九十年代,攻击随着互联网的蓬勃发展从实验室走向了Internet。全球的攻击爱好者由于共同的信仰“Open Free Share(开源、免费、共享)”建立了同盟,很多年以后这帮人被叫做“黑hei客”。开始的黑hei客一般都是一些厉害的技术人员,他们热衷于挑战、崇尚自由并主张信息的共享。随着Internet在全球的迅猛发展,***、经济、军事、科技、教育、文化、生活等各个方面都逐渐网络化,信息已经成为物质和能量以外维持人类社会的第三资源,黑hei客也逐渐变成了一种有特殊目的的产业。
什么是DoS攻击?
DoS是Denial of Service的简称,下一代防火墙设备,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。
最常见的DoS攻击就是我们常常提到的单包攻击。这类攻击一般都是以个人为单位的黑hei客发动的,攻击报文也比较单一,虽然破坏力强大,但是只要掌握了攻击的特征,防御起来还是比较容易的。
防火墙支持的单包攻击包括以下三大类:
1、畸形报文攻击:通常指攻击者发送大量有缺陷的报文,从而造成主机或服务器在处理这类报文时系统崩溃。
2、扫描类攻击:是一种潜在的攻击行为,并不具备直接的破坏行为,下一代防火墙 报价,通常是攻击者发动真正攻击前的网络探测行为。
3、特殊控制报文攻击:也是一种潜在的攻击行为,不具备直接的破坏行为,攻击者通过发送特殊控制报文探测网络结构,为后续发动真正的攻击做准备。
单包攻击防御是防火墙具备的最基本的防范功能,华为全系列防火墙都支持对单包攻击的防御。
、传统防火墙能解决和不能解决的问题。防火墙以城堡的吊桥做比喻非常好;传统防火墙一般是基于端口和基于状态检测的;传统防火墙一般只能拆包到数据链路层,其他层的协议它看不了;基于状态检测通俗的例子就是TCP的三次握手和SYN Flood攻击。
第二、现在的应用更多的不遵守规范,因此不利于传统防火墙的防护。传统的应用基本上都是采用的“端口 协议”的方式,例如邮件使用的就是25端口,因此封堵了该端口就相对于封堵了该应用;现在的应用基本上都不是上述方式了,会有诸如端口跳变、使用非标准端口、在常用服务内部建立通道,这些方式的存在传统防火墙无法防护。
第三、现在的应用变的越来越灰,业务应用中开始融入个人及消费类元素,例如现在很多企业内部开始实施的诸如钉钉、钉盘等。在面对这些业务时,会出现如下情况:属于实现合法业务用途的应用;属于可实现合法业务用途的应用,但在特定情况下也会被用应予封堵,因为它包含恶意软件或其他类型的威胁,即便其属于合法的业务行为于未经批准的行为
第四、现在业内有几种产品形态(深度包检测、UTM、防火墙“助手”)都形似下一代防火墙,但他们存在着如下问题深度包检测是传统架构上加载软的功能模块,韶关下一代防火墙,基本上是一个厂家的产品,所以在功能上有前后的逻辑包解包关系,但毕竟只是在老的架构上的修补UTM主要是一个硬件盒子,在其板块上松散的集成多个厂家的产品,性能不足
第五、下一代防火墙的优势应用识别、身份识别、内容识别;架构优势(数据平面、控制平面分离;一次解包多个引擎同时分析,传统安全设备需要将包拆解后,合法的包传递到下一环节,下一环节的设备还要进行再次拆包)
第六、下一代防火墙,核心的理念识别应用,而不是端口;识别用户,而不是IP地址;识别内容,而不是数据包
防御系统(简称IPS)
下一代防火墙供应商正将越来越多IPS功能添加至产品当中。不过需要强调的是,初期的IPS能力往往并不成熟,但如今其不仅更加强大、还与下一代防火墙的其它能力紧密对接。在不少下一代防火墙中,内置IPS甚至足以挑战独立的IPS方案。
买家提示:防御系统属于企业防御体系中的重要组成部分,因此我们必须考虑自己选定的下一代防火墙是否具备IPS功能,华为下一代防火墙,或者有必要选择独立的IPS产品。如果大家需要将IPS与下一代防火墙相结合,Gartner建议我们通过现实威胁与网络负载环境利用第三方测试评估IPS方案的有效性。
网络沙箱
网络沙箱能够提供保护以抵御恶意软件,具体方式包括将文件发送到云环境中的受隔离沙箱当中。在这里,各文件能够加以运行,且执行结果将经过检测以判断其是否属于恶意性质。
网络沙箱往往被下一代防火墙供应商或者合作伙伴以订阅服务的形式推出。2014年全球网络沙箱市场总价值超过5亿美元,而这一数字预计将在2019年增长至35亿美元。
买家提示:网络沙箱正迅速成为一项主流功能,所以我们在考量供应商时必须要求其当前或者有计划在不久的未来提供相关解决方案。
威胁情报供给
威胁情报供给旨在交付一套包含恶意IP地址、恶意签名以及其它恶意指标的清单,帮助防火墙与IPS方案检测威胁并预防攻击。
买家提示:检查下一代防火墙方案是否只能接收自家威胁情报供给,或者可以对接多种数据源。
版权所有©2025 产品网
