安全分析：下一代防火墙应对安全新变化

newmaker

欢迎访问e展厅 展厅 5 网络/安全/存储产品展厅 无线上网卡, 光纤设备, 网络布线产品, 计算机干扰器, 网关, ... 防火墙必须演进，能够更主动地阻止新威胁(例如僵尸网和定位攻击)。随着攻击变得越来越复杂，企业必须更新网络防火墙和入侵防御能力来保护业务系统。 不断变化的业务流程、企业部署的技术以及威胁正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web 2.0)正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使易受攻击的用户安装试图避免被检测出的针对性的恶意执行程序上。在这种环境中，简单地强制要求在标准端口上使用合适的协议和阻止寻找未修补的服务器的攻击不再有足够的价值。为了应对这些挑战，防火墙必须演进为Gartner称之为“下一代防火墙(NGFW)”的产品。如果防火墙厂商不进行这些改变的话，企业将要求降价来降低第一代防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。 什么是NGFW？ 对于使用僵尸网传播方式的威胁，第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加，更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输，这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确检查针对没有打补丁的操作系统和软件的已知攻击方法，但不能有效地识别和阻止应用程序的滥用，更不要说应用程序中的特殊特性了。 Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和攻击试图入侵业务系统的方式发生的变化时必要的演进。 NGFW至少具有以下属性： 支持联机“bump-in-the-wire”配置，不中断网络运行。 发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性： 1，标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。 2，集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和，例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明，在NGFW中，应该由防火墙建立关联，而不是操作人员不得不跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码是NGFW的一个主要特征。 3，应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype但关闭Skype中的文件共享或始终阻止GoToMyPC。 4，额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定，或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。 支持新信息馈送和新技术集成的升级路径来应对未来的威胁。 NGFW执行的例子包括阻止细粒度的网络安全政策违规或发出报警，如使用Web邮件、匿名服务器、对等网络技术或PC远程控制。简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信，而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现，这意味着有许多NGFW可以识别和阻止的不受欢迎的应用，即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制，因为，消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。(end)

文章内容仅供参考 (投稿) (如果您是本文作者，请点击此处) (6/22/2011)