-
中興防火墻
中興防火墻未來趨勢:
應用層安全
必須具有豐富的應用識別,才能確保安全策略更精細,更可視。
動態(tài)更新的應用識別技術(shù)。隨著網(wǎng)絡(luò)應用的快速增長,基于各種協(xié)議的網(wǎng)絡(luò)應用日趨增加,新一代防火墻必須能夠依據(jù)協(xié)議特點識別各種網(wǎng)絡(luò)應用和網(wǎng)絡(luò)動作,并且內(nèi)置到防火墻內(nèi)部且應用和動作的識別可以動態(tài)更新。
用戶識別技術(shù)。可以根據(jù)用戶類型、用戶部門、用戶權(quán)限、IP組等不同分類對網(wǎng)絡(luò)用戶進行分類,使每一類用戶有不同的網(wǎng)絡(luò)權(quán)限。同時應該與AD和RADIUS、單點登錄、智能卡等結(jié)合完善接入用戶的認證。
內(nèi)容級防護
全面的內(nèi)容防護至少要包括漏洞掃描、WEB防護、內(nèi)容過濾三個內(nèi)容。漏洞掃描要能發(fā)現(xiàn)對操作系統(tǒng)、應用系統(tǒng)、網(wǎng)絡(luò)協(xié)議、用戶設(shè)備漏洞的防護,對利用漏洞進行的攻擊進行阻斷。WEB防護功能應包括網(wǎng)站攻擊防護、應用隱藏、口令保護和權(quán)限控制。內(nèi)容過濾功能應該能顯現(xiàn)對關(guān)鍵字、URL集、病毒、木馬、惡意控件/腳本的過濾。
應用層處理
如果使用傳統(tǒng)的硬件架構(gòu)方式對報文進行處理,不僅對硬件要求高,同時應用層報文處理會大量占用設(shè)備資源,很難突破千兆處理。必須對防火墻進行新架構(gòu)設(shè)計,拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復計算工作的硬件設(shè)計,采用了更加適合應用層靈活計算能力的多核并行處理技術(shù);在系統(tǒng)架構(gòu)上也要放棄了UTM多引擎,多次解析的架構(gòu),需要采用了更為先進的一體化單次解析引擎,將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應用層威脅統(tǒng)一進行檢測匹配,能夠一次對報文實現(xiàn)從網(wǎng)絡(luò)層到應用層的解析,達到萬兆處理能力。
應用層安全
必須具有豐富的應用識別,才能確保安全策略更精細,更可視。
動態(tài)更新的應用識別技術(shù)。隨著網(wǎng)絡(luò)應用的快速增長,基于各種協(xié)議的網(wǎng)絡(luò)應用日趨增加,新一代防火墻必須能夠依據(jù)協(xié)議特點識別各種網(wǎng)絡(luò)應用和網(wǎng)絡(luò)動作,并且內(nèi)置到防火墻內(nèi)部且應用和動作的識別可以動態(tài)更新。
用戶識別技術(shù)。可以根據(jù)用戶類型、用戶部門、用戶權(quán)限、IP組等不同分類對網(wǎng)絡(luò)用戶進行分類,使每一類用戶有不同的網(wǎng)絡(luò)權(quán)限。同時應該與AD和RADIUS、單點登錄、智能卡等結(jié)合完善接入用戶的認證。
內(nèi)容級防護
全面的內(nèi)容防護至少要包括漏洞掃描、WEB防護、內(nèi)容過濾三個內(nèi)容。漏洞掃描要能發(fā)現(xiàn)對操作系統(tǒng)、應用系統(tǒng)、網(wǎng)絡(luò)協(xié)議、用戶設(shè)備漏洞的防護,對利用漏洞進行的攻擊進行阻斷。WEB防護功能應包括網(wǎng)站攻擊防護、應用隱藏、口令保護和權(quán)限控制。內(nèi)容過濾功能應該能顯現(xiàn)對關(guān)鍵字、URL集、病毒、木馬、惡意控件/腳本的過濾。
應用層處理
如果使用傳統(tǒng)的硬件架構(gòu)方式對報文進行處理,不僅對硬件要求高,同時應用層報文處理會大量占用設(shè)備資源,很難突破千兆處理。必須對防火墻進行新架構(gòu)設(shè)計,拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復計算工作的硬件設(shè)計,采用了更加適合應用層靈活計算能力的多核并行處理技術(shù);在系統(tǒng)架構(gòu)上也要放棄了UTM多引擎,多次解析的架構(gòu),需要采用了更為先進的一體化單次解析引擎,將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應用層威脅統(tǒng)一進行檢測匹配,能夠一次對報文實現(xiàn)從網(wǎng)絡(luò)層到應用層的解析,達到萬兆處理能力。
