不当的、不需要的或不适当的程序，或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议，会导致阻止所有基于web的流量，其中包括合法商业用途的内容和服务。另外传统防火墙也检测不到基于隧道的应用，以及加密后的数据包，甚至不能屏蔽使用非标准端口号的非法应用。下一代防火墙之“三步走” 下一代防火墙的核心理念其实是在企业网络边界建立以应用为核心的网络安全策略，通过智能化识别、精细化控制、一体化扫描等逐层递进方式实现用户/应用行为的可视，可控、合规和安全，从而保障网络应用被安全高效的使用。第一步：智能化识别通过智能化应用、用户识别技术可将网络中简单的IP地址/端口号信息转换为更容易识别且更加智能化的用户身份信息和应用程序信息，为下一代防火墙后续的基于应用的策略控制和安全扫描提供的识别基础。例如：对于同样一条数据信息，传统防火墙看到的是：某源IP通过某端口访问了某目的IP；下一代防火墙看到：某单位张三通过QQ给远在美国的李四传输了一个PDF文件。第二步：精细化控制下一代防火墙可以根据风险级别、应用类型是否消耗带宽等多种方式对应用进行分类，并且通过应用访问控制，应用带宽管理或者应用安全扫描等不同的策略对应用分别进行细粒度的控制。相对于传统防火墙，下一代防火墙可以区分同一个应用的合法行为和非法行为，并且对非法行为进行阻断。如：下一代防火墙可以允许使用QQ的前提下，禁止QQ的文件传输动作，从而一定程度上避免单位员工由于传输QQ文件造成的内部信息泄漏。第三步：一体化扫描在完成智能化识别和精细化控制以后，对允许使用且存在高安全风险的网络应用，下一代防火墙可以进行漏洞、病毒、URL和内容等不同层次深度扫描，如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断等动作。下一代防火墙在引擎设计上采用了单次解析架构，这种引擎架构可以保证引擎系统在数据流流入时，一次性地完成

防火墙的性能评估

评价防火墙的功能、性能指标 (2011-06-03 23:47:16) 转载▼ 标签： 分类：网络技术 防火墙 性能 参数 吞吐量 最大连接数 新建连接数 丢包率 it 一、功能指标 1、访问控制：根据数据包的源/目的IP地址、源/目的端口、协议、流量、时间等参数对数据包进行访问控制。 2、地址转换：源地址转换(SNAT)、目的地址转换(DNAT)、双向地址转换(IP映射)。 3、静态路由/策略路由： 静态路由：给予目的地址的路由选择。 策略路由：基于源地址和目的地址的策略路由选择。 4、工作模式：路由模式、网桥模式(交换/透明模式)、混杂模式(路由+网桥模式并存) 5、接入支持：防火墙接口类型一般有GBIC、以太网接口等；接入支持静态IP设置、DHCP、PPOE(比如ADSL接入)等。 6、VPN：分为点到端传输模式(PPTP协议)和端到端隧道模式(IPSec、IPIP、GRE隧道)，支持DES、3DE、Blowfish、AES、Cast128、Twofish等加密算法，支持MD5、SHA-1认证算法；VPN功能支持NAT穿越。 7、IP/MAC绑定：IP地址与MAC地址绑定，防止IP盗用，防止内网机器有意/无意抢占关键服务器IP。 8、DHCP：内置DHCP Server 为网络中计算机动态分配IP地址；DHCP Relay的支持能为防火墙不同端口的DHCP Server和计算机之间动态分配IP地址。 9、虚拟防火墙：在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙，每个虚拟防火墙为一个特定的用户群提供安全服务。 10、应用代理：HTTP、FTP、SMTP等协议应用代理，大多数内容过滤通过应用代理实现。 11、流量控制：流量控制，流量优先级，带宽允许条件下的优先保障关键业务带宽。

下一代防火墙 白皮书V1.0-1108

深信服下一代防火墙NGAF 技术白皮书 深信服科技有限公司 https://www.sodocs.net/doc/c58972819.html, 二零一一年八月

目录 1.概述 (3) 2. 为什么需要下一代防火墙 (3) 2.1网络发展的趋势使防火墙以及传统方案失效 (3) 2.2替代性方案能否弥补 (4) 2.2.1“打补丁式的方案” (4) 2.2.2 UTM统一威胁管理 (4) 3.下一代防火墙的诞生与价值 (4) 3.1Gantner定义下一代防火墙 (4) 3.2深信服下一代应用防火墙—NGAF (5) 4.产品功能特点 (6) 4.1更精细的应用层安全控制 (6) 4.1.1可视化应用识别 (7) 4.1.2多种用户识别方式 (7) 4.1.3一体化应用访问控制策略 (8) 4.1.4基于应用的流量管理 (9) 4.2更全面的内容级安全防护 (10) 4.2.1灰度威胁关联分析技术 (10) 4.2.2基于攻击过程的服务器保护 (12) 4.2.3强化的WEB安全防护 (13) 4.2.4完整的终端安全保护 (14) 4.3更高性能的应用层处理能力 (15) 4.3.1单次解析架构 (15) 4.3.2多核并行处理技术 (16) 4.4更完整的安全防护方案 (16) 5.关于深信服 (17)

1.概述 防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。防火墙就像故宫的城墙，对进出防火墙的一切数据包进行检查，保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。防火墙技术在当时被堪称完美！随着时代的变迁，故宫的城墙已黯然失色，失去了它原有的防御能力。同样防火墙在面对网络的高速发展，应用的不断增多的时代也失去了它不可替代的地位。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后，于2011年正式发布深信服“下一代应用防火墙”——NGAF。 2. 为什么需要下一代防火墙 2.1网络发展的趋势使防火墙以及传统方案失效 防火墙作为一款历史悠久的经典产品，在IP/端口的网络时代，发挥了巨大的作用：合理的分隔了安全域，有效的阻止了外部的网络攻击。防火墙在设计时的针对性，在当时显然是网络安全的最佳选择。但在网络应用高速发展，网络规划复杂化的今天防火墙的不适应性就越发明显，从用户对网络安全建设的需求来看，传统防火墙存在以下问题： 1、应用安全防护的问题： 传统防火墙基于IP/端口，无法对应用层进行识别与控制，无法确定哪些应用经过了防火墙，自然就谈不上对各类威胁进行有效防御了。面对应用层的攻击，防火墙显得力不从心，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如病毒、蠕虫、木马等。 2、安全管理的问题： 传统防火墙的访问控制策略对于大型网络来说简直就是噩梦。严格控制网络需要配置大量的策略，并且这些基于IP/端口策略可读性非常之差，经常会造成错配、漏配的情况，留下的这些隐患，往往给黑客们以可乘之机。

下一代防火墙解决方案讲解

下一代防火墙解决方案

目录 1 网络现状 (3) 2 解决方案 (9) 2.1 网络设备部署图 (9) 2.2 部署说明 (9) 2.3 解决方案详述 (9) 2.3.1 流量管理 (10) 2.3.2 应用控制 (12) 2.3.3 网络安全 (12) 3 报价 (25)

1 网络现状 随着网络技术的快速发展，现在我们对网络安全的关注越来越重视。近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统（IDS）越来越难以检测和阻挡。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom 等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁。为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备，而社会工程（social engineering）陷阱也成为新型

下一代防火墙

下一代防火墙 作者：来源：发布时间：2011-01-07 防火墙必须演进，才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。随着攻击变得越来越复杂，企业必须更新网络防火墙和入侵防御能力来保护业务系统。 不断变化的业务流程、企业部署的技术，以及威胁，正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web 2.0)，正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。在这种环境中，简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测，不再有足够的价值。为了应对这些挑战，防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(Next Generation Firewall，简称NGFW)”的产品。如果防火墙厂商不进行这些改变的话，企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。 一、什么是NGFW? 对于使用僵尸网络传播方式的威胁，第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加，更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输，这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知攻击方法，但不能有效地识别和阻止应用程序的滥用，更不要说应用程序中的特殊性了。 Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。 NGFW至少具有以下属性： 1．支持联机“bump-in-the-wire”配置，不中断网络运行。 2．发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：（1）标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。（2）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS 加载恶意传输流。这个例子说明，在NGFW中，应该由防火墙建立关联，而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码，是NGFW的一个主要特征。（3）应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype，但关闭Skype中的文件共享或始终阻止G oToMyPC。（4）额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。 3．支持新信息馈送和新技术集成的升级路径来应对未来的威胁。 举个例子，NGFW可以阻止细粒度的网络安全政策违规或发出报警。如使用Web邮件、匿名服务器、对等网络技术或PC远程控制，只简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信，而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现，这意味着有许多NGFW可以识别和阻止不受欢迎的应用，即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制。因为，消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。 二、什么不是NGFW? 现在有一些与NGFW相近，但不相同的基于网络的安全产品领域： 1．中小企业多功能防火墙或UTM设备：这类设备是提供多种安全功能的单一设备。尽管它们总是包含第一代防火墙和IPS功能，但它们不提供应用意识功能，而且不是集成的、单引擎产