次世代防火牆-產品篇-Dell SonicWall


Dell SonicWall NGFW透過免重組深層封包檢測(RFDPI；Reassembly-Free Deep Packet Inspection)技術的整合，而得以提供IPS、惡意程式偵測、應用智能／控制／虛擬化、以及SSL加密連線檢測等安全機制。其能為每個封包進行逐個位元的掃描，以達到深層防護的作用，該機同時具備延展最新科技的能力，以滿足企業不斷成長及分散式網路的需求。

Dell SonicWall 旗下NGFW內建可對所有封包之所有位元進行掃描能力的免重組深層封包檢測引擎，可以在提供全串流內容完全檢測的同時，又能兼具高效能及低延遲的要求。該技術主要在解決過去舊時代理式設計所造成高延遲、低效能及檔案大小受限等弊病。過去代理式設計會對透過套接至防毒軟體的內容進行重組，但如此將受困於效能低落並造成記憶體負荷過重的狀況。

重組深層封包檢測技術可透過全面性的內容檢測，在安全威脅全面進入企業網路之前便加以徹底封鎖，並且在不受檔案大小、效能及延遲限制的狀況下，有效阻絕數以百萬計的惡意程式變種威脅。該引擎同時提供SSL加密流量的完整檢測能力，同時提供非代理應用在無關通訊埠及通訊協定的情況下，提供更全面的安全防護。

該公司NGFW同時具備應用智能及控管能力，藉由直覺式AppFlow虛擬化工具，管理人員可透過應用層政策進行生產性及非生產性應用流量的精準辨識。同時IT管理人員能藉此獲得全新等級且介面簡便的管理機制，進而能對應用及使用者進行更精細的管控，並依據社交網路、遊戲等邏輯預定義類別、個別應用軟體，抑或使用者／群組，簡單輕鬆地建立相對應的頻寬管理政策。




▲ SonicWall網路安全最佳化架構圖。（圖片來源：Dell SonicWall）




一旦新增任何應用軟體，可在不需耗費IT任何時間及人力的情況下，自動地將全新特徵碼派送到防火牆上，而相對應的適當安全政策會自動完成更新及執行。再者，管理人員可透過精細應用政策，來進行特定檔案及文件傳輸的限制或封鎖、頻寬優先順序處理或調節，以及內外部網站存取的封鎖等作業。

再就AppFlow虛擬化工具而言，管理人員可藉以將應用流量視覺化，進而適當地控管網路的使用狀況，並對網路政策做適當調整。進一步而言，該監控工具可提供應用軟體、進出頻寬、網站存取及所有使用者行為的即時圖表。管理人員接著可修改應用軟體政策，以達到網路政策遵循的要求及目的。再者，相同資料可以持續發送至任何NetFlow/IPFIX分析器上，以進行機外監控(off-box monitoring)、除錯及歷史網路活動分析等作業。

同時可透過預定及例外清單，並提供基於每位使用者及每個群組的應用控管能力。不僅如此，Dell SonicWall研發團隊並且會持續不斷地提供應用特徵碼的更新作業。此外，其旗下NGFW所內建的SonicOS作業系統，並提供了具備客製化應用辨識機制的整合式工具。目前SonicWall仍持續不斷地擴充自家安全威脅特徵碼資料庫，目前可辨識2,800種以上的應用軟體，以及數以百萬隻的惡意程式，以提供全自動無縫式網路安全防護的能力。

在硬體架構上，該公司NGFW並配備多核心運算架構，在與該公司專屬深層封包檢測技術相搭配時，便可讓該檢測技術隨著運算核心數的增加，而在檢測效能上呈現線性擴展的能力及效益，進而讓整體防護達到高效能、高擴展性及高可用性的要求。目前專門針對大型企業的Dell SonicWall SuperMassive E10000系列NGFW便支援這樣的多核心運算架構。也因為如此，擁有96顆運算核心的E10000系列平台，得以支援超低延遲深層封包檢測機制，並提供低於1微秒(μs)延遲之240Gbps超高頻寬效能表現。

當前NGFW所內建像是IPS、惡意程式過濾及應用控管等深層封包檢測(DPI)功能在今後安全防護上扮演非常重要的角色，但更重要的是該功能的效能表現，否則將造成全網路效能不彰，並進而造成整體安全防護力低落的情況。對此，Dell SonicWall免重組深層封包檢測引擎，支援可將所有安全功能整合至單一整合式掃描及政策引擎之中的高效能單通道設計架構，致使其DPI最大效能頻寬可達到10Gbps以上。
次世代防火牆--背景篇
次世代防火牆--採購篇
次世代防火牆-產品篇-Check Point
次世代防火牆-產品篇-Dell SonicWall
次世代防火牆-產品篇-Fortinet
次世代防火牆-產品篇-Palo Alto
次世代防火牆-產品篇-SourceFire
次世代防火牆--番外篇-Citrix NetScaler