如何比较和选择下一代防火墙

如何比较和选择下一代防火墙

ID:34757798

大小:201.88 KB

页数:3页

时间:2019-03-10

如何比较和选择下一代防火墙_第1页
如何比较和选择下一代防火墙_第2页
如何比较和选择下一代防火墙_第3页
资源描述:

《如何比较和选择下一代防火墙》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、如何比较和选择下一代防火墙安全形势每天都在发生变化。例如,企业内部的变化就包括应用程序如何安全使用和通信。虽然从可用性的角度来看,这种变化在很多情况下是一个好处。但如果处理不当,它也有可能成为信息安全人员的灾难。为应对这种变化,企业防火墙的厂商们已经生产出了新的一代的防火墙设备,即下一代防火墙。这些设备在多个不同的方面都与传统的防火墙不一样。下面看一下这些不同点,并且看看其如何影响企业的网络安全。什么是传统防火墙传统防火墙是一种能够控制通信进出网络内部某个点的设备。这种防火墙根据运行的协议类型,

2、一般是通过使用一种无状态方法或是有状态方法来进行工作。使用无状态进行监视的通信只是简单地检查每个数据包,并不能够理解数据流。而使用有状态方法进行监视的通信能够在一定程度上使用监视协议跟踪通信流,并且能够在数据流的生命周期内记录其位置。很明显,能够跟踪状态的防火墙要比不能跟踪状态的防火墙更高效。但是,许多传统的防火墙仅限于工作在2层到4层,并且只能根据这些信息跟踪通信。传统防火墙的其它特征还包括支持网络地址转换、端口地址转换、虚拟私有网络(即VPN),还能够提供高级的可用性和性能。什么是下一代防火

3、墙很多安全厂商都将自己的新防火墙称为“下一代防火墙”,但每家厂商产品的特征可能与其它厂商有些不同。一般而言,下一代防火墙产品应当包含如下特性:应用程序感知、状态检测、集成入侵防御系统、身份感知(用户和组的控制)、桥接模式和路由模式、能够利用外部的情报源,等等。下面详细地看看下一代防火墙的这些特性:1.应用程序感知传统防火墙与下一代防火墙的最大不同是:下一代防火墙可以感知应用程序。传统的防火墙依赖常见的应用程序端口来决定正在运行的应用程序以及攻击类型。而下一代防火墙设备并不是认为特定的应用程序运行

4、在特定的端口上。防火墙必须能够在第二层到第七层上监视通信,并且决定发送和接收哪类通信。最常见的例子是当前对HTTP和80号端口的使用。传统上,这个端口仅用于HTTP的通信,但如今的情况不同了,而且有大量的不同应用程序都使用这个端口在终端设备和中央服务器之间传送通信。常见端口用于不同类型通信的方法有很多种,其中最常见的方法之一就是隧道技术。借助于隧道技术,通信在传统的HTTP数据字段内部建立隧道,并在目的结点解开封装。从传统的防火墙的观点看,这看起来就是简单的HTTPWeb通信,但对于下一代防火墙

5、来说,它真正的目的在其能够到达目的结点之前就在防火墙上被发现了。如果这种通信是由下一代防火墙的策略所允许的,就放行;否则,防火墙将阻止通信。2.身份感知传统防火墙和下一代防火墙之间的另一个很大的不同点是,后者能够跟踪本地通信设备和用户的身份,它一般使用的是现有的企业认证系统(即活动目录、轻量目录访问协议,等)。信息安全人员通过这种方法就不仅能够控制允许进出网络的通信类型,还可以控制哪个特定用户可以发送和接收数据。3.状态检测虽然从状态检测的一般定义上来看,下一代防火墙并无不同,但它不是仅跟踪第二

6、层到第四层的通信状态,而是要能够跟踪第二层到第七层的通信状态。这种不同可以使安全人员实施更多控制,而且可以使管理员能够制定更精细的策略。4.集成IPS入侵防御系统(IPS)能够根据几种不同的技术来检测攻击,其中包括使用威胁特征、已知的漏洞利用攻击、异常活动和通信行为的分析等。在部署了传统防火墙的环境中,入侵检测系统或入侵防御系统是经常部署的设备。通常,这种设备的部署是通过独立的设备部署的,或是通过一个设备内部在逻辑上独立的设备来部署的。而在下一代防火墙中,入侵防御或入侵检测设备应当完全地集成。入

7、侵防御系统本身的功能与其在独立部署时并无不同,下一代防火墙中此功能的主要不同在于性能,以及通信的所有层如何实现对信息的访问。5.桥接和路由模式桥接或路由模式虽不是全新的特征,但下一代防火墙的这种功能仍很重要。在当今的网络中部署了许多传统的防火墙,但其中的多数并非下一代防火墙。为更容易地过渡下一代防火墙,下一代防火墙必须能够以桥接模式(也称为透明模式)连接,设备本身并不显示为路由路径的一部分。对任何一家特定的企业来说,在合适的时间,下一代防火墙应逐渐地替换传统防火墙,从而使用路由模式。比较下一代防

8、火墙如今的市场上有不少信息安全方案都宣称自己是下一代防火墙。如何发现其差异并?下面谈几个审查和比较下一代防火墙的标准:1.下一代防火墙是否可以防御针对服务器应用和客户端应用的攻击?其防御程度如何?2.是否能被规避或逃脱?3.它是否稳定和可靠?4.该方案是否能够强化入站和出站的应用策略?5.该方案是否能够强化入站和出站的身份策略?6.其性能如何?进一步讲,企业选择部署哪种防火墙设备取决于几个有限的因素。这是因为多数设备都满足下一代防火墙的范畴,并能执行同样的任务。所以,为什么要选择这个而不选那个?

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。