日期:2018-07-10 點(diǎn)擊: 關(guān)鍵詞:防火墻,傳統(tǒng)防火墻
第一代防火墻是基于包過(guò)濾的防火墻,時(shí)至今日這類防火墻仍在網(wǎng)絡(luò)交換機(jī)和路由器中以訪問(wèn)控制列表(ACL)的形式發(fā)揮著作用。基于包過(guò)濾的防火墻檢查每個(gè)報(bào)文,并簡(jiǎn)單的根據(jù)Ethernet和IP頭中的字段匹配進(jìn)行過(guò)濾,但不維護(hù)協(xié)議或應(yīng)用的狀態(tài)信息。目前,基于包過(guò)濾的防火墻僅存在于資源有限但要求高吞吐量的網(wǎng)絡(luò)設(shè)備中。
防火墻,傳統(tǒng)防火墻
上世紀(jì)90年代出現(xiàn)了狀態(tài)檢測(cè)防火墻。大多數(shù)狀態(tài)檢測(cè)防火墻運(yùn)行于OSI的三層和四層。這種防火墻引入了被稱為“會(huì)話”的流量狀態(tài)用于追蹤開(kāi)放連接。會(huì)話是基于五元組(源/目的IP和端口,IP協(xié)議號(hào))進(jìn)行識(shí)別的。即使使用的是單向策略,建立起的會(huì)話也允許雙向流量。會(huì)話還可以用于維護(hù)其他三層和四層信息,如TCP狀態(tài)和NAT轉(zhuǎn)換信息。除了維護(hù)會(huì)話外,狀態(tài)檢測(cè)防火墻還需要了解一些應(yīng)用協(xié)議。有些應(yīng)用(如FTP)在動(dòng)態(tài)選擇的TCP/UDP端口上打開(kāi)臨時(shí)會(huì)話,還有些應(yīng)用(如VOIP協(xié)議)可能需要打開(kāi)到第三方的會(huì)話。為了在上述環(huán)境中保持應(yīng)用的可用性,狀態(tài)檢測(cè)防火墻支持應(yīng)用層網(wǎng)關(guān)(ALG)。ALG檢查應(yīng)用協(xié)議的內(nèi)容并動(dòng)態(tài)生成臨時(shí)規(guī)則允許創(chuàng)建這些會(huì)話。
智能時(shí)代的防火墻,又需要哪些技術(shù)來(lái)滿足網(wǎng)絡(luò)安全發(fā)展的需要呢?智能防火墻的特性可以概括為:對(duì)于網(wǎng)絡(luò)狀態(tài),要有學(xué)習(xí)能力;對(duì)于網(wǎng)絡(luò)產(chǎn)生的數(shù)據(jù),要有挖掘能力;對(duì)于網(wǎng)絡(luò)的安全威脅,要能做到預(yù)警;對(duì)于安全事件,要能做到可視化管理。
下一代智能防火墻(iNGFW)以全網(wǎng)健康指數(shù)(NHI)對(duì)網(wǎng)絡(luò)健康狀態(tài)打分,以行為信譽(yù)指數(shù)(BRI)對(duì)用戶及服務(wù)器狀態(tài)打分,然后對(duì)“高危”人員或者“高危”服務(wù)器實(shí)行相應(yīng)的預(yù)警或有效的控制。有了這樣的信譽(yù)評(píng)分制,管理員就可以根據(jù)用戶的信譽(yù)分?jǐn)?shù)來(lái)動(dòng)態(tài)調(diào)整策略,決定是否讓其進(jìn)入網(wǎng)絡(luò)。這個(gè)思路的重要意義在于:將“信譽(yù)”作為第八元組引入防火墻的控制,使防火墻在原有的防護(hù)基礎(chǔ)上增加了對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)的控制。將大數(shù)據(jù)關(guān)聯(lián)分析的手段用在防火墻平臺(tái)上,可以充分發(fā)揮防火墻兼具檢測(cè)、監(jiān)控和控制能力于一體的優(yōu)勢(shì),更好地實(shí)現(xiàn)聯(lián)動(dòng)并實(shí)時(shí)控制風(fēng)險(xiǎn),在一臺(tái)設(shè)備上就可實(shí)現(xiàn)有效的控制閉環(huán),管理員可以基于感知到的風(fēng)險(xiǎn)進(jìn)行安全管控,在事發(fā)之前防范安全問(wèn)題或系統(tǒng)網(wǎng)絡(luò)中斷,節(jié)省客戶投資。
企業(yè)通訊