日期:2018-07-10 点击: 关键词:防火墙,传统防火墙
第一代防火墙是基于包过滤的防火墙,时至今日这类防火墙仍在网络交换机和路由器中以访问控制列表(ACL)的形式发挥着作用。基于包过滤的防火墙检查每个报文,并简单的根据Ethernet和IP头中的字段匹配进行过滤,但不维护协议或应用的状态信息。目前,基于包过滤的防火墙仅存在于资源有限但要求高吞吐量的网络设备中。
防火墙,传统防火墙
上世纪90年代出现了状态检测防火墙。大多数状态检测防火墙运行于OSI的三层和四层。这种防火墙引入了被称为“会话”的流量状态用于追踪开放连接。会话是基于五元组(源/目的IP和端口,IP协议号)进行识别的。即使使用的是单向策略,建立起的会话也允许双向流量。会话还可以用于维护其他三层和四层信息,如TCP状态和NAT转换信息。除了维护会话外,状态检测防火墙还需要了解一些应用协议。有些应用(如FTP)在动态选择的TCP/UDP端口上打开临时会话,还有些应用(如VOIP协议)可能需要打开到第三方的会话。为了在上述环境中保持应用的可用性,状态检测防火墙支持应用层网关(ALG)。ALG检查应用协议的内容并动态生成临时规则允许创建这些会话。
智能时代的防火墙,又需要哪些技术来满足网络安全发展的需要呢?智能防火墙的特性可以概括为:对于网络状态,要有学习能力;对于网络产生的数据,要有挖掘能力;对于网络的安全威胁,要能做到预警;对于安全事件,要能做到可视化管理。
下一代智能防火墙(iNGFW)以全网健康指数(NHI)对网络健康状态打分,以行为信誉指数(BRI)对用户及服务器状态打分,然后对“高危”人员或者“高危”服务器实行相应的预警或有效的控制。有了这样的信誉评分制,管理员就可以根据用户的信誉分数来动态调整策略,决定是否让其进入网络。这个思路的重要意义在于:将“信誉”作为第八元组引入防火墙的控制,使防火墙在原有的防护基础上增加了对于网络风险的控制。将大数据关联分析的手段用在防火墙平台上,可以充分发挥防火墙兼具检测、监控和控制能力于一体的优势,更好地实现联动并实时控制风险,在一台设备上就可实现有效的控制闭环,管理员可以基于感知到的风险进行安全管控,在事发之前防范安全问题或系统网络中断,节省客户投资。
企业通讯
