下一代防火墻
下一代防火墻
什么是下一代防火墻,下面由學(xué)習(xí)啦小編給你做出詳細的下一代防火墻介紹!希望對你有幫助!歡迎回訪!
下一代防火墻:
Gartner介紹為應(yīng)對當(dāng)前與未來新一代的網(wǎng)絡(luò)安全威脅認為防火墻必需要再一次升級為“下一代防火墻”(參見“工具包:評估信息安全預(yù)算,2007年升級版”)。例,第一代防火墻現(xiàn)已基本無法探測到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅(參見“案例研究:計算機早期探測功能被僵尸網(wǎng)絡(luò)客戶端所威脅”)。由于當(dāng)前采用的是基于服務(wù)的架構(gòu)與Web2.0使用的普及,更多的通訊量都只是通過少數(shù)幾個端口(如:HTTP與HTTPS)及采用有限的幾個協(xié)議進行,這也就意味著基于端口/協(xié)議類安全策略的關(guān)聯(lián)性與效率都越來越低。深層數(shù)據(jù)包檢查入侵防御系統(tǒng)(IPS)可根據(jù)已知攻擊對操作系統(tǒng)與漏失部署補丁的軟件進行檢查,但卻不能有效的識別與阻止應(yīng)用程序的濫用,更不用說對于應(yīng)用程序中的具體特性的保護了。
Gartner將網(wǎng)絡(luò)防火墻定義為在線安全控制措施,即:可實時在各受信級網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略。Gartner使用“下一代防火墻”這一術(shù)語來說明升級防火墻的必要性,以應(yīng)對目前業(yè)務(wù)程序使用IT的方法以及針對業(yè)務(wù)系統(tǒng)所發(fā)起的攻擊方法所發(fā)生的改變。
下一代防火墻的屬性
下一代防火墻需具有下列最低屬性:
· 支持在線BITW(線纜中的塊)配置,同時不會干擾網(wǎng)絡(luò)運行。
· 可作為網(wǎng)絡(luò)流量檢測與網(wǎng)絡(luò)安全策略執(zhí)行的平臺,并具有下列最低特性:
1)標準的第一代防火墻功能:具有數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、協(xié)議狀態(tài)檢查以及功能等。
2)集成式而非托管式網(wǎng)絡(luò)入侵防御:支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協(xié)作所獲得的性能要遠高于部件的疊加,如:提供推薦防火墻規(guī)則,以阻止持續(xù)某一載入IPS及有害流量的地址。這就證明,在下一代防火墻中,互相關(guān)聯(lián)作用的是防火墻而非由操作人員在控制臺制定與執(zhí)行各種解決方案。高質(zhì)量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起,如:根據(jù)針對注入惡意軟件網(wǎng)站的IPS檢測向防火墻提供推薦阻止的地址。
3)業(yè)務(wù)識別與全棧可視性:采用非端口與協(xié)議vs僅端口、協(xié)議與服務(wù)的方式,識別應(yīng)用程序并在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略。范例中包括允許使用Skype但禁用Skype內(nèi)部共享或一直阻止GoToMyPC。
4)超級智能的防火墻: 可收集防火墻外的各類信息,用于改進阻止決策,或作為優(yōu)化阻止規(guī)則的基礎(chǔ)。范例中還包括利用目錄集成來強化根據(jù)用戶身份實施的阻止或根據(jù)地址編制黑名單與白名單。
· 支持新信息流與新技術(shù)的集成路徑升級,以應(yīng)對未來出現(xiàn)的各種威脅。
看過“下一代防火墻 ”人還看了: