下一代防火牆
什麼是,下面由小編給你做出詳細的介紹!希望對你有幫助!歡迎回訪!
:
Gartner介紹為應對當前與未來新一代的網路安全威脅認為防火牆必需要再一次升級為“”***參見“工具包:評估資訊保安預算,2007年升級版”***。例,第一代防火牆現已基本無法探測到利用殭屍網路作為傳輸方法的威脅***參見“案例研究:計算機早期探測功能被殭屍網路客戶端所威脅”***。由於當前採用的是基於服務的架構與Web2.0使用的普及,更多的通訊量都只是通過少數幾個埠***如:HTTP與HTTPS***及採用有限的幾個協議進行,這也就意味著基於埠/協議類安全策略的關聯性與效率都越來越低。深層資料包檢查入侵防禦系統***IPS***可根據已知攻擊對作業系統與漏失部署補丁的軟體進行檢查,但卻不能有效的識別與阻止應用程式的濫用,更不用說對於應用程式中的具體特性的保護了。
Gartner將網路防火牆定義為線上安全控制措施,即:可實時在各受信級網路間執行網路安全策略。Gartner使用“”這一術語來說明升級防火牆的必要性,以應對目前業務程式使用IT的方法以及針對業務系統所發起的攻擊方法所發生的改變。
的屬性
需具有下列最低屬性:
· 支援線上BITW***線纜中的塊***配置,同時不會干擾網路執行。
· 可作為網路流量檢測與網路安全策略執行的平臺,並具有下列最低特性:
1***標準的第一代防火牆功能:具有資料包過濾、網路地址轉換***NAT***、協議狀態檢查以及功能等。
2***整合式而非託管式網路入侵防禦:支援基於漏洞的簽名與基於威脅的簽名。IPS與防火牆間的協作所獲得的效能要遠高於部件的疊加,如:提供推薦防火牆規則,以阻止持續某一載入IPS及有害流量的地址。這就證明,在中,互相關聯作用的是防火牆而非由操作人員在控制檯制定與執行各種解決方案。高質量的整合式IPS引擎與簽名也是的主要特性。所謂整合可將諸多特性集合在一起,如:根據針對注入惡意軟體網站的IPS檢測向防火牆提供推薦阻止的地址。
3***業務識別與全棧可視性:採用非埠與協議vs僅埠、協議與服務的方式,識別應用程式並在應用層執行網路安全策略。範例中包括允許使用Skype但禁用Skype內部共享或一直阻止GoToMyPC。
4***超級智慧的防火牆: 可收集防火牆外的各類資訊,用於改進阻止決策,或作為優化阻止規則的基礎。範例中還包括利用目錄整合來強化根據使用者身份實施的阻止或根據地址編制黑名單與白名單。
· 支援新資訊流與新技術的整合路徑升級,以應對未來出現的各種威脅。
”人還看了:
熊貓防火牆介紹