下一代防火墙
下一代防火墙
什么是下一代防火墙,下面由学习啦小编给你做出详细的下一代防火墙介绍!希望对你有帮助!欢迎回访!
下一代防火墙:
Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”(参见“工具包:评估信息安全预算,2007年升级版”)。例,第一代防火墙现已基本无法探测到利用僵尸网络作为传输方法的威胁(参见“案例研究:计算机早期探测功能被僵尸网络客户端所威胁”)。由于当前采用的是基于服务的架构与Web2.0使用的普及,更多的通讯量都只是通过少数几个端口(如:HTTP与HTTPS)及采用有限的几个协议进行,这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏失部署补丁的软件进行检查,但却不能有效的识别与阻止应用程序的滥用,更不用说对于应用程序中的具体特性的保护了。
Gartner将网络防火墙定义为在线安全控制措施,即:可实时在各受信级网络间执行网络安全策略。Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性,以应对目前业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。
下一代防火墙的属性
下一代防火墙需具有下列最低属性:
· 支持在线BITW(线缆中的块)配置,同时不会干扰网络运行。
· 可作为网络流量检测与网络安全策略执行的平台,并具有下列最低特性:
1)标准的第一代防火墙功能:具有数据包过滤、网络地址转换(NAT)、协议状态检查以及功能等。
2)集成式而非托管式网络入侵防御:支持基于漏洞的签名与基于威胁的签名。IPS与防火墙间的协作所获得的性能要远高于部件的叠加,如:提供推荐防火墙规则,以阻止持续某一载入IPS及有害流量的地址。这就证明,在下一代防火墙中,互相关联作用的是防火墙而非由操作人员在控制台制定与执行各种解决方案。高质量的集成式IPS引擎与签名也是下一代防火墙的主要特性。所谓集成可将诸多特性集合在一起,如:根据针对注入恶意软件网站的IPS检测向防火墙提供推荐阻止的地址。
3)业务识别与全栈可视性:采用非端口与协议vs仅端口、协议与服务的方式,识别应用程序并在应用层执行网络安全策略。范例中包括允许使用Skype但禁用Skype内部共享或一直阻止GoToMyPC。
4)超级智能的防火墙: 可收集防火墙外的各类信息,用于改进阻止决策,或作为优化阻止规则的基础。范例中还包括利用目录集成来强化根据用户身份实施的阻止或根据地址编制黑名单与白名单。
· 支持新信息流与新技术的集成路径升级,以应对未来出现的各种威胁。
看过“下一代防火墙 ”人还看了: