• 快捷搜索
  • 全站搜索

解读“下一代防火墙”威胁防御技术

2013-10-09 13:50:22作者:编辑:金融咨询网
下一代防火墙正逐步从基于威胁的被动检测向基于风险的主动防御过度,能够智能分析、及时发现网络中的异常行为,这就要求设备具有极强的全网可视化能力,能够洞悉网络中的大事小情。

近一时期来,与信息安全有关的新闻充斥在人们的生活中,“棱镜”引发的波澜尚未平息,心脏起搏器的城池又告失守,最近几天,全球7000多名顶级黑客云集拉斯维加斯“黑帽”大会,两名美国黑客宣布已成功入侵汽车的电脑系统,也许在不久的将来,汽车在行驶中突然加速、方向盘失控、刹车失灵等一幕幕惊险画面,将不再仅仅出现于电影银幕上……

         著名社会心理学家马斯洛将人的需求分为五个层次,分别是的生理需求、安全需求、社交需求、尊重需求以及自我实现需求。在当今,社交网络、电子商务、BYOD等新技术已由虚拟世界走入了千家万户的百姓生活,满足着人们工作、生活中各个层次的需要,然而随着一个个信息系统被黑客攻陷,人类的需求也许正回归于对安全感的极度渴望。

解读“下一代防火墙”威胁防御技术图1.jpg
人们的需求正回归于对安全感的极度渴望

         信息时代,网络作为海量数据的载体,其边界安全问题正受到IT管理者前所未有的关注,安全业界不断推出新技术、定义新概念,当下最具热度的“下一代防火墙(NGFW)”,无疑让所有管理者寄予厚望,而所谓的“下一代”,到底是通过什么样的技术来构建更加安全的网络边界呢?让我们通过这篇文章来共同梳理一下。

安全更上一“层”

         防火墙设备由网络层、传输层向应用层演进的理念,已被业界提出多年。由基于IP地址、协议、端口的检测升级至基于用户、应用的检测,犹如警察在追查罪犯时,从体貌特征、衣着打扮到个体DNA鉴别的进化。因此,基于应用层的安全设备可以对流经的数据进行更深入的检查和过滤,也正是由于这样的技术变革,才使得基于用户的应用使能、针对应用的资源分配以及应用内容的过滤成为现实。

         下一代防火墙则是一款完全在应用层上构建安全的设备,是一款能够真正能够抵御应用层威胁的安全产品,这是“下一代”与“上一代”之间最显著的差别。也许这样的描述会遭到无数的挑战,有人也许会质疑,难道业界早先定义的UTM、IPS等产品,就完全不能抵御应用层威胁吗?

         事实看似并非如此,让我们从技术原理上来分析一下。事实上,无论 “上一代”还是“下一代”,一个完整的应用层威胁防御过程,首先是对流量的识别,然后才是基于流量所属的应用类型进行有针对性的威胁检测,最后再按照策略配置将检测到的威胁进行告警或阻断的处理。

解读“下一代防火墙”威胁防御技术图2.jpg
流量识别是应用层威胁防御的第一步

         为什么首先要对流量进行识别呢?应用层威胁的一个最显著特点是其本身具有特定的协议属性,正如一个Windows上的病毒在Linux系统上根本无法运行,一个针对HTTP协议漏洞的入侵行为,并不能对SMTP协议构成威胁。因此,为避免对流量的盲目检测或漏检,应首先对流量所属的应用类型进行识别,而这一点往往被大家所忽视。

         之所以说传统设备并不能全面的应对应用层威胁,是由于它们在流量识别的环节仅简单的基于协议和端口。在配置传统设备时,若流量使用非标端口,管理人员则必须对这样的流量进行手动的应用类型关联,否则流量就极有可能由于未被准确识别而漏检,换言之,攻击行为可以通过使用非标端口,轻松绕过传统设备的检查。而下一代防火墙在流量识别环节,则完全基于应用的协议特征,可完全抛开协议和端口,即便流量使用跳变端口或复用知名端口,下一代防火墙同样能够智能的识别出流量所属的应用类型,进而执行针对相应协议的威胁特征检测。由此可见,“上一代”与“下一代”在流量识别的实现方式上有着巨大的差异,这一点直接影响着应用层威胁的防御能力。

提升威胁检测能力

         按照上面的分析,抵御应用层威胁要求设备既能识别应用,又能识别威胁。下一代防火墙解决了应用识别的问题,又是如何来提升威胁识别能力的呢?

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章