日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

防火墻必須演進，能夠更主動地阻止新威脅(例如僵尸網(wǎng)和定位攻擊)。隨著攻擊變得越來越復雜，企業(yè)必須更新網(wǎng)絡防火墻和入侵防御能力來保護業(yè)務系統(tǒng)。

不斷變化的業(yè)務流程、企業(yè)部署的技術以及威脅正推動對網(wǎng)絡安全性的新需求。不斷增長的帶寬需求和新應用架構(如Web 2.0)正在改變協(xié)議的使用方式和數(shù)據(jù)的傳輸方式。安全威脅將焦點集中在誘使易受攻擊的用戶安裝試圖避免被檢測出的針對性的惡意執(zhí)行程序上。在這種環(huán)境中，簡單地強制要求在標準端口上使用合適的協(xié)議和阻止尋找未修補的服務器的攻擊不再有足夠的價值。為了應對這些挑戰(zhàn)，防火墻必須演進為Gartner稱之為“下一代防火墻(NGFW)”的產(chǎn)品。如果防火墻廠商不進行這些改變的話，企業(yè)將要求降價來降低第一代防火墻的成本并尋求其他安全解決方案來應對新的威脅環(huán)境。

什么是NGFW?

對于使用僵尸網(wǎng)傳播方式的威脅，第一代防火墻基本上是看不到的。隨著面向服務的架構和Web 2.0使用的增加，更多的通信通過更少的端口(如HTTP和HTTPS)和使用更少的協(xié)議傳輸，這意味著基于端口/協(xié)議的政策已經(jīng)變得不太合適和不太有效。深度包檢測入侵防御系統(tǒng)(IPS)的確檢查針對沒有打補丁的操作系統(tǒng)和軟件的已知攻擊方法，但不能有效地識別和阻止應用程序的濫用，更不要說應用程序中的特殊特性了。

Gartner將網(wǎng)絡防火墻定義為在不同信任級別的網(wǎng)絡之間實時執(zhí)行網(wǎng)絡安全政策的聯(lián)機控制。Gartner使用“下一代防火墻”這個術語來說明防火墻在應對業(yè)務流程使用IT的方式和攻擊試圖入侵業(yè)務系統(tǒng)的方式發(fā)生的變化時必要的演進。

NGFW至少具有以下屬性：

支持聯(lián)機“bump-in-the-wire”配置，不中斷網(wǎng)絡運行。

發(fā)揮網(wǎng)絡傳輸流檢查和網(wǎng)絡安全政策執(zhí)行平臺的作用，至少具有以下特性：

1,標準的第一代防火墻能力：包過濾、網(wǎng)絡地址轉(zhuǎn)換(NAT)、狀態(tài)性協(xié)議檢測、VPN等等。

2,集成的而非僅僅共處一個位置的網(wǎng)絡入侵檢測：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應當大于這兩部分效果的總和，例如提供防火墻規(guī)則來阻止某個地址不斷向IPS加載惡意傳輸流。這個例子說明，在NGFW中，應該由防火墻建立關聯(lián)，而不是操作人員不得不跨控制臺部署解決方案。集成具有高質(zhì)量的IPS引擎和特征碼是NGFW的一個主要特征。

3,應用意識和全?？梢娦裕鹤R別應用和在應用層上執(zhí)行獨立于端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務的網(wǎng)絡安全政策。例子包括允許使用Skype但關閉Skype中的文件共享或始終阻止GoToMyPC。

4,額外的防火墻智能：防火墻收集外來信息來做出更好的阻止決定，或建立優(yōu)化的阻止規(guī)則庫。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

支持新信息饋送和新技術集成的升級路徑來應對未來的威脅。

NGFW執(zhí)行的例子包括阻止細粒度的網(wǎng)絡安全政策違規(guī)或發(fā)出報警，如使用Web郵件、匿名服務器、對等網(wǎng)絡技術或PC遠程控制。簡單地根據(jù)目的IP地址來阻止對提供這些服務的已知源地址的訪問是不夠的。政策的顆粒度要求僅阻止某些類型的應用與目的IP地址的通信，而允許其他類型的應用與這些目的IP地址通信。轉(zhuǎn)向器使確定的黑名單不可能實現(xiàn)，這意味著有許多NGFW可以識別和阻止的不受歡迎的應用，即使這些應用被設計為逃避檢查或用SSL加密。應用識別的一個額外好處是帶寬控制，因為，消除了不受歡迎的對等網(wǎng)絡傳輸流可以大大減少帶寬的使用。

什么不是NGFW?

現(xiàn)在有一些與NGFW相鄰但不相等的基于網(wǎng)絡的安全產(chǎn)品領域：

中小企業(yè)多功能防火墻或UTM設備：這類設備是提供多種安全功能的單一設備。盡管它們總是包含第一代防火墻和IPS功能，但它們不提供應用意識功能，而且不是通常集成的、單引擎產(chǎn)品。它們適合于在分支辦事機構中節(jié)省費用，適用于較小的公司，但它們不能滿足大型企業(yè)的需要。這類產(chǎn)品包括與低質(zhì)量IPS搭配的第一代防火墻，并且/或者深度檢查和應用控制特性只不過同時出現(xiàn)在一臺設備中而不是緊密的集成。

基于網(wǎng)絡的數(shù)據(jù)丟失防御(DLP)設備：這類設備執(zhí)行對網(wǎng)絡傳輸流的深度包檢查，但將重點放在檢測以前識別的數(shù)據(jù)類型是否經(jīng)過檢查點。它們在執(zhí)行數(shù)據(jù)安全政策時沒有實時要求，不能執(zhí)行線速度網(wǎng)絡安全政策。

安全Web網(wǎng)關(SWG)：這類設備側重于通過集成的URL過濾和Web殺毒，執(zhí)行出站的用戶訪問控制和進站的惡意件防御。它們側重于在“使用任意協(xié)議的任意源到任意目的地”基礎上，執(zhí)行以用戶為中心的Web安全政策，而不是網(wǎng)絡安全政策。

消息安全網(wǎng)關：這類設備重點放在執(zhí)行容忍延時的出站內(nèi)容政策和執(zhí)行入站防垃圾郵件和防惡意件上。它們不執(zhí)行線速度網(wǎng)絡安全政策。

盡管這些產(chǎn)品可能基于網(wǎng)絡并使用類似的技術，但它們執(zhí)行屬于企業(yè)內(nèi)不同運營部門的責任和權力的安全政策。Gartner認為在IT和安全組織責任從根本上改變之前，這些領域不會融合在一起。

NGFW也不是“身份防火墻”，不是一種基于身份的訪問控制機制。在多數(shù)環(huán)境中，網(wǎng)絡安全部門沒有在應用層上執(zhí)行基于用戶的訪問控制政策的責任和權力。Gartner認為NGFW將能夠在部門級合并身份信息來做出更好的網(wǎng)絡安全決定，但它們一般將不用于執(zhí)行細粒度的用戶級執(zhí)行決定。

NGFW將逐漸成功

目前，有一些已經(jīng)將他們的產(chǎn)品升級為提供應用意識和一些NGFW特性的防火墻和IPS廠商和一些關注NGFW能力的新興公司。隨著防火墻和IPS更新周期的自然到來，或者隨著帶寬需求的增加，或者隨著成功的攻擊促使更新防火墻，大企業(yè)將用NGFW替換已有的防火墻。Gartner認為不斷變化的威脅環(huán)境以及不斷變化的業(yè)務和IT流程，將促使網(wǎng)絡安全經(jīng)理在他們的下一個防火墻/IPS更新周期時尋找NGFW。NGFW廠商成功的關鍵將是以同樣或略高于第一代防火墻的價格，提供包含NGFW能力又具有第一代防火墻和IPS特性的NGFW。

目前僅有不到1%的Internet連接采用NGFW來保護。我們認為到2014年底，這個數(shù)字將增加到占安裝基礎的35%，60%新購買的防火墻將是NGFW。

關鍵結論

第一代防火墻提供的狀態(tài)性協(xié)議過濾和有限的應用意識在對付當前和新出現(xiàn)的威脅時不再有效。

與優(yōu)化的組合平臺相比，使用分離的防火墻和入侵防御設施導致更高的運營成本，并且沒有提高安全性。

可以檢測針對特定應用的攻擊和執(zhí)行針對特定應用的細粒度安全政策(不管是入站還是出站傳輸流)的下一代防火墻(NGFW)正在出現(xiàn)。

NGFW在與其他安全控制層結合時最為有效。

建議

如果你還沒有部署入侵檢測，到了更新防火墻時，要求廠商提供NGFW。

如果你已經(jīng)部署了網(wǎng)絡防火墻和網(wǎng)絡入侵檢測系統(tǒng)，同步這兩種技術的更新周期，向NGFW遷移。

如果你使用托管的外圍防線安全服務，在下一次更新合同時，將服務升級為NGFW服務。

網(wǎng)站標題：下一代防火墻有效應對安全新變化
標題路徑：http://www.5511xx.com/article/djohdgp.html