下一代防火牆必須具備的五大要素
眾所周之,扼守網路咽喉的防火牆裝置,主要通過隔離、限制等手段對網路流量中的越權訪問以及惡意連線進行識別和阻斷,防火牆產品的歷次演進均是圍繞著這兩大核心目標而展開的。下面是小編跟大家分享的是,歡迎大家來閱讀學習~
工具/原料
下一代防火牆
1***針對應用、使用者、終端及內容的高精度管控
1訪問控制始終是防火牆類產品的核心功能,面對應用爆炸式發展、使用者接入手段多樣化、資訊洩密問題突出等多重挑戰,當今的下一代防火牆應持續增強其訪問控制的精細度。
2白皮書特別強調,應用控制絕非傳統意義的阻斷應用,出於精細化控制的需求,下一代防火牆應該能夠控制各類平臺化應用的子功能,如QQ的檔案傳輸等,同時還要能夠基於使用者和終端進行控制,而非傳統的IP地址,並且能夠對某些特定檔案的內容進行深入過濾,以削減資訊洩密的風險。
3應用識別技術無疑成為滿足上述需求的本質,下一代防火牆在未來仍將持續提升對應用、使用者、終端和內容的識別能力,並對加密流量、隧道封裝的資料進行識別,隨著應用識別技術在廣泛度和精細度等方面的提升,企業將逐步由目前的黑名單訪問控制過渡至安全級別更高的白名單模式。
2***一體化引擎多安全模組智慧資料聯動
1上述攻擊案例已充分證明,當今網路威脅均為採用多種手段的複合式攻擊,無論是事中的防禦還是事後的溯源,都要求下一代防火牆能夠將多種安全檢測技術融合。為此,白皮書中首度提出了下一代防火牆應採用“一體化引擎”架構,使其能夠全方位的防護安全威脅並實現智慧的資料聯動。
2產品專家認為,採用一體化引擎的優越性諸多,除了提升自身的防禦能力外,還體現在其他兩個方面。首先,一體化引擎實現了資料的單路徑匹配,資料包僅需一次解碼即可匹配所有威脅特徵,有助於裝置效能的大幅提升,讓所有安全功能模組能夠真正的開啟併發揮作用。
3第二,對於隱蔽性極強的新型威脅,單維的分析散落多處的資訊對於儘早感知威脅已毫無幫助。多安全模組的融合,使得各個安全模組在對資料檢測過程中產生的資訊能夠充分關聯,徹底改變傳統安全裝置資訊割裂的詬病,使用者無需進行人工挖掘和分析即可全面掌握威脅全貌。
3***外部的安全智慧
1防火牆本地的運算效能和檢測能力始終是有限的,下一代防火牆應該具備聯動外部安全智慧系統的能力。儘管這項要求早在2009年的定義中便有提及,但在當時的技術背景下,除了與使用者認證系統聯動之外,並未明確描述與其他系統的聯動。
2隨著雲端計算、大資料技術的不斷成熟,將雲端的海量資源及大資料的高度智慧用於判別日趨複雜的威脅,已成為業界公認的技術發展方向。近年來市場上也已經湧現出了不少以雲沙箱檢測、***查殺、威脅情報分析等為核心的新技術產品。
3鑑於這樣的技術環境,白皮書明確指出,下一代防火牆應當具有與外部雲端計算聯動的能力,並且能夠利用大資料分析技術應對威脅特徵庫中並未收錄的未知威脅。
4***視覺化智慧管理
1防火牆裝置的洞察力往往是廠商和使用者長期忽視的一項能力,然而在更復雜的威脅面前,使用者需要更加及時的掌握網路現狀、風險、威脅、事件以及防禦效果等用於支撐安全決策,下一代防火牆的視覺化技術尤為重要。
2“智慧”一詞對於下一代防火牆而言同樣是一項新的要求,專家認為,下一代防火牆要實現的視覺化智慧管理,絕非傳統意義上的日誌呈現和TOP 10排名,真正的“智慧”應該是在多維統計的基礎上加以深入的分析,並將結果呈現出來,以幫助使用者更加快速的瞭解網路風險並及時部署防禦措施。
3白皮書同時指出,安全產品的有效性取決於操作安全產品的人員,在資訊保安專業人才緊缺以及安全裝置使用者範圍日趨廣泛的大環境下,下一代防火牆應當簡化配置難度、降低技術門檻並持續提升產品易用性。
5***高效能處理架構
效能是歷代防火牆產品永恆的話題,IDC研究資料表明,當前國內傳統防火牆的市場份額在整體安全硬體中仍佔比最高。究其根因,並非使用者對下一代防火牆特有的功能缺乏需求,而是由於很多大型網路、資料中心出口出於效能的考慮無法開啟所謂的“下一代”安全功能。由此可見,效能的高低決定了下一代防火牆能夠部署的場景和位置,以及能否為更多的網路和系統提供保護。
白皮書特別強調,今後的網路安全是應用層安全,所有的流量都要進行應用層的深入分析,因此下一代防火牆已將深度包檢測***DPI,用於應用識別及其它應用層安全功能***作為其架構中的基礎部件,裝置開機即處於啟動狀態,並且鼓勵使用者開啟全部安全功能。對於下一代防火牆使用者而言,真正有價值的引數是其應用層效能以及開啟全部安全功能後的效能。
因此,IDC認為下一代防火牆要滿足大型資料中心、運營商網路環境的效能要求,必須持續提高應用層效能及多威脅安全檢測效能。
解讀防火牆記錄