下一代防火墻

　　什么是下一代防火墻，下面由學(xué)習(xí)啦小編給你做出詳細(xì)的下一代防火墻介紹!希望對(duì)你有幫助!歡迎回訪!

　　下一代防火墻：

　　Gartner介紹為應(yīng)對(duì)當(dāng)前與未來(lái)新一代的網(wǎng)絡(luò)安全威脅認(rèn)為防火墻必需要再一次升級(jí)為“下一代防火墻”(參見(jiàn)“工具包：評(píng)估信息安全預(yù)算，2007年升級(jí)版”)。例，第一代防火墻現(xiàn)已基本無(wú)法探測(cè)到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅(參見(jiàn)“案例研究：計(jì)算機(jī)早期探測(cè)功能被僵尸網(wǎng)絡(luò)客戶(hù)端所威脅”)。由于當(dāng)前采用的是基于服務(wù)的架構(gòu)與Web2.0使用的普及，更多的通訊量都只是通過(guò)少數(shù)幾個(gè)端口(如：HTTP與HTTPS)及采用有限的幾個(gè)協(xié)議進(jìn)行，這也就意味著基于端口/協(xié)議類(lèi)安全策略的關(guān)聯(lián)性與效率都越來(lái)越低。深層數(shù)據(jù)包檢查入侵防御系統(tǒng)(IPS)可根據(jù)已知攻擊對(duì)操作系統(tǒng)與漏失部署補(bǔ)丁的軟件進(jìn)行檢查，但卻不能有效的識(shí)別與阻止應(yīng)用程序的濫用，更不用說(shuō)對(duì)于應(yīng)用程序中的具體特性的保護(hù)了。

　　Gartner將網(wǎng)絡(luò)防火墻定義為在線安全控制措施，即：可實(shí)時(shí)在各受信級(jí)網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略。Gartner使用“下一代防火墻”這一術(shù)語(yǔ)來(lái)說(shuō)明升級(jí)防火墻的必要性，以應(yīng)對(duì)目前業(yè)務(wù)程序使用IT的方法以及針對(duì)業(yè)務(wù)系統(tǒng)所發(fā)起的攻擊方法所發(fā)生的改變。

　　下一代防火墻的屬性

　　下一代防火墻需具有下列最低屬性：

　　· 支持在線BITW(線纜中的塊)配置，同時(shí)不會(huì)干擾網(wǎng)絡(luò)運(yùn)行。

　　· 可作為網(wǎng)絡(luò)流量檢測(cè)與網(wǎng)絡(luò)安全策略執(zhí)行的平臺(tái)，并具有下列最低特性：

　　1)標(biāo)準(zhǔn)的第一代防火墻功能：具有數(shù)據(jù)包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、協(xié)議狀態(tài)檢查以及功能等。

　　2)集成式而非托管式網(wǎng)絡(luò)入侵防御：支持基于漏洞的簽名與基于威脅的簽名。IPS與防火墻間的協(xié)作所獲得的性能要遠(yuǎn)高于部件的疊加，如：提供推薦防火墻規(guī)則，以阻止持續(xù)某一載入IPS及有害流量的地址。這就證明，在下一代防火墻中，互相關(guān)聯(lián)作用的是防火墻而非由操作人員在控制臺(tái)制定與執(zhí)行各種解決方案。高質(zhì)量的集成式IPS引擎與簽名也是下一代防火墻的主要特性。所謂集成可將諸多特性集合在一起，如：根據(jù)針對(duì)注入惡意軟件網(wǎng)站的IPS檢測(cè)向防火墻提供推薦阻止的地址。

　　3)業(yè)務(wù)識(shí)別與全棧可視性：采用非端口與協(xié)議vs僅端口、協(xié)議與服務(wù)的方式，識(shí)別應(yīng)用程序并在應(yīng)用層執(zhí)行網(wǎng)絡(luò)安全策略。范例中包括允許使用Skype但禁用Skype內(nèi)部共享或一直阻止GoToMyPC。

　　4)超級(jí)智能的防火墻: 可收集防火墻外的各類(lèi)信息，用于改進(jìn)阻止決策，或作為優(yōu)化阻止規(guī)則的基礎(chǔ)。范例中還包括利用目錄集成來(lái)強(qiáng)化根據(jù)用戶(hù)身份實(shí)施的阻止或根據(jù)地址編制黑名單與白名單。

　　· 支持新信息流與新技術(shù)的集成路徑升級(jí)，以應(yīng)對(duì)未來(lái)出現(xiàn)的各種威脅。
看過(guò)“下一代防火墻 ”人還看了：

1.淺談基于WEB防火墻的校園網(wǎng)絡(luò)安全解決策略論文

2.關(guān)于下一代遠(yuǎn)程控制木馬的思路探討

3.防火墻相關(guān)的基礎(chǔ)知識(shí)

4.防火墻的高級(jí)檢測(cè)技術(shù)IDS詳解