瞭解防火牆的“發胖”與“發威”

來源:互聯網
上載者:User

  防火牆急速“長胖”為什嗎?

  由於防火牆在網路中所處的重要位置,因此,人們對防火牆可以說是寄予厚望。現在防火牆正在不斷增加各種各樣的新功能,因此防火牆正在急劇“長胖”。

  存取控制手段不斷增加

  防火牆現在正由最初的簡單IP/PORT判定控制,發展到通訊報文協議頭的各部分,以及通訊協定的應用程式層命令、使用者規則、流量控制、代理控制、地址轉換控制、串連數量控制和曆史狀態控制(狀態檢測)等。

  存取控制功能不斷增加

  使用者對防火牆新的存取控制功能不斷提出新的要求,因為這些功能在防火牆均能實現,並且還較簡單;另外在經濟上,這意味著低成本,於是在防火牆上出現了很多網路互連的功能,如NAT、地址映射、頻寬管理、計費功能。

  VPN正在成為新的亮點

  VPN可以為跨公網的內部通訊提供安全平台,成為在互連網應用中的一大亮點。防火牆首當其衝承擔了此功能,許多防火牆都可以實現此功能,並且將其作為一標準功能發布。

  入侵檢測成為使用者理所當然的要求

  很多使用者將安全寄託在防火牆上,自然要求防火牆能夠成功檢測對內部網路構成威脅的各種

  攻擊行為並期望阻止進一步的攻擊行為,如DoS/DDoS攻擊等。

  審計是一種重要的安全措施

  審計管理可以監控通訊行為和完善安全性原則,對入侵者還是一種有效威懾。強大、高效而方便的審計功能在防火牆的功能發展中可演繹的內容很多,形成了形形色色的審計介面和審計形態。

  防火牆自身要不斷髮展,同時,還要適應已經處於運行狀態的各種類型的不同使用方式情節、不同結構和不同配置的網路環境,這就使得防火牆越來越“胖”。

  防火牆“胖”了好用嗎?

  防火牆已經在很多方面作了巨大的努力,在功能上豐富了很多,它正承載著使用者們的眾多期望向“大而全”成長。很多網路系統中也使用了防火牆,並進行了有效管理,似乎防火牆正在成為網路安全的王中之王。可事實呢?

  “五一”期間的中美駭客大戰中,大批網站被入侵,首頁被改得面目全非。作為盾牌,防火牆首當其衝。其實,之前很多使用者本把希望寄託在防火牆上,但防火牆不堪重負,似乎有辱使命。在有防火牆保護情況下,分析這次被入侵的網站,從主要的日誌記錄及監控內容看,幾乎都是利用了HTTP服務本身的漏洞或脆弱性,其中使用最多的是針對Windows NT/2000的Unicode漏洞攻擊,防火牆所禁止的訪問事實上並未發現任何突破。對於Unicode攻擊,其實在防火牆上可以通過定義HTTP的URL過濾策略,讓防火牆識別HTTP通訊中的URL請求來加以控制。只不過需要在防火牆上定義很多規則。

  從原理上說,抵禦這些攻擊在防火牆上的實現並不複雜,但在防火牆的管理上會增加大量的工作,管理者需要不斷地升級識別庫,識別庫的維護更是需要大量的工作。

  對於防火牆本身,面對越來越大的識別庫,要求防火牆的效能逐漸增高,或者開始就預留較大的處理能力。但上述實現要求防火牆能在通常的包緩衝隊列中就能發現攻擊行為,而包緩衝隊列不能太長,否則對使用者而言,將表現為很長的延時,這種處理是不可行的。如病毒監測,不能在防火牆上緩衝一個兆級的檔案以便成功檢查並處理病毒,如果真有病毒,使用者還可能諒解,但如果最終檢查的結果為無病毒,使用者必然不能接受。

  要“發威”須以防火牆為核心構建安全體系!

  顯然,如果防火牆能和IDS、病毒檢測等相關安全系統聯合起來,充分發揮各自的長處,協同配合,就能共同建立一個有效安全防範體系。簡單地說,相關專業檢測系統專責於某一類安全事件的檢測,一旦發現安全事件,則立即通知防火牆;在防火牆上,要禁止某一通訊行為,可以說是簡單而準確的,因此,充分發揮各專業廠商的技術優勢,形成有機的整體安全系統,這樣的安全系統不但有效,而且還具備一定的自動智能。

  以防火牆為核心形成開放的安全應用體系將形成一種防火牆系統的發展方向。防火牆在這一體系中充當主體角色,同時它也是一個服務中心,將得到其他安全產品的大力支援,真正成為名副其實的防火牆系統。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。