文件名称:下一代防火墙的定义-opendds-中文官方教程ver3.12
文件大小:1.36MB
文件格式:PDF
更新时间:2024-06-29 06:43:21
华为 USG6000 防火墙
1 概述 1.1 网络威胁的变化及下一代防火墙产生 随着网络的高速发展,应用的不断增多,Web2.0 的普及,不断增长的带宽需求和新应 用架构(如 Web2.0),正在改变协议的使用方式和数据的传输方式,越来越多的应用在少 量的端口上进行传输。新的威胁,如网络蠕虫、僵尸网络以及其他基于应用的攻击不断 产生,安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶 意执行程序上。 传统防火墙主要是基于端口和协议来识别应用,基于传输层的特征来进行攻击检测和防 护。面对越来越多的应用使用少量的端口,或者一些应用使用非标准端口,基于端口/ 协议类的安全策略,将不再具有足够的防护能力。传统防火墙,也不具有防御基于应用 的威胁的能力,如网络蠕虫、僵尸网络传播的威胁。 不断变化的业务流程、企业部署的技术,以及威胁的发展,正推动对网络安全性的新需 求。新的安全需求,推动下一代防火墙的产生。 1.2 下一代防火墙的定义 Gartner 将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机 控制。Gartner 使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用 IT 的 方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。 NGFW 至少具有以下属性: 支持联机“bump-in-the-wire”配置,不中断网络运行。 发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性: − 标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、 VPN 等等。 − 集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和 面向威胁的特征码。IPS 与防火墙的互动效果应当大于这两部分效果的总和。例 如提供防火墙规则来阻止某个地址不断向 IPS 加载恶意传输流。这个例子说明, 在 NGFW 中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方 案。集成具有高质量的 IPS 引擎和特征码,是 NGFW 的一个主要特征。