下一代防火墻
下一代防火墻
什么是下一代防火墻,下面由學(xué)習(xí)啦小編給你做出詳細(xì)的下一代防火墻介紹!希望對(duì)你有幫助!歡迎回訪!
下一代防火墻:
Gartner介紹為應(yīng)對(duì)當(dāng)前與未來新一代的網(wǎng)絡(luò)安全威脅認(rèn)為防火墻必需要再一次升級(jí)為“下一代防火墻”(參見“工具包:評(píng)估信息安全預(yù)算,2007年升級(jí)版”)。例,第一代防火墻現(xiàn)已基本無法探測(cè)到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅(參見“案例研究:計(jì)算機(jī)早期探測(cè)功能被僵尸網(wǎng)絡(luò)客戶端所威脅”)。由于當(dāng)前采用的是基于服務(wù)的架構(gòu)與Web2.0使用的普及,更多的通訊量都只是通過少數(shù)幾個(gè)端口(如:HTTP與HTTPS)及采用有限的幾個(gè)協(xié)議進(jìn)行,這也就意味著基于端口/協(xié)議類安全策略的關(guān)聯(lián)性與效率都越來越低。深層數(shù)據(jù)包檢查入侵防御系統(tǒng)(IPS)可根據(jù)已知攻擊對(duì)操作系統(tǒng)與漏失部署補(bǔ)丁的軟件進(jìn)行檢查,但卻不能有效的識(shí)別與阻止應(yīng)用程序的濫用,更不用說對(duì)于應(yīng)用程序中的具體特性的保護(hù)了。
Gartner將網(wǎng)絡(luò)防火墻定義為在線安全控制措施,即:可實(shí)時(shí)在各受信級(jí)網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略。Gartner使用“下一代防火墻”這一術(shù)語(yǔ)來說明升級(jí)防火墻的必要性,以應(yīng)對(duì)目前業(yè)務(wù)程序使用IT的方法以及針對(duì)業(yè)務(wù)系統(tǒng)所發(fā)起的攻擊方法所發(fā)生的改變。
下一代防火墻的屬性
下一代防火墻需具有下列最低屬性:
· 支持在線BITW(線纜中的塊)配置,同時(shí)不會(huì)干擾網(wǎng)絡(luò)運(yùn)行。
· 可作為網(wǎng)絡(luò)流量檢測(cè)與網(wǎng)絡(luò)安全策略執(zhí)行的平臺(tái),并具有下列最低特性:
1)標(biāo)準(zhǔn)的第一代防火墻功能:具有數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、協(xié)議狀態(tài)檢查以及功能等。
2)集成式而非托管式網(wǎng)絡(luò)入侵防御:支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協(xié)作所獲得的性能要遠(yuǎn)高于部件的疊加,如:提供推薦防火墻規(guī)則,以阻止持續(xù)某一載入IPS及有害流量的地址。這就證明,在下一代防火墻中,互相關(guān)聯(lián)作用的是防火墻而非由操作人員在控制臺(tái)制定與執(zhí)行各種解決方案。高質(zhì)量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起,如:根據(jù)針對(duì)注入惡意軟件網(wǎng)站的IPS檢測(cè)向防火墻提供推薦阻止的地址。
3)業(yè)務(wù)識(shí)別與全??梢曅裕翰捎梅嵌丝谂c協(xié)議vs僅端口、協(xié)議與服務(wù)的方式,識(shí)別應(yīng)用程序并在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略。范例中包括允許使用Skype但禁用Skype內(nèi)部共享或一直阻止GoToMyPC。
4)超級(jí)智能的防火墻: 可收集防火墻外的各類信息,用于改進(jìn)阻止決策,或作為優(yōu)化阻止規(guī)則的基礎(chǔ)。范例中還包括利用目錄集成來強(qiáng)化根據(jù)用戶身份實(shí)施的阻止或根據(jù)地址編制黑名單與白名單。
· 支持新信息流與新技術(shù)的集成路徑升級(jí),以應(yīng)對(duì)未來出現(xiàn)的各種威脅。
看過“下一代防火墻 ”人還看了:
1.淺談基于WEB防火墻的校園網(wǎng)絡(luò)安全解決策略論文