网络安全呼唤下一代防火墙技术

2011-02-21 10:52:52来源: TechTarget中国

  目前,防火墙仍是很多单位最重要的安全设备之一。但随着新型威胁造成的危害日益严重,有些类型的防火墙,特别是全状态数据包检测(SPI)已经开始过时,虽然有人认为这种说法有点儿夸张。

  状态检测的问题在于它仅重视端口和IP地址。端口就像电路断路器一样:在重要的流量流过时,用它作为过滤标准显得过于笨拙。而且,IP地址没有与用户绑定,使得用户可以用一种完全不同的设备来逃避策略。

  解决这个问题的关键在于:要重视用户,要重视用户所使用的应用程序以及用户用每一个应用程序正在做什么,尤其是那些容易被人利用其漏洞的应用程序。当前,80号端口的“阻止/准许”已经不够精细。甚至像“阻止/准许”社交软件(如Facebook)这样的操作也已经远远不够了。相反,防火墙必须支持准许用户从事与业务相关活动的策略,而不管他使用什么样的计算机。

  当然,新技术绝不应当仅关注社交软件,公司使用的任何其它的web2.0软件,都应当包括其中。

  下一代防火墙技术

  下一代防火墙应当专注于应用程序、用户和活动,而不是端口和IP。它可以控制用户的操作,从而保障Web和电子邮件等的安全,并将其应用于所有应用程序。其次,下一代防火墙还应拥有反恶意软件技术,并在底层完全集成到防火墙中,从而避免单独的组件在扫描同样的内容时所造成的延迟。集成的必要性还由于当今威胁的复杂性。

  避免延迟至关重要,因为防火墙必须足够快,其目的是在不损失性能的情况下准许所有的网络通信通过防火墙。理想情况下,这种集中化的控制还包括云和移动通信。相比之下,典型的UTM(统一威胁管理)解决方案太慢,因为它并没有完全地集成,只够中小型企业勉强使用。

  每一个安全组件都应当是最优的。或者说,一群“平庸之辈”难成大事。下一代防火墙必须能够检测运行在SSL加密通信中的内容,或使用模糊技术,它必须建立在专用的特定硬件基础上。

  下一代防火墙必须提供出色的透明性。在管理员设置策略之前,必须知道网络上正在发生什么,这对于当今的多数防火墙来说是很难实现的。它还必须提供杰出的精细度,同时还要提供诸如“不允许在网络上进行基于浏览器的即时通信”之类的高级策略。下一代防火墙还必须拥有极低的总拥有成本,要富有成效。

  最后,下一代防火墙还必须能够随着当今网络所面临的威胁的变化不断演化,即公司需要投资于能够解决网络黑手正在和将要触及的诸多方面。

  如何识别下一代防火墙

  那么,怎样区分一种防火墙是否是下一代防火墙呢?

  首先,它应当拥有独立的基于应用程序的策略,而不是拥有“双重”策略(基于应用程序和基于端口/IP)。下一步,你不妨访问一个Web2.0应用程序,如SharePoint,检查这个防火墙是否能够识别它的名字,而不是仅将其识别为Web通信。要在应用程序水平上测试防火墙,而不是在传统的“位”的基础上测试。

  其次,如果厂商向你列示了每个安全组件的不同吞吐量或速率,如IPS、DLP、反病毒、防火墙等,而且每个组件的速度是在关闭其它组件的情况下测试的,就可断定,它集成得不太好。真正的下一代防火墙应当拥有一个统一的吞吐量数字。

  当然,上述标准也许过于苛求,选用与否主要取决于防火墙所适用的信息安全需要和网络环境。

关键字:网络安全  防火墙

编辑:什么鱼 引用地址:http://www.eeworld.com.cn/wltx/2011/0221/article_4127.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。
论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
网络安全
防火墙

小广播

独家专题更多

富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
带你走进LED王国——Microchip LED应用专题
带你走进LED王国——Microchip LED应用专题
 
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved