2016防火牆新一代操作思路與進階應用方法淺析

buyaochitutu發表於2016-04-25
典型的以網路層流量“取勝”的DDoS進犯,這些年也有向使用層下移的趨勢 — 截止2013年,四分之一以上的DDoS進犯都是依據使用程式的,並且這個份額還在逐年提高。與之形成鮮明對比,跟著網際網路技能的迅速開展,要害事務活動不斷增加的依賴於網際網路使用,這也就意味著露出不斷增加的危險危險點。
新一代安全 角力新戰場
傳統防火牆首要關於通用協議進行處理,無力對使用協議包進行剖析,難以防備更具關於性的網路進犯。跟著技能的開展前進和網際網路+年代的事務需求,如今的防火牆使用者亟需對資料包進行更深層次的檢視和過濾。例如,使用者能夠經過QQ傳輸檔案,而傳輸的檔案有也許即是引入危險的歹意檔案。在這種事務場景下,即便傳統防火牆能夠經過埠號確認了運轉的QQ效勞,也無法做到檔案層面的深度檢視,更不用提還有許多運轉在非標準埠上的使用。
雖然如今就斷言傳統的以戰略為中心的防護體系現已徹底失效還為時過早,但在駭客的進犯手法從網路層進犯為主向Web進犯為主轉換的大布景下,我們們能夠得出一個結論:缺少了使用層檢視和防護才能的防火牆,不可避免的面對著“廉頗老矣,尚能飯否”的困境;新一代安全的重視點,就在於使用安全,就在於關於Web使用層供給完好的解決方案。
下一代防火牆怎麼化解使用層危機
有不止一個理由能夠讓下一代防火牆變成“下一代”,使用者身份感知才能、高可擴充套件性、使用感知才能(application awareness)都是下一代防火牆的典型標籤,但“使用感知才能”毫無疑問是最簡單相關到下一代防火牆的熱詞。使用感知這個概念,看起來現已很明晰,但在某種程度上又很有誤導性。說它現已明晰是因為下一代防火牆能夠將流量詳細相關到特定的使用上,說它具有誤導性是因為下一代防火牆的安全才能不該僅侷限於檢視辨認使用的流量,更主要的是作用於辨認的結果:有選擇性的阻斷或以別的方法約束對使用的使用,乃至是使用的子使用,而不是僅像傳統防火牆相同僅僅阻斷特定的埠和協議。
新安全形勢下,防火牆使用者需要對全網所運轉的使用有更深的瞭解和認知。這些年較新的安全裝置許多都供給了深度報文檢視(DPI)、精密化管控和使用感知功用,幫助公司管控網路鴻溝。依據Gartner研討總監Eric Maiwald的研討結果,“現代防火牆或多或少都有些下一代的基因在裡面,包括整合的侵略檢視功用(IPS)和非常好的使用操控才能。這些好像現已變成了當今防火牆裝置的標配,幾乎一切的幹流安全廠商都能娓娓道來一段有關下一代的故事”。但故事終究是故事,比聽故事更主要的是瞭解怎麼評價“下一代”,以及是不是應當遷移到“下一代”。
對反常做法的實時檢視和剖析是促進許多使用者晉級到下一代防火牆的首要動力。許多IT主管都反映,佈置了下一代防火牆後最顯著的改變是對淪陷主機的檢視 — 有些公司在佈置當天便能發現內網中的殭屍網路和已被侵略的主機。這得益於下一代防火牆能夠檢視資料包的有用荷載並依據這些實踐內容做出相應決議,還能供給非常好的內容過濾才能 — 能夠檢查完好的網路資料包,而不僅僅是網路地址和埠,這就使得下一代防火牆有更強壯的日誌記載功用,例如能夠記載某個特定程式宣佈的指令這麼的日誌事情,這為辨認使用的反常做法供給了很有價值的資訊。
更精密的使用層安全操控是下一代防火牆的另一個“殺手鐧”。在網路要挾更多的來歷自使用層這個大布景下,使用者對網路拜訪操控天然要提出更高的請求。怎麼準確的辨認出使用者和使用、阻斷躲藏安全危險的使用、確保合法使用的正常使用等疑問,現已變成現階段使用者所重視的焦點。但在網路使用高速開展的今日,超越90%的網路使用運轉在HTTP 80和443埠上,大量使用能夠進行埠複用和IP地址修正,致使IP地址不等於使用者、埠號不等於使用,傳統的依據五元組的拜訪操控戰略已無用武之地。下一代防火牆的使用者、使用視覺化技能,能夠依據使用的做法和特徵完成對使用的辨認和操控;假如能夠完成與多種認證體系(AD、LDAP等)無縫對接的話,還能夠進一步自動辨認出網路中當前IP所對應的使用者資訊,勾畫出人-內容-使用的立體畫像,滿意新一代安全的網路管控請求。
下一代防火牆不是萬金油
與傳統的依據特徵的檢視引擎不同,下一代防火牆與生俱來的基因是感知使用者和使用的做法,歸根到底是要了解網路報文的上下文佈景。雖然這省去了特徵庫,但並不意味著下一代防火牆從此擺脫了定時晉級的繁瑣作業;相反,下一代防火牆更需要不連續的學習日益增長的使用指紋特徵以堅持對使用辨認的時效性。因為這類指紋特徵不依賴於埠、協議等易於辨認的特徵,有時乃至也許還會包括特定報文的內容,因而保護下一代防火牆的規矩集是一項更為深重的使命。此外,關於非通用型的使用,如許多大型公司定製開發的私有使用,下一代防火牆很也許會無法辨認。在這種情況下,使用者仍需手動增加使用指紋特徵,且在每次私有使用晉級後也許還要重複這一程式。下一代防火牆如此的不智慧,會讓許多使用者對“下一代”形象大打折扣。
下一代使用層防火牆技能克服了傳統“鴻溝防火牆”的缺點,整合了IPS、防病毒等安全技能,完成從網路到效勞器以及客戶端全方位的安全解決方案,滿意公司實踐使用和開展的安全請求。展望將來,跟著愈加廕庇的使用層進犯不斷出現,將來防火牆將會面對更多協議的解析、更多使用的辨認,因而將來使用層防火牆必將向著更大的防護功用面和更詳盡的粒度管控這個方向開展。節選自qanda.ren/21/1/

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/30117771/viewspace-2087635/,如需轉載,請註明出處,否則將追究法律責任。

相關文章