深度包检测:未来防火墙的新武器
- 7/15/2014 1:18:39 PM
- 蓝梦
- 网络安全
- 来源:蓝梦网络营销策划有限公司
- 围观:次
企业要确保防火墙线速履行 深度包检测,并根据利用 内容、来源、目标及端口实行 安全策略,从而有效地阻挡网络攻击。具有 丰富特性集和高吞吐量的深度包检测防火墙将带来更高的网络安全和投资回报。如今部署Web服务的企业要确保防火墙能够满足这类 服务提出的安全需求。
防火墙是防御网络入侵者的最有效机制,阻挡基于网络的攻击的功能也日趋 完善。防火墙的发展阶段包括访问控制列表、利用 代理服务、状态检测三个阶段。访问控制列表——路由器和网关基于来源和目标IP地址和 连接所用协议作出决策。每种协议与不同的端口号相干 联,比方 端口80用于HTTP,端口110用于邮局协议(POP)。除 用于Web访问的HTTP和用于电子邮件的简单邮件传输协议(SMTP)等标准协议外,许多网关阻挡其它各种访问。
利用 代理服务——利用 代理防火墙是一种利用 软件,在网络和代理服务器之间的服务器上运行,比方 代理Web服务器的HTTP防火墙。从外面来看,代理防火墙所运行的HTTP服务器犹如 目标服务器;从里面来看,它又犹如 提出要求 的客户浏览 器。这类 “中间服务器”为安全管理员提供了对接受或阻挡哪一种 流量肯定 规则的机会。结实 的利用 代理防火墙需要运行它所防御的每种利用 的实例,包括Web服务器、数据库服务、IRC、FTP、Telnet、电子邮件、Morpheus及企业的定制利用 。利用 代理服务在防火墙市场未能获得 成功是由于 需要处理众多的利用 。另外 ,调用利用 会大大增加时延,因此 没法 实现线速网络处理。将来,企业多半不再使用基于软件的利用 代理防火墙。
状态检测——网关防火墙面临的其中一个挑战就是吞吐量。开发状态检测功能是为了让规则能够应用 到会话发起进程 ,从而提高吞吐量。状态检测防火墙查看包头后,根据规则集作出决定。阻挡或允许访问的决定适用于该会话后来的所有包(会话则由来源、目标地址、协议和时间因素肯定 )。状态检测防火墙是一种包处理器,这类 网络设备 能够扩大 ,以适应因特网数据中心及某些企业所需的千兆速率。但是 ,利用 防御需要辨认 有效载荷内容的更强功能及线速检测功能。Web服务将需要高速分析XML及简单对象访问协议(SOAP)对象。对这类 利用 实行 安全策略就需要全面检测包有效载荷的功能。状态防火墙技术唯有 不断发展才能满足这类 新需求。
深度包检测将成为防火墙发展的下一个阶段。近期最具破坏性的网络攻击如红色代码和尼姆达都利用了利用 存在的漏洞,这加大了对利用 防火墙的需求。说到保护系统免受类似尼姆达的攻击,众多的利用 代理收效甚微。将来,只依托 代理或状态包检测防火墙的企业遭到利用 层攻击破坏的机率两倍于采取 先进的深度包检测防火墙方案的企业。
Gartner认为,代理系统对阻挡将来的攻击并不是 相当 重要。将来防火墙需要更加深入监控信息包流,查出歹意 行动 ,并加以阻挡。市场上的包检测解决方案必须增加 功能(如特点 检测)寻觅 已知攻击,并知道甚么 是“正常”流量(基于行动 的系统),和 阻挡协议的异常行动 。
最近防火墙厂商的动态表明,防火墙的这个发展阶段已 到来。比方 说,Check Point的SmartDefense使Firewall-1能够查找常见攻击,并抛弃 与之有关的会话。NetScreen收购OneSecure后,把深度包检测功能集成到了其利用 特定的集成电路防火墙设备 。TippingPoint、NetContinuum、Fortinet和iPolicy等新兴厂商也在利用分析包有效载荷以实行 安全规则的功能。
Web服务将迫使边界防御机制提高辨认 允许哪类流量以代码如SOAP元素或控制消息如XML语句等情势 通过端口80访问网络的能力。防火墙厂商就要提供能控制这类 流量的解决方案。