《電子技術應用》
您所在的位置:首頁 > 通信与网络 > 设计应用 > 下一代防火墙,安全防护三步走
下一代防火墙,安全防护三步走
来源:CCTIME飞象网
摘要: 下一代防火墙区别于传统防火墙的核心特色之一是对应用的识别、控制和安全性保障。这种显著区别源自于Web2.0与Web1.0这两个不同网络时代下的模式变迁。传统的Web1.0网络以服务请求与服务提供为主要特征,服务提供方提供的服务形态、遵循的协议都比较固定和专一,随着社会化网络Web2.0时代的到来,各种服务协议、形态已不再一尘不变,代之以复用、变种、行为差异为主要特征的各种应用的使用和共享。 本文即针对下一代防火墙的这一主要特征,从基于应用的识别、控制、扫描的三步走中,阐述新时代网络环境下的防护重点和安全变迁,旨在帮助读者对下一代防火墙新的核心防护理念做一个较为全面的梳理和归纳。
關鍵詞: 下一代防火墙 网络
Abstract:
Key words :

     下一代防火墻區(qū)別于傳統(tǒng)防火墻的核心特色之一是對應用的識別、控制和安全性保障。這種顯著區(qū)別源自于Web2.0與Web1.0這兩個不同網(wǎng)絡時代下的模式變遷。傳統(tǒng)的Web1.0網(wǎng)絡以服務請求與服務提供為主要特征,服務提供方提供的服務形態(tài)、遵循的協(xié)議都比較固定和專一,隨著社會化網(wǎng)絡Web2.0時代的到來,各種服務協(xié)議、形態(tài)已不再一塵不變,代之以復用、變種、行為差異為主要特征的各種應用的使用和共享。

 
    本文即針對下一代防火墻的這一主要特征,從基于應用的識別、控制、掃描的三步走中,闡述新時代網(wǎng)絡環(huán)境下的防護重點和安全變遷,旨在幫助讀者對下一代防火墻新的核心防護理念做一個較為全面的梳理和歸納。
 
    面對應用層威脅,傳統(tǒng)防火墻遭遇“阿喀琉斯之踵”
 
    1.新的應用帶來全新的應用層威脅
 
    Web2.0應用雖然可以顯著增強協(xié)作能力,提高生產(chǎn)效率,但同時也不可避免地帶來了新的安全威脅。
 
    1)惡意軟件入侵
 
    WEB應用中社交網(wǎng)絡的普及給惡意軟件的入侵帶來了巨大的便利,例如灰色軟件或鏈接到惡意站點的鏈接。用戶的一條評價、一篇帖子、或者一次照片上傳都可能包含殃及用戶或甚至整個網(wǎng)絡的惡意代碼。例如,如果用戶在下載驅(qū)動程序的過程中點擊了含有惡意站點的鏈接,就很有可能在不知情的情況下下載了惡意軟件。
 
    2)網(wǎng)絡帶寬消耗
 
    對于部分應用來說,廣泛的使用會導致網(wǎng)絡帶寬的過渡消耗。例如優(yōu)酷視頻可以導致網(wǎng)絡擁塞并阻礙關鍵業(yè)務使用和交付。還有對于文件共享類應用,由于存在大量的文件之間的頻繁交換,也可能會最終導致網(wǎng)絡陷入癱瘓。
 
    3)機密資料外泄
 
    某些應用(如即時通信,P2P下載等)可提供向外傳輸文件附件的功能,如果對外傳輸?shù)倪@些文件存在敏感、機密的信息,那么將給企業(yè)帶來無形和有形資產(chǎn)的損失,并且也會帶來潛在的民事和刑事責任。
 
    2.傳統(tǒng)防火墻的“阿喀琉斯之踵”
 
    由于傳統(tǒng)的防火墻的基本原理是根據(jù)IP地址/端口號或協(xié)議標識符識別和分類網(wǎng)絡流量,并執(zhí)行相關的策略。對于WEB2.0應用來說,傳統(tǒng)防火墻看到的所有基于瀏覽器的應用程序的流量是完全一樣的,因而無法區(qū)分各種應用程序,更無法實施策略來區(qū)分哪些是不當?shù)?、不需要的或不適當?shù)某绦颍蛘咴试S這些應用程序。如果通過這些端口屏蔽相關的流量或者協(xié)議,會導致阻止所有基于web的流量,其中包括合法商業(yè)用途的內(nèi)容和服務。另外傳統(tǒng)防火墻也檢測不到基于隧道的應用,以及加密后的數(shù)據(jù)包,甚至不能屏蔽使用非標準端口號的非法應用。
 
    下一代防火墻之“三步走”
 
    下一代防火墻的核心理念其實是在企業(yè)網(wǎng)絡邊界建立以應用為核心的網(wǎng)絡安全策略,通過智能化識別、精細化控制、一體化掃描等逐層遞進方式實現(xiàn)用戶/應用行為的可視,可控、合規(guī)和安全,從而保障網(wǎng)絡應用被安全高效的使用。
 
    第一步:智能化識別
 
    通過智能化應用、用戶識別技術可將網(wǎng)絡中簡單的IP地址/端口號信息轉(zhuǎn)換為更容易識別且更加智能化的用戶身份信息和應用程序信息,為下一代防火墻后續(xù)的基于應用的策略控制和安全掃描提供的識別基礎。例如:對于同樣一條數(shù)據(jù)信息,傳統(tǒng)防火墻看到的是:某源IP通過某端口訪問了某目的IP;下一代防火墻看到:某單位張三通過QQ給遠在美國的李四傳輸了一個PDF文件。
 
    第二步:精細化控制
 
    下一代防火墻可以根據(jù)風險級別、應用類型是否消耗帶寬等多種方式對應用進行分類,并且通過應用訪問控制,應用帶寬管理或者應用安全掃描等不同的策略對應用分別進行細粒度的控制。相對于傳統(tǒng)防火墻,下一代防火墻可以區(qū)分同一個應用的合法行為和非法行為,并且對非法行為進行阻斷。如:下一代防火墻可以允許使用QQ的前提下,禁止QQ的文件傳輸動作,從而一定程度上避免單位員工由于傳輸QQ文件造成的內(nèi)部信息泄漏。
 
    第三步:一體化掃描
 
    在完成智能化識別和精細化控制以后,對允許使用且存在高安全風險的網(wǎng)絡應用,下一代防火墻可以進行漏洞、病毒、URL和內(nèi)容等不同層次深度掃描,如果發(fā)現(xiàn)該應用中存在安全風險或攻擊行為可以做進一步的阻斷等動作。下一代防火墻在引擎設計上采用了單次解析架構,這種引擎架構可以保證引擎系統(tǒng)在數(shù)據(jù)流流入時,一次性地完成策略查找,應用程序識別/協(xié)議解碼以及內(nèi)容掃描(病毒,間諜程序,入侵防御)等工作,從而在保證掃描效果前提下大大提升了掃描效率。
 
    從目前來看,對于下一代防火墻這一新的安全防護核心理念的出現(xiàn),無論是廠商、用戶還是媒體,無疑都持歡迎,肯定與支持的態(tài)度。成立13年來一直專注于安全攻防領域研究的綠盟科技,在2013年4月底推出的下一代防火墻產(chǎn)品和解決方案http://www.nsfocus.com/event/nf/index.html,順應了這一發(fā)展的必然趨勢,成為此項新理念的堅定倡導和執(zhí)行者。下一代防火墻及其安全防護新理念最終必將成為未來防火墻及網(wǎng)關市場的主流并被用戶完全接受,讓我們拭目以待。
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉(zhuǎn)載。