Gartner報告顯示,從2005年開始�����,全球防火墻市場已開始呈逐年遞減趨勢���。市場的增長源自用戶的需求���,而衰落,正恰好說明用戶的需求在發(fā)生改變�����。為應(yīng)對當前與未來的網(wǎng)絡(luò)安全威脅�����,Gartner 認為傳統(tǒng)防火墻必須要升級為“下一代防火墻”��,并預言����,到2014年,全球35%的企業(yè)將會全面部署下一代防火墻��,并且它會集成入侵防護����、應(yīng)用可視性和控制功能。
專注于為中小企業(yè)提供網(wǎng)站制作�、成都做網(wǎng)站服務(wù),電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)大化免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都���,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才��,有力地推動了近1000家企業(yè)的穩(wěn)健成長�����,幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變��。
防火墻是一類防范措施的總稱�����,它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離��、限制網(wǎng)絡(luò)互訪用來保護內(nèi)部網(wǎng)絡(luò)�。防火墻簡單的可以只用路由器實現(xiàn),復雜的可以用主機甚至一個子網(wǎng)來實現(xiàn)���。設(shè)置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道�,簡化網(wǎng)絡(luò)的安全管理�。
傳統(tǒng)防火墻可以分為四種類型:包過濾、應(yīng)用級網(wǎng)關(guān)���、代理服務(wù)器和狀態(tài)檢測�����?����?傮w的功能是:過濾掉不安全服務(wù)��、非法用戶和控制對特殊站點的訪問��、提供監(jiān)視Internet安全和預警的方便端點���。
但由于互連網(wǎng)的開放性,有許多防范功能的防火墻也有一些防范不到的地方:
1���、防火墻不能防范不經(jīng)由防火墻的攻擊�����。例如�,如果允許從受保護網(wǎng)內(nèi)部不受限制的向外撥號���,一些用戶可以形成與Internet的直接的連接�����,從而繞過防火墻�,造成一個潛在的后門攻擊渠道。
2��、防火墻不能防止感染了病毒的軟件或文件的傳輸����。這只能在每臺主機上裝反病毒軟件。
3�、防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。當有些表面看來無害的數(shù)據(jù)被郵寄或復制到Internet主機上并被執(zhí)行而發(fā)起攻擊時����,就會發(fā)生數(shù)據(jù)驅(qū)動攻擊。
因此����,防火墻只是一種整體安全防范政策的一部分。這種安全政策必須包括公開的��、以便用戶知道自身責任的安全準則���、職員培訓計劃以及與網(wǎng)絡(luò)訪問�、當?shù)睾瓦h程用戶認證、撥出撥入呼叫�����、磁盤和數(shù)據(jù)加密以及病毒防護的有關(guān)政策�。
雖然下一代防火墻目前沒有一個明確的定義,但是不并妨礙由市場需求推動技術(shù)產(chǎn)品的發(fā)展���。梭子魚網(wǎng)絡(luò)有限公司在Gartner的基礎(chǔ)上對下一代防火墻做了一個更為明確的定義����,即是集成了虛擬化軟件和硬件架構(gòu)的智能網(wǎng)絡(luò)平臺�����,可對各種流量實施深層探測并阻止各類攻擊��。下一代防火墻需具備下列最低屬性:
◆支持在線BITW(線纜中的塊)配置�,同時不會干擾網(wǎng)絡(luò)運行�����。
◆可作為網(wǎng)絡(luò)流量檢測與網(wǎng)絡(luò)安全策略執(zhí)行的平臺,并具有下列最低特性:
1)標準的第一代防火墻功能:具有數(shù)據(jù)包過濾�、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、協(xié)議狀態(tài)檢查以及VPN功能等��。
2)集成式而非托管式網(wǎng)絡(luò)入侵防御:支持基于漏洞的簽名與基于威脅的簽名���。IPS與防火墻間的協(xié)作所獲得的性能要遠高于部件的疊加����,如:提供推薦防火墻規(guī)則�����,以阻止持續(xù)某一載入IPS及有害流量的地址����。這就證明,在下一代防火墻中��,互相關(guān)聯(lián)作用的是防火墻而非由操作人員在控制臺制定與執(zhí)行各種解決方案��。高質(zhì)量的集成式IPS引擎與簽名也是下一代防火墻的主要特性����。所謂集成可將諸多特性集合在一起�,如:根據(jù)針對注入惡意軟件網(wǎng)站的IPS檢測向防火墻提供推薦阻止的地址����。
3)業(yè)務(wù)識別與全棧可視性:采用非端口與協(xié)議vs僅端口��、協(xié)議與服務(wù)的方式��,識別應(yīng)用程序并在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略�。范例中包括允許使用Skype但禁用Skype內(nèi)部共享或一直阻止GoToMyPC。
4)超級智能的防火墻: 可收集防火墻外的各類信息��,用于改進阻止決策�����,或作為優(yōu)化阻止規(guī)則的基礎(chǔ)����。范例中還包括利用目錄集成來強化根據(jù)用戶身份實施的阻止或根據(jù)地址編制黑名單與白名單���。
| 傳統(tǒng)防火墻 |
下一代防火墻 |
| 過濾掉不安全服務(wù)和非法用戶 |
有認識應(yīng)用和設(shè)置控制的“應(yīng)用意識” |
| 控制對特殊站點訪問����,提供監(jiān)視Internet安全和端點 |
具備網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢查�����、VPN等標準防火墻功能 |
| 傳統(tǒng)防火墻不能防范不經(jīng)由防火墻的攻擊 |
入侵防止系統(tǒng)被“真正集成”在防火墻中 |
| 傳統(tǒng)防火墻不能防止感染病毒的軟件或文件傳輸 |
能夠提供幫助決策的信息����,具有值得信賴的分析 |
| 傳統(tǒng)防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊 |
可探測到針對具體應(yīng)用攻擊,并提供細粒度安全策略 |
傳統(tǒng)防火墻和下一代防火墻的對比
現(xiàn)在�,許多防火墻與IPS供應(yīng)商都已升級了其產(chǎn)品,以提供業(yè)務(wù)識別與部分下一代防火墻特性�,且有許多新興公司都十分關(guān)注下一代防火墻功能。大型企業(yè)都將隨著正常的防火墻與IPS更新循環(huán)的到來逐漸采用下一代防火墻代替其現(xiàn)有的防火墻�����,或因帶寬需求的增高或遭受了攻擊而進行防火墻升級���。
Gartner認為隨著威脅情況的變化以及業(yè)務(wù)與IT程序的改變都促使網(wǎng)絡(luò)安全經(jīng)理在其下一輪防火墻/IPS更新循環(huán)中尋求具有下一代防火墻功能的產(chǎn)品�。而下一代防火墻的供應(yīng)商們成功占有市場的關(guān)鍵則在于需要證明第一代防火墻與IPS特性既可與當前的第一代功能相匹配����,又能同時兼具下一代防火墻功能,或具有一定價格優(yōu)勢����。
Gartner認為目前僅有不到1%的互聯(lián)網(wǎng)連接采用了下一代防火墻保護����。因此����,有理由相信到2014年年末使用這一產(chǎn)品進行保護的比例將上升至35%,同時����,其中將有60%都為重新購買下一代防火墻。
更多下一代防火墻咨詢��,可登錄梭子魚官方主頁:www.barracudanetworks.com.cn
新聞名稱:傳統(tǒng)防火墻VS下一代防火墻
文章起源:
http://uogjgqi.cn/article/dhepdjd.html
