克服“管就死,放就亂”的智能防火牆

來源:互聯網
上載者:User

  最新智能防火牆簡介和技術特徵

  防火牆已經被使用者普遍接受,而且正在成為一種主要的網路安全裝置。防火牆圈定一個保護的範圍,並假定防火牆是唯一的出口,然後防火牆來決定是允許存取還是封 鎖進出的包。傳統的防火牆有一個重大的理論假設—如果防火牆拒絕某些資料包的通過,則一定是安全的,因為這些包已經被丟棄。但實際上防火牆並不保證准許通過的資料包是安全的,防火牆無法判斷一個正常的資料包和一個惡意的資料包有什麼不同,而是要求管理員來保證該包是安全的。管理員必須告訴防火牆准許通過什麼,防火牆則依據設定的規則來准許該包通過,這樣管理員就必須承擔策略錯誤的安全責任。然而,傳統防火牆的這種假設對網路安全是不恰當的,安全效果也不好。把安全責任交給安全性系統管理員,實際上就沒有解決安全問題。新一代的防火牆應該加強允許存取資料的安全性,因為網路安全的真實需求是既要保證安全,也必須保證應用的正常進行。

  本文介紹的智能防火牆是一種更聰明、更智能的防火牆產品,它克服了傳統防火牆“一管就死,一放就亂”的狀況,修正了上述防火牆的重大假設。新的智能防火牆把“出口”的概念改變為“關口”的概念,所有經過“關口”的資料包都必須接受防火牆的檢查。與傳統防火牆採用的資料匹配檢查的技術不同,新的智能防火牆採用人工智慧識別技術來決定存取控制。智能防火牆比傳統的防火牆更安全,效率更高。

  傳統防火牆面臨應用難題

  目前的防火牆無論從技術上還是產品發展曆程上,都經曆了五個發展階段。第一代防火牆技術幾乎與路由器同時出現,採用了包過濾(Packet filter)技術。1989年,貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火牆,即電路層防火牆,同時提出了第三代防火牆—應用程式層防火牆(代理防火牆)的初步結構。1992年,USC資訊科學院的BobBraden開發出了基於動態包過濾(Dynamic packet filter)技術的第四代防火牆,後來演變為目前所說的狀態監視(Stateful inspection)技術。1994年,以色列CheckPoint公司開發出了第一個採用這種技術的商業化的產品。1998年,NAI公司推出了一種自適應代理(Adaptive proxy)技術,並在其產品Gauntlet Firewall for NT中得以實現,給代理類型的防火牆賦予了全新的意義,可以稱之為第五代防火牆。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。