如何全面评估下一代防火墙
下面详细地看看下一代防火墙的这些特性:
1.应用程序感知
传统防火墙与下一代防火墙的最大不同是:下一代防火墙可以感知应用程序。传统的防火墙依赖常见的应用程序端口来决定正在运行的应用程序以及攻击类型。而下一代防火墙设备并不是认为特定的应用程序运行在特定的端口上。防火墙必须能够在第二层到第七层上监视通信,并且决定发送和接收哪类通信。
最常见的例子是当前对HTTP和80号端口的使用。传统上,这个端口仅用于HTTP的通信,但如今的情况不同了,而且有大量的不同应用程序都使用这个端口在终端设备和中央服务器之间传送通信。常见端口用于不同类型通信的方法有很多种,其中最常见的方法之一就是隧道技术。借助于隧道技术,通信在传统的 HTTP数据字段内部建立隧道,并在目的结点解开封装。从传统的防火墙的观点看,这看起来就是简单的HTTP Web通信,但对于下一代防火墙来说,它真正的目的在其能够到达目的结点之前就在防火墙上被发现了。如果这种通信是由下一代防火墙的策略所允许的,就放行;否则,防火墙将阻止通信。
2.身份感知
传统防火墙和下一代防火墙之间的另一个很大的不同点是,后者能够跟踪本地通信设备和用户的身份,它一般使用的是现有的企业认证系统(即活动目录、轻量目录访问协议,等)。信息安全人员通过这种方法就不仅能够控制允许进出网络的通信类型,还可以控制哪个特定用户可以发送和接收数据。
3.状态检测
虽然从状态检测的一般定义上来看,下一代防火墙并无不同,但它不是仅跟踪第二层到第四层的通信状态,而是要能够跟踪第二层到第七层的通信状态。这种不同可以使安全人员实施更多控制,而且可以使管理员能够制定更精细的策略。
4.集成IPS
入侵防御系统(IPS)能够根据几种不同的技术来检测攻击,其中包括使用威胁特征、已知的漏洞利用攻击、异常活动和通信行为的分析等。
在部署了传统防火墙的环境中,入侵检测系统或入侵防御系统是经常部署的设备。通常,这种设备的部署是通过独立的设备部署的,或是通过一个设备内部在逻辑上独立的设备来部署的。而在下一代防火墙中,入侵防御或入侵检测设备应当完全地集成。入侵防御系统本身的功能与其在独立部署时并无不同,下一代防火墙中此功能的主要不同在于性能,以及通信的所有层如何实现对信息的访问。
5.桥接和路由模式
桥接或路由模式虽不是全新的特征,但下一代防火墙的这种功能仍很重要。在当今的网络中部署了许多传统的防火墙,但其中的多数并非下一代防火墙。为更容易地过渡下一代防火墙,下一代防火墙必须能够以桥接模式(也称为透明模式)连接,设备本身并不显示为路由路径的一部分。对任何一家特定的企业来说,在合适的时间,下一代防火墙应逐渐地替换传统防火墙,从而使用路由模式。
比较下一代防火墙
如今的市场上有不少信息安全方案都宣称自己是下一代防火墙。如何发现其差异并?下面谈几个审查和比较下一代防火墙的标准:
1.下一代防火墙是否可以防御针对服务器应用和客户端应用的攻击?其防御程度如何?
2.是否能被规避或逃脱?
3.它是否稳定和可靠?
4.该方案是否能够强化入站和出站的应用策略?
5.该方案是否能够强化入站和出站的身份策略?
6.其性能如何?
进一步讲,企业选择部署哪种防火墙设备取决于几个有限的因素。这是因为多数设备都满足下一代防火墙的范畴,并能执行同样的任务。所以,为什么要选择这个而不选那个?安全管理者最初可能是凭个人的喜爱和直觉来选择,有时是根据一些事实或道听途说的证据,但这些毕竟已经成为选择标准的一部分。
在选择具体的方案时,我们应考虑设备的功效问题。其中一个主要方面在发生了针对服务器和客户端应用的攻击时,具体的方案可以阻止攻击的比例有多大。虽然不同的方案之间的差异可能很小,但正是这小小的不同就可能成为发生严重安全事件和挫败攻击的分水岭。
另一个需要考虑的因素是可通过设备的总吞吐量。由于这些设备在总吞吐量方面并不能直接比较,那如何更好地使用此标准呢?方法之一就是衡量每个受保护的比特所花费的成本。如果企业没有经过审查而优先选择了一家厂商,那么机会成本是什么呢?那就是还有一个更小巧或更强大的版本满足企业环境的要求。
企业需要考虑的最后一个因素是该方案利用的电能和空间。还是那个问题,不同的设备并不能直接比较,一个简单的比较和决定方法是,将设备的消耗量除以设备的规模(或除以设备的总吞吐量),并比较不同设备的计算结果。
随着互联网的蓬勃发展,企业越来越多地将自己的业务转移到网络平台上,过去可有可无的应用,比如IM(即时通信)、SNS(社交网站)等已经成为企业开展业务不可或缺的网络工具。然而,企业所面临的安全情况也相应的发生了变化。网络攻击正在以网络应用为平台向企业内部渗透。传统的安全设备——防火墙、IPS、UTM等,由于其设计理念上的先天不足,在新的攻击模式下正在逐渐失去作用。因此,Forrester在其TechRadar报告中指出,防火墙,独立的IPS,UTM正在走向消亡。正是在这种安全背景下,Gartner于2009年定义了下一代防火墙。
建议参考下这篇文章http://beijing.pconline.com.cn/337/3377485.html
下一代防火墙的概念出现并确立于2009年,但其普及速度却明显缓慢得多。截至2015年底,Gartner公司发现只有不到40%的企业利用下一代防火墙进行互联网连接保护。
Gartner公司预计,未来几年中市场对下一代防火墙的需求将呈现出爆发式增长,这也意味着企业需要积极为其网络需求更理想的保护手段。估计至2018年年底,互联网连接中的85%将由下一代防火墙负责保护,而其中90%属于下一代防火墙的新增客户。
传统防火墙 VS 下一代防火墙
传统防火墙通过对端口及协议执行检查与防护,以实现企业网络安全保障。传统防火墙可以分为四种类型:包过滤、应用级网关、代理服务器和状态检测。但由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方,如:传统防火墙不能防范不经由防火墙的攻击、传统防火墙不能防止感染了病毒的软件或文件的传输等等。
下 一代防火墙则完全不担心这类问题,它可以网络中的数据包执行深度检测,也就是将数据包解封到应用层。通过这种方式,它能确保数据包的各个组成部分被完整的 检测,以识别畸形包、错误、已知攻击和其他异常数据。还能够快速识别并阻止木马、病毒、垃圾邮件、入侵行为,以及其他违反正常通信协议的行为。数据包分析 通过各种方法实施,包括基于数据流的检测,漏洞特征、策略配置、协议识别、数据标准化,以及明文HTTP和加密HTTPS连接。
下一代防火墙的核心特性
Gartner 在题为《Defining the Next-Generation Firewall》的报告中指出:“不断变化的业务流程、IT技术和网络威胁,正推动网络安全的新需求。协议的使用方式和数据的传输方式已发生变化,网络 攻击的目标由单纯的破坏演变为恶意软件植入。在这种环境中,试图要求在标准端口上使用合适协议的控制方法已不再具备足够的有效性,传统防火墙必须演进为下 一代防火墙。
由此可以总结出下一代防火墙拥有两大核心特性:应用识别与控制以及身份感知。
应 用识别与控制允许大家对自身网络内的应用进行审查,同时控制相关应用的使用情况。通过识别应用程序并在应用层内强制执行网络安全策略——独立于端口与协议 之外——大家可以实现应用程序黑名单或者白名单;允许微信但屏蔽《开心消消乐》等其它应用;允许QQ进行聊天但禁止其执行文件共享等细化控制能力。
买家提示:在挑选下一代防火墙时,大家需要考虑其策略设置是否与最为重要的业务应用相契合。E安全认为,下一代防火墙应当有能力对数十款最常用最具价值的应用程序进行细化管理,而无需单纯关注支持成百上千大家可能根本用不到的冷门应用。
应用控制无疑是一项利器,其能够阻止或者允许特定类型的应用使用方式。而身份感知则将这种控制能力同Active Directory等业务目录加以整合,从而帮助我们更精确地应用防火墙规则,甚至对部门及个人用户加以管控。
举例来说,大家可以创建规则以允许销售及营销人员利用特定社交媒体应用,同时允许外包商或者临时工作人员访问其中一部分内容,而董事会成员则可以不受限制任意接入互联网。
买家提示:身份感知功能往往被各类下一代防火墙厂商所反复强调,但在实践过程中,这种控制用户或者立足于群组层级实施保护的能力还没有得到广泛采用。除非大家拥有非常明确的身份感知需求,否则这部分功能在评价相关方案时不必太过强调。
下一代防火墙的其它重要特性
入侵防御系统(简称IPS)
下一代防火墙供应商正将越来越多IPS功能添加至产品当中。不过需要强调的是,初期的IPS能力往往并不成熟,但如今其不仅更加强大、还与下一代防火墙的其它能力紧密对接。在不少下一代防火墙中,内置IPS甚至足以挑战独立的IPS方案。
买家提示:入 侵防御系统属于企业防御体系中的重要组成部分,因此我们必须考虑自己选定的下一代防火墙是否具备IPS功能,或者有必要选择独立的优秀IPS产品。如果大 家需要将IPS与下一代防火墙相结合,Gartner建议我们通过现实威胁与网络负载环境利用第三方测试评估IPS方案的有效性。
网络沙箱
网络沙箱能够提供保护以抵御恶意软件,具体方式包括将可疑文件发送到云环境中的受隔离沙箱当中。在这里,各文件能够加以运行,且执行结果将经过检测以判断其是否属于恶意性质。
网络沙箱往往被下一代防火墙供应商或者合作伙伴以订阅服务的形式推出。2014年全球网络沙箱市场总价值超过5亿美元,而这一数字预计将在2019年增长至35亿美元。
买家提示:网络沙箱正迅速成为一项主流功能,所以我们在考量供应商时必须要求其当前或者有计划在不久的未来提供相关解决方案。
威胁情报供给
威胁情报供给旨在交付一套包含恶意IP地址、恶意签名以及其它恶意指标的清单,帮助防火墙与IPS方案检测威胁并预防攻击。
买家提示:检查下一代防火墙方案是否只能接收自家威胁情报供给,或者可以对接多种数据源。
需要向下一代防火墙安全厂商提出的问题
关于性能:
当全部安全功能都被禁用时,防火墙的峰值流量吞吐能力可达到怎样的水平?
当全部必要安全功能都被启用时,防火墙的峰值流量吞吐能力可达到怎样的水平?
关于成本:
该设备的基础成本是多少?
能够实现我们安全要求的设备成本是多少?
年度维护与更新成本是多少?
年度订阅成本是多少(包括情报供给以及网络沙箱等等)?
容量与安全功能可否根据需求进行调整,此类调整又会给成本带来怎样的影响?
关于配置:
对防火墙及安全容量进行配置需要怎样的专业知识水平?
设备需要怎样配置,其界面是否易于使用?
设备是否能够轻松支持IPv6?
关于安全功能:
该防火墙能够识别哪些应用程序,其能否为定制化应用程序建立识别能力?
其应用程序列表的更新频率如何?
其能够提供哪些类型的报告以帮助我们了解应用程序使用情况以及用户行为?
其身份感知控制的细化程度如何?
其还能提供那些额外安全功能?
其IPS功能的有效性在基于现实威胁与网络负载场景时的第三方测试结果如何?
其支持哪些威胁情报供给来源?
反恶意软件扫描等功能的更新交付方式是怎样的?频率又如何?由谁交付这些更新?是否允许客户进行内部安全研究?
如果不提供网络沙箱功能,其是否已经被纳入了短期发展路线图?
该设备符合哪些安全认证?
E安全/文
遭网红举报「违规补课」,杭州新东方全面停课,家长表示「希望尽快复课...
10日,九派新闻记者以家长身份打电话给杭州新东方总部,工作人员回应说,目前仍在停课状态中,什么时候恢复上课,需要等官方通知。我大概看了一下评论区,并发现大部分家长都支持校外一对一补课,原因就是为了不被卷才报课外补习班。其实,我同事的小孩几乎都是报补习班的,就像很多家长说的那样,天天都...
经销批发和零售是什么意思
2、就忠诚度和商务运作能力各项条件进行细分,以确保对经销商的全面评估,准确厘定现有经销商的商业价值。3、分析经销商公司背景。4、理解经销商的生意发展...有些经销商年龄比较大,准备传给他的下一代;这个你要看看他能否传承下去;有一部分经销商是很难传承下去的,只能做其他的打算;我们选择的经销商应该是如日...
企业外部市场信息有哪些方面
联想和英特尔公司突然签约建立战略合作伙伴,合作生产下一代PC电脑,这种指东打西的策略使各厂家疲与应对...“兵无常式,水无常形”,只有你能够正确的选择对手,评估对手,定位自己,出奇制胜,就会做到“立于不败...为企业提供对竞争对手竞争策略分析的全面数据,实现竞品的对比管理分析,如竞争对手将会有什么动作、企业...
谁知道二手烟的危害?
吸二手烟对人体有哪些危害呢?
2021年度教师考核总结5篇
“以培养学生主动发展”为中心的`教学思想,重视学生的个性发展,培养学生德智体美劳全面发展,积极参加...教育是爱心事业,为培养高素质的下一代。今年本人,承担初高中生物实验教学和七年级生物、劳动技术学科的...督导评估大检查,学校办学水平大检查的各项工作,为我校争了光,20--年11月受到校领导的好评,20--年...
H3C是什么?
H3C是杭州华三通信技术有限公司(简称华三通信), 主要提供IT基础架构产品及方案的研究、开发、生产、销售及服务。华三通信在中国设有38个分支机构,目前公司有员工5000人,其中研发人员占55%。H3C不但拥有全线路由器和以太网交换机产品,还在网络安全、云存储、云桌面、硬件服务器、WLAN、SOHO及软件管理...
2019教师培训心得体会范文
条件下,坚持不懈地研究教学方法,做到有所创新和有所成就,推动教学改革,提高教育质量,促进学生的全面...而教育教学评估工作是一个长效机制,不是一个临时性的、阶段性的工作,必须是一个长期的,制度化的规范...教学是一件枯燥又有趣的事情,既然选择了天底下最阳光的职业,应该狠抓工作作风,思想作风,防微杜渐,同时...
00后能够倒逼职场改变吗?
一年一度的毕业求职季,绕不开的话题就是择业和职场现状。俗话说得妙【每一代人都每一代的择业观,每一代人都有每一代的坚持。】,面对着即将大批涌入职场的00后新新血液,相比于85、90甚至95后更加注重搞钱的职场心理来说,00后明显“不走寻常路”,那我们不妨大胆预测一下,00后能否成为一股崭新...
语文初三上册第一章测试卷
与此一起消失的还有田园牧歌,以及让人无法释怀的古典乡村。 “半亩方塘一鉴开,天光云影共徘徊。问渠那得清如许,为有源头活水来。”下一代再来读这首古诗...此外,该项目还将通过对光生物反应器、培养工艺、采收、油脂加工及藻细胞综合利用的研究,建立一套中试系统,全面评估微藻产油的技术指标、经济指标和环境指标...
你们领证的时候都做婚检了吗?
先天性遗传疾病对身体健康有非常大的影响,甚至会遗传给下一代。因此婚检时检查这类疾病极有必要。此类疾病包括如白化病、原发性癫痫、软骨发育不良、强直性肌营养不良、遗传性视网膜色素变性等。遗传性疾病的排查需要检测染色体。5、血常规及尿常规。此类检查属于常规性质的身体检查,用以对体检者的身体状态...
伯牙吾台待济悦: 下面详细地看看下一代防火墙的这些特性:1.应用程序感知 传统防火墙与下一代防火墙的最大不同是:下一代防火墙可以感知应用程序.传统的防火墙依赖常见的应用程序端口来决定正在运行的应用程序以及攻击类型.而下一代防火墙设备并不...
乌兰察布市15164921564: 如何理解下一代防火墙的概念,怎样对下一代防火墙做个定义? - ?
伯牙吾台待济悦: 随着互联网的蓬勃发展,企业越来越多地将自己的业务转移到网络平台上,过去可有可无的应用,比如IM(即时通信)、SNS(社交网站)等已经成为企业开展业务不可或缺的网络工具.然而,企业所面临的安全情况也相应的发生了变化.网络...
乌兰察布市15164921564: 什么样的防火墙才算是下一代防火墙? - ?
伯牙吾台待济悦: 国内老牌一线安全厂商天融信用六大特质来诠释下一代防火墙:基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合.这六大特质,显然靠噱头、靠加强UTM、靠整合IPS是得不来的.可以说,只有具备这六大特质,才让下一代防火墙产品更加“有血有肉”,真实而生动了起来,才是从底层核心到架构平台再到操作系统全面塑造的全新产品,才可以让用户更加真实的了解下一代防火墙所要解决的是哪些问题.所以,我们说下一代防火墙就好比是武林中身怀绝技的高手,表面看似平常,实则内力浑厚.
乌兰察布市15164921564: 下一代防火墙 如何选择适合你的? - ?
伯牙吾台待济悦: “下一代”安全本质 更简单的安全 下一代安全首先是更简单的安全.下一代安全的一个基本特征就是所谓的“可视化”,意指对网络信息进行分析整理并以图形的方式进行直观展现.这种产品设计给安全管理带来的改变要比人们想象得还要深...
乌兰察布市15164921564: 下一代防火墙的发展趋势是怎样的,麻烦分析的专业一点,谢谢? - ?
伯牙吾台待济悦: 下一代防火墙的执行范例包括阻止与针对细粒度网络安全策略违规情况发出警报,如:使用Web邮件、anonymizer、端到端或计算机远程控制等.仅仅根据目的地IP地址阻止对此类服务的已知源访问再也无法达到安全要求.细粒度策略会要求仅...
乌兰察布市15164921564: 下一代防火墙与普通防火墙的最大区别在哪里 - ?
伯牙吾台待济悦: 下一代防火墙相对比与传统防火墙有了很大的创新,第一就是应用识别与控制能力;第二是可视化的产品设计;第三是多安全引擎,并且能做到智能联动.其中最大区别应该在于应用识别. 可以参考这篇文章《应用识别——下一代防火墙的核心》 http://www.cnw.com.cn/weekly/htm2013/20130108_262504.shtml
乌兰察布市15164921564: 下一代防火墙的特点是什么??
伯牙吾台待济悦: 从技术上看下一代防火墙的特点在于从应用层来做安全,把安全的视角提升了,另外就是通过最大的可视化,令安全变得简单直观可以被IT管理人员轻松掌握, 参考文章:《首倡“人民安全”理念,专家解读下一代防火墙》 http://news.xinhuanet.com/tech/2013-06/27/c_124922682.htm
乌兰察布市15164921564: 请帮忙分析下一代应用防火墙的意思? - ?
伯牙吾台待济悦: 应用防火墙是布置在应用层(OSI七层模型)的防火墙 以下摘自维基 应用层防火墙是在TCP/IP堆栈的“应用层”上运作,使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层.应用层防火墙可以拦截进出某应用程序的所有分组,并且封锁其他的分组(通常是直接将分组丢弃).理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里.防火墙借由监测所有的分组并找出不符规则的属性,可以防范电脑蠕虫或是木马程序的快速蔓延.不过就实现而言,这个方法既烦且杂(因软件种类极其繁多),所以大部分的防火墙都不会考虑以这种方法设计.至于下一代么...就是产品更新换代
