欧美精品在线一区二区三区,久久国产一片免费观看,久久人人爽人人爽人人小说

下一代防火墻的演變及企業需求解析

責任編輯：sjia

2012-10-31 09:44:39

摘自：IT168

從本質上講，下一代防火墻整合了入侵防御系統(IPS)以及應用程序智能和控制，以查看被訪問和處理的數據內容。

企業的IT管理人員必須兼顧網絡性能和網絡安全問題。雖然安全要求對企業很重要，但企業不能為了安全而犧牲吞吐量和生產力。上一代防火墻給現在的企業帶來嚴重的安全風險，它們的技術實際上已經過時，因為它們無法檢查攻擊者散播的網絡數據包的數據負載。很多供應商吹捧狀態數據包檢測(SPI)速度，但對安全和性能真正的衡量標準是深度數據包檢測吞吐量和有效性。為了解決這方面的不足，很多防火墻采用了傳統桌面防病毒解決方案的惡意軟件檢測方法：緩沖下載的文件，然后檢查是否存在惡意軟件。這種方法的缺點是顯著的延遲性，同時它也帶來嚴重的安全風險，因為臨時存儲會限制最大文件大小。

定義下一代防火墻

從本質上講，下一代防火墻整合了入侵防御系統(IPS)以及應用程序智能和控制，以查看被訪問和處理的數據內容。

Gartner將下一代防火墻定義為“執行深度流量檢查和阻止攻擊的線速綜合網絡平臺”，Gartner認為下一代防火墻至少應該提供以下功能：

◆非破壞性串聯網路嵌入式配置

◆標準第一代防火墻功能，例如網絡地址翻譯(NAT)、狀態協議檢測(SPI)和虛擬專用網絡(VPN)等

◆集成基于簽名的IPS引擎

◆應用程序意識，全?？梢曅院途毧刂?/p>

◆結合防火墻外部信息的能力，例如基于目錄的政策、黑名單和白名單等

◆升級路徑以涵蓋未來信息源和安全威脅

◆SSL解密以識別不良加密應用程序

下一代防火墻的演變

SPI那一代防火墻只適用于以前的網絡環境，當時惡意軟件還沒有成為一個大問題，網頁只是可以讀取的文檔，端口、IP地址和協議是管理的關鍵因素。但隨著互聯網的發展，從服務器和客戶端瀏覽器提供動態內容的能力催生了豐富的應用程序，也就是我們所說的Web 2.0。

現在，從Salesforce.com的應用程序到SharePoint，再到Farmville，都是在TCP端口80以及加密SSL(TCP端口443)運行。下一代防火墻會檢查數據包的有效載荷，并匹配簽名來查找惡意活動，例如已知漏洞、利用攻擊、病毒和惡意軟件等。DPI也意味著管理員可以創建非常細粒度的允許和拒絕規則，以控制特定應用程序和網站。由于防火墻檢查了所有數據包的內容，我們還可以輸出所有類型的統計信息，這意味著管理員現在可以簡單的挖掘流量分析來進行容量鬼話、故障排除或者監控員工的活動。

企業需要什么

企業正陷入應用程序混亂中。網絡通信不再僅僅依賴于存儲和轉發應用程序(例如電子郵件)，而已經擴展到涵蓋實時協作工具、Web 2.0應用程序、即時消息(IM)和P2P應用程序、語音IP電話(VoIP)、流媒體和電話會議，這些都帶來潛在風險。很多企業無法區分網絡中使用的具有合法業務目的應用程序與那些不是關鍵型應用程序(只是消耗帶寬或者帶來危險)。

現在，企業需要提供關鍵業務解決方案，同時還需要滿足用戶的需求，允許他們使用耗費帶寬且危險的(從安全的角度來看)基于Web的應用程序。關鍵應用程序需要帶寬優先級，而社交媒體和游戲應用程序需要被節流或者完全阻止。此外，如果企業不符合安全要求和規定的話，企業可能面臨罰款或者虧損。

在當今的企業，安全保護和性能“一個都不能少”。企業不能再忍受傳統SPI防火墻提供的較差的安全性，也無法容忍一些下一代防火墻帶來的網絡瓶頸。防火墻或網絡性能的任何延遲都可能影響延遲敏感型和協作應用程序，而這反過來又可能對服務水平和生產力產生負面影響。讓事情更糟糕的是，一些IT企業甚至禁用其網絡安全解決方案中的功能以避免網絡性能的下降。

所有企業都面臨著常用應用程序中的漏洞帶來的風險，這是美麗的社交網絡世界的“骯臟的小秘密”：它們是惡意軟件和網絡攻擊者監測其不知情的受害者的最佳場所。同時，企業員工使用企業和家庭辦公電腦使用博客、社交網絡、通信、視頻、音樂、游戲、購物和電子郵件。視頻流、點到點(P2P)以及托管或云計算應用程序讓企業面臨潛在的風險，例如潛在的滲透、數據泄漏和停機。除了帶來安全風險外，這些應用程序還消耗帶寬和生產力，并且與關鍵業務型應用程序爭搶寶貴的網絡帶寬。更重要的是，企業需要工具來保證業務關鍵應用程序的帶寬，并需要應用程序智能和控制來保護入站和出站的流量，同時確保速度和安全性以提供高校的工作環境。

下一代防火墻的優勢

下一代防火墻可以提供應用程序智能和控制、入侵防御、惡意軟件防護和SSL檢查，還可擴展到支持最高性能網絡。

最強大的下一代防火墻使管理員能夠同時控制和管理業務以及非業務相關的應用程序，以確保網絡和員工的工作效率，并且他們可以掃描跨任何端口的任何大小的文件，而不會影響安全性和性能。同步文件或網絡流的數量不會限制高端下一代防火墻，所以，受感染的文件沒有機會溜出去。此外，下一代防火墻可以向SSL加密流量應用所有安全和應用程序控制技術，確保這不會成為網絡的新的惡意軟件載體。

IT管理員在選擇深度數據包檢測防火墻時，需要注意在下一代防火墻中，存在多種處理器架構的方法。有些人選擇通用處理器以及獨立的安全協處理器。還有一些人選擇設計和建造ASIC(應用程序專用集成電路)平臺。對于IT管理人員來說，關鍵是確保他們選擇的下一代防火墻具有可擴展性，以滿足其預期的網絡性能要求，同時，所選的下一代防火墻能夠提供最強大的性能、最有用的網絡分析和能見度，以及易于部署和管理。

防火墻