网络安全
    作者:陈赫

    网络安全回顾与展望之盘点下一代防火墙

         [ 中关村在线 原创 ] 暂无评论

        2014年已经在不经意之间悄悄来临,回望2013,防火墙的市场又经过了竞争激烈的一年。各大厂商在Gartner定义的“下一代防火墙”基础上,追加厂商自身对这一概念的理解,推出了各有特点的“下一代防火墙”产品。在2013年,有哪些精品防火墙值得我们去关注呢?下面,就让我们对2013年各大厂商的下一代防火墙进行一个小盘点。

    网络安全回顾与展望之盘点下一代防火墙

        Gartner定义下一代防火墙 

        在2009年,Gartner定义了下一代防火墙,此后在世界的网络安全市场上掀起了一股巨浪,各大网络安全厂商纷纷加紧推出了自己品牌的下一代防火墙产品。那么何为下一代防火墙?根据Gartner公司的定义,下一代防火墙英文为“NextGenerationFirewall”,简称“NGFW”。

        下一代防火墙应该有以下特点:

      1.支持联机“bump-in-the-wire”配置,不中断网络运行。

      2.发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:

      (1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。

      (2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分 效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。 

    网络安全回顾与展望之盘点下一代防火墙
    防护黑客袭击(图片来源于互联网)

      (3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止GoToMyPC。 

      (4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。

    网络安全回顾与展望之盘点下一代防火墙
    网络安全(图片来源于互联网)

      3.支持新信息馈送和新技术集成的升级路径来应对未来的威胁。举个例子,NGFW可以阻止细粒度的网络安全政策违规或发出报警。如使用Web邮件、匿名服务器、对等网络技术或PC远程控制,只简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信,而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现,这意味着有许多NGFW可以识别和阻止不受欢迎的应用,即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制。因为,消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。

        由上述介绍我们可以看到,下一代防火墙对网络安全的保护至关重要。但是经过了四年的发展,这套定义或多或少存在一些跟不上时代的地方。这就给了各厂商进行创新提供了丰富的空间,接下来我们就来看看各大厂商在2013年又推出了哪些加入了自己创新的下一代防火墙精品。

    标签:防火墙
    提示:支持键盘“← →”键翻页
    本文导航

    关注排行榜

    防火墙UTM上网行为防毒墙

    文章推荐

    互动沙龙

    相关内容 网友评论 返回首页
    专家咨询