、传统防火墙能解决和不能解决的问题。防火墙以城堡的吊桥做比喻非常好;传统防火墙一般是基于端口和基于状态检测的;传统防火墙一般只能拆包到数据链路层,其他层的协议它看不了;基于状态检测通俗的例子就是TCP的三次握手和SYN Flood攻击。
第二、现在的应用更多的不遵守规范,因此不利于传统防火墙的防护。传统的应用基本上都是采用的“端口 协议”的方式,例如邮件使用的就是25端口,因此封堵了该端口就相对于封堵了该应用;现在的应用基本上都不是上述方式了,会有诸如端口跳变、使用非标准端口、在常用服务内部建立通道,这些方式的存在传统防火墙无法防护。
第三、现在的应用变的越来越灰,业务应用中开始融入个人及消费类元素,例如现在很多企业内部开始实施的诸如钉钉、钉盘等。在面对这些业务时,会出现如下情况:属于实现合法业务用途的应用;属于可实现合法业务用途的应用,但在特定情况下也会被用应予封堵,因为它包含恶意软件或其他类型的威胁,即便其属于合法的业务行为于未经批准的行为
第四、现在业内有几种产品形态(深度包检测、UTM、防火墙“助手”)都形似下一代防火墙,但他们存在着如下问题深度包检测是传统架构上加载软的功能模块,基本上是一个厂家的产品,所以在功能上有前后的逻辑包解包关系,但毕竟只是在老的架构上的修补UTM主要是一个硬件盒子,在其板块上松散的集成多个厂家的产品,性能不足
第五、下一代防火墙的优势应用识别、身份识别、内容识别;架构优势(数据平面、控制平面分离;一次解包多个引擎同时分析,传统安全设备需要将包拆解后,合法的包传递到下一环节,锐捷 下一代防火墙,下一环节的设备还要进行再次拆包)
第六、下一代防火墙,核心的理念识别应用,而不是端口;识别用户,而不是IP地址;识别内容,而不是数据包
防火墙的核心技术
1、 滤:的技术。工作在网络层,根据数据包头中的IP、端口、协议等确定是否数据包通过
2、 应用代理:另一种主要技术,工作在第7层应用层,通过编写应用代理程序,实现对应用层数据的检测和分析
3、 状态检测:工作在2-4层,控制方式与1同,处理的对象不是单个数据包,而是整个连接,通过规则表(管理人员和网络使用人员事先设定好的)和连接状态表,综合判断是否允许数据包通过。
4、 完全内容检测:需要很强的性能支撑,深信服下一代防火墙,既有滤功能、也有应用代理的功能。工作在2-7层,不仅分析数据包头信息、状态信息,而且对应用层协议进行还原和内容分析,有效防范混合型安全威胁。
滤防火墙技术原理
1、 简单滤防火墙不检查数据区
2、 简单滤防火墙不建立连接状态表
3、 前后报文无关
4、 应用层控制很弱
防火墙的核心目标
满足人类的安全需求,如同/警卫一样,站在***园林的门口,阻挡着哪些不坏好意的闯入者。对于受邀的客人,自然可以通过警卫的检查,可以自由出入。
有了防火墙的帮助,人类的安全需求得到了满足。防火墙实现的这个功能,称之为“安全”功能。
路由器衍生安全功能
路由器厂商比一般的用户更能嗅到用户的安全需求,所以很早就在路由器产品里开发出了“安全过滤”***功能、安全加密功能、甚至检测/防止系统IDS/IPS。
随着越来越多的功能模块的引入,路由器内部的流水线处理的任务越来越繁杂,这样势必会影响路由器的路由转发性能。
这些安全功能有“License”控制,用户要想使用必须购买License。
用户的购买习惯是,面对一个体积庞大的、看得见摸得着的黑箱子,很愿意掏钱包。而购买看不见摸不着的软件、License,用户往往很抠门。
针对这个消费习惯,厂商很快调整了开发产品的思路,佛山下一代防火墙,将路由器里嵌入的安全功能,搬运到一个大黑箱子,并起一个很牛叉的名字“防火墙”。
防火墙
这个名字确实很强大,下一代防火墙价格,不仅可以镇得住IT甲方的采购,还可以唬得住粗懂IT技术的老板。
防火墙提供***的安全服务,设计之初硬件做了优化。安全加密、安全过滤、深度报文检测提供了专门的加速芯片,而传统的路由器更多依赖于CPU的软件处理,所以报文的安全处理效率更高。
版权所有©2025 产品网
