日期:2018-07-10 點擊: 關鍵詞:防火墻,傳統防火墻
第一代防火墻是基于包過濾的防火墻,時至今日這類防火墻仍在網絡交換機和路由器中以訪問控制列表(ACL)的形式發揮著作用。基于包過濾的防火墻檢查每個報文,并簡單的根據Ethernet和IP頭中的字段匹配進行過濾,但不維護協議或應用的狀態信息。目前,基于包過濾的防火墻僅存在于資源有限但要求高吞吐量的網絡設備中。
防火墻,傳統防火墻
上世紀90年代出現了狀態檢測防火墻。大多數狀態檢測防火墻運行于OSI的三層和四層。這種防火墻引入了被稱為“會話”的流量狀態用于追蹤開放連接。會話是基于五元組(源/目的IP和端口,IP協議號)進行識別的。即使使用的是單向策略,建立起的會話也允許雙向流量。會話還可以用于維護其他三層和四層信息,如TCP狀態和NAT轉換信息。除了維護會話外,狀態檢測防火墻還需要了解一些應用協議。有些應用(如FTP)在動態選擇的TCP/UDP端口上打開臨時會話,還有些應用(如VOIP協議)可能需要打開到第三方的會話。為了在上述環境中保持應用的可用性,狀態檢測防火墻支持應用層網關(ALG)。ALG檢查應用協議的內容并動態生成臨時規則允許創建這些會話。
智能時代的防火墻,又需要哪些技術來滿足網絡安全發展的需要呢?智能防火墻的特性可以概括為:對于網絡狀態,要有學習能力;對于網絡產生的數據,要有挖掘能力;對于網絡的安全威脅,要能做到預警;對于安全事件,要能做到可視化管理。
下一代智能防火墻(iNGFW)以全網健康指數(NHI)對網絡健康狀態打分,以行為信譽指數(BRI)對用戶及服務器狀態打分,然后對“高危”人員或者“高危”服務器實行相應的預警或有效的控制。有了這樣的信譽評分制,管理員就可以根據用戶的信譽分數來動態調整策略,決定是否讓其進入網絡。這個思路的重要意義在于:將“信譽”作為第八元組引入防火墻的控制,使防火墻在原有的防護基礎上增加了對于網絡風險的控制。將大數據關聯分析的手段用在防火墻平臺上,可以充分發揮防火墻兼具檢測、監控和控制能力于一體的優勢,更好地實現聯動并實時控制風險,在一臺設備上就可實現有效的控制閉環,管理員可以基于感知到的風險進行安全管控,在事發之前防范安全問題或系統網絡中斷,節省客戶投資。