2012-12-6 | 发布者:admin | 热度: | 评论:0
导读:众所周知,所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计...
众所周知,所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙,那新一代防火墙的出现可剔除哪些严重的安全隐患呢?


大中型企业的IT经理需要在网络性能和网络安全之间进行权衡。虽然安全性对于企业至关重要,但企业不应该因为安全性而降低产量和生产力。下一代防火墙(NGFW)应运而生,用于解决这一棘手问题。


前几代防火墙给当今企业带来了严重的安全隐患。它们的技术已经过时,无法应对当前互联网罪犯投放的网络封包的数据负载。许多供应商只能以状态封包检测(SPI)速度吸引客户,但安全和性能的真正衡量标准是深度包检测的吞吐量和有效性。为了解决这一缺陷,许多防火墙供应商采用传统桌面反病毒解决方案使用的恶意软件检查方式:缓冲下载的文件,然后检查恶意软件。该方法的负面影响是不仅显著增加了延迟,而且会造成严重的安全隐患,因为临时存储器会限制文件大小。


定义下一代防火墙


从本质上讲,下一代防火墙通过集成入侵防御系统(IPS)以及应用智能和控制,应用了深度包检测(DPI)防火墙技术,以实现正在访问和处理的数据内容的可视化。


Gartner公司将NGFW 定义为“一种执行深度流量检测以及阻止攻击的线速(wire-speed)综合网络平台。” Gartner认为NGFW 至少应当提供:


· 非破坏性线内嵌入式配置;


· 第一代防火墙的标准功能,例如,网络地址转换(NAT)、状态协议检测(SPI)和虚拟专用网络(VPN);


· 集成式基于特征码的IPS引擎;


· 应用程序识别、全堆栈可见性和精细控制;


· 合并来自防火墙外部信息(例如,基于目录的策略、黑名单、白名单)的能力;


· 升级路径以包括未来信息源和安全威胁;


· SSL解密以启用对不受欢迎的加密应用程序的识别。


下一代防火墙的演变


使用状态检测技术的防火墙仅适用于恶意软件尚未大范围流行且网页只是供阅读文档的时代。当时,端口、IP地址和协议是需要管理的关键因素。但是随着互联网的发展,服务器和客户端浏览器能够提供动态内容,从而引入了大量丰富的应用,我们现在称之为Web 2.0时代。


现在,从Salesforce.com、SharePoint到Farmville的应用都运行在TCP 80端口以及加密SSL(TCP 443端口)上。下一代防火墙检查大量的数据包,并即时匹配恶意活动的特征,例如已知漏洞、漏洞利用攻击、病毒和恶意软件。此外,深度包检测也意味着管理员可以创建非常精细的许可,以及控制特定应用和网站的拒绝规则。由于数据包内容经过检查,因此可以导出所有类型的统计信息,这意味着管理员现在可以轻松地分析数据流,以执行容量规划、进行故障排除或监控每个员工的工作。当前的防火墙在网络应用模型的第2、3、4、5、6和7层运行。


企业的需求


企业面临应用程序混乱的困境。网络通信不再仅仅依靠电子邮件等存储转发应用,现在已扩展至包括实时协作工具、Web 2.0应用、即时通讯(IM)和p2p应用、基于IP的语音传输(VoIP)、流媒体和电话会议,每种应用程序都有被攻击的潜在风险。许多企业无法区分网络上的合法商业应用程序以及非业务关键性应用程序,而后者消耗企业带宽或对企业造成危险。


现在,企业需要提供关键业务解决方案,同时应对员工使用无用并且(从安全角度看)危险的基于Web的应用。关键应用享有带宽优先权,而社交媒体和游戏应用需要被节流或完全阻止。此外,如果企业不符合安全法律和规定,他们还会面临罚款、处罚以及业务损失。


在当今企业中,防护和性能是相辅相成的。企业无法再忍受过时的状态检测防火墙造成的安全性下降,也不能忍受部分下一代防火墙造成的网络瓶颈。防火墙或网络性能的任何延迟都会降低延迟敏感性协作应用的质量,因此会对服务水平和生产力造成负面影响。更严重的是,某些IT企业甚至禁用网络安全解决方案中的功能以避免网络性能的下降。


公共部门和私营部门中各种规模的企业都面临常见应用中漏洞的新威胁。这是看似美好的社会化网络和互联带来的阴暗秘密:它们正在为恶意软件提供滋生的土壤,互联网罪犯搜索每个角落狩猎毫无戒备心的受害者。同时,员工使用公司和家庭办公电脑发布博客、从事社交、传送消息、观看视频、收听音
 我要评论:
乖宝宝网 - 国内最全面的育儿资讯平台 - 凯娜科技
吉ICP备11002400号-8 服务QQ:790646582 e-mail:zk8312@163.com
本站部分资源来自网友上传,如果无意之中侵犯了您的版权,请联系本站,本站将在3个工作日内删除。
Copyright @ 2012-2015 乖宝宝网 保留所有权利