近年来,一些业界人士断言绝大部分的互联网架构将完全迁移到云端。当企业迁移到公有云时,他们只需要云安全防护即可;那么一旦如此,诸如防火墙之类的传统网络安全手段就会逐渐消亡。
不过,那一天似乎还远远没有到来。那么原因是什么呢?那又代表了如今的企业网络管理该如何做得更安全有效呢?
对消亡的不准确预期
我们可以先回想一下,之前为什么会认为以防火墙为代表的传统安全解决方案会逐渐在企业的安全架构中消失——答案是远程访问与移动设备的使用。
随着对数据和信息的远程接入逐渐落地,一些安全厂商开始推动一种新的理念——提前部署的防火墙将变得多余。在实现层面,防火墙在发生改进,逐渐契合等远程接入技术。然而,几年过去了,如今防火墙依然是企业的标配,但却没有——他们反而成为了防火墙的能力之一。
同样的事情也发生在IPS市场上。由于对流量进行进一步安全过滤的需求逐渐增多,南宁防火墙报价,IPS一度被认为将威胁到防火墙的地位——直到防火墙厂商开始将IPS功能内置在了防火墙中;类似的情况还有安全沙箱检测、恶意软件识别与防御等。这些功能终都成为了防火墙的一部分,或者成为防火墙厂商提供的服务之一。
Gartner在题为《Defining the Next-Generation Firewall》的报告中指出:“不断变化的业务流程、IT技术和网络威胁,正推动网络安全的新需求。协议的使用方式和数据的传输方式已发生变化,网络攻击的目标由单纯的***演变为恶意软件植入。在这种环境中,试图要求在标准端口上使用合适协议的控制方法已不再具备足够的有效性,传统防火墙必须演进为下一代防火墙。
由此可以总结出下一代防火墙拥有两大核心特性:应用识别与控制以及身份感知。应用识别与控制允许大家对自身网络内的应用进行审查,同时控制相关应用的使用情况。通过识别应用程序并在应用层内强制执行网络安全策略——***于端口与协议之外——大家可以实现应用程序黑名单或者白名单;允许微信但屏蔽《开心消消乐》等其它应用;允许***进行聊天但禁止其执行文件共享等细化控制能力。买家提示:在挑选下一代防火墙时,大家需要考虑其策略设置是否与为重要的业务应用相契合。E安全认为,下一代防火墙应当有能力对数十款价值的应用程序进行细化管理,juniper 防火墙报价,而无需单纯关注支持成百上千大家可能根本用不到的冷门应用。应用控制无疑是一项利器,其能够阻止或者允许特定类型的应用使用方式。而身份感知则将这种控制能力同Active Directory等业务目录加以整合,从而帮助我们更地应用防火墙规则,甚至对部门及个人用户加以管控。举例来说,大家可以创建规则以允许销售及营销人员利用特定社交媒体应用,同时允许外包商或者作人员访问其中一部分内容,而董事会成员则可以不受限制任意接入互联网。
滤防火墙
滤防火墙控制OSI的三、四层,一般是通过***来匹配数据包内容,以决定哪些包被允许和哪些包被拒绝。
优点:
能以很快的速度处理数据包
易于匹配绝大多数的3、4层报头信息
缺点:
***过多导致配置复杂
不能阻止应用层的攻击
不能检测和阻止某些类型的TCP/IP攻击,比如TCP SYN泛洪和IP欺骗
状态检测防火墙
控制OSI的三、四、五层
状态检测防火墙工作在数据链路层和网络层之间,万兆防火墙报价,对于新建的应用连接,它从这里截取数据包提取出的信息,并根据对应的安全策略及过滤规则处理数据包,生成状态表,这样防火墙确保了截取和检查所有通过网络的原始数据包。然后将相关信息组合起来,进行一些逻辑或数算,获得相应的结论,进行相应的操作,如允许数据包通过、拒绝数据包、认证连接,加密数据等。状态检测防火墙虽然工作在协议栈较低层,但它检测所有应用层的数据包,从中提取有用信息,如IP地址、端口号等,这样安全性得到很大提高。另外在这种防火墙中一旦一个连接建立起来,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行效率明显提高。
状态检测防火墙实现了基于UDP应用的安全,通过在UDP通信之上保持一个虚拟连接来实现。防火墙保存通过网关的每一个连接的状态信息,允许穿过防火墙的UDP请求包被记录,当UDP包在相反方向上通过时,依据连接状态表确定该UDP包是否被***的,若已被***,则通过,否则拒绝。如果在的一段时间内响应数据包没有到达,连接超时,深信服防火墙报价,则该连接被阻塞,这样所有的攻击都被阻塞。状态检测防火墙可以控制无效连接的连接时间,避免大量的无效连接占用过多的网络资源,可以很好的降低攻击的风险。
版权所有©2025 产品网
