防火牆發展趨勢及來源介紹
必須具有豐富的防火牆應用識別,才能確保安全策略更精細,更可視。下面由小編給你做出詳細的!希望對你有幫助!
:
動態更新的應用識別技術。隨著網路應用的快速增長,基於各種協議的網路應用日趨增加,新一代防火牆必須能夠依據協議特點識別各種網路應用和網路動作,並且內建到防火牆內部且應用和動作的識別可以動態更新。
使用者識別技術。可以根據使用者型別、使用者部門、使用者許可權、IP組等不同分類對網路使用者進行分類,使每一類使用者有不同的網路許可權。同時應該與AD和RADIUS、單點登入、智慧卡等結合完善接入使用者的認證。
內容級防護
全面的內容防護至少要包括漏洞掃描、WEB防護、內容過濾三個內容。漏洞掃描要能發現對作業系統、應用系統、網路協議、使用者裝置漏洞的防護,對利用漏洞進行的攻擊進行阻斷。WEB防護功能應包括網站攻擊防護、應用隱藏、口令保護和許可權控制。內容過濾功能應該能顯現對關鍵字、URL集、病毒、木馬、惡意控制元件/指令碼的過濾。
應用層處理
如果使用傳統的硬體架構方式對報文進行處理,不僅對硬體要求高,同時應用層報文處理會大量佔用裝置資源,很難突破千兆處理。必須對防火牆進行新架構設計,拋棄了傳統防火牆NP、ASIC等適合執行網路層重複計算工作的硬體設計,採用了更加適合應用層靈活計算能力的多核並行處理技術;在系統架構上也要放棄了UTM多引擎,多次解析的架構,需要採用了更為先進的一體化單次解析引擎,將漏洞、病毒、Web攻擊、惡意程式碼/指令碼、URL庫等眾多應用層威脅統一進行檢測匹配,能夠一次對報文實現從網路層到應用層的解析,達到萬兆處理能力。
安全方案
通過本章的分析,設計網路安全、視覺化應用管控、全面應用安全三個大項部署未來防火牆框架。
防火牆在網路中經常是以兩種圖標出現的。一種圖示非常形象,真正像一堵牆一樣。而另一種圖示則是從防火牆的過濾機制來形象化的,在圖示中有一個二極體圖示。而二極體我們知道,它具有單向導電性,這樣也就形象地說明了防火牆具有單向導通性。這看起來與防火牆過濾機制有些矛盾,不過它卻完全體現了防火牆初期的設計思想,同時也在相當大程度上體現了當前防火牆的過濾機制。
因為防火最初的設計思想是對內部網路總是信任的,而對外部網路卻總是不信任的,所以最初的防火牆是隻對外部進來的通訊進行過濾,而對內部網路使用者發出的通訊不作限制。當然防火牆在過濾機制上有所改變,不僅對外部網路發出的通訊連線要進行過濾,對內部網路使用者發出的部分連線請求和資料包同樣需要過濾,但防火牆仍只對符合安全策略的通訊通過,也可以說具有“單向導通”性。
防火牆的本義是指古代構築和使用木製結構房屋的時候,為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門,各房間的人如何溝通呢,這些房間的人又如何進去呢?當火災發生時,這些人又如何逃離現場呢?這個門就相當於我們這裡所講的防火牆的“安全策略”,所以在此我們所說的防火牆實際並不是一堵實心牆,而是帶有一些小孔的牆。
這些小孔就是用來留給那些允許進行的通訊,在這些小孔中安裝了過濾機制,也就是上面所介紹的“單向導通性”。
我們通常所說的網路防火牆是借鑑了古代真正用於防火的防火牆的喻義,它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網***LAN***網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。