你的企業(yè)打算部署下一代防火墻嗎?這里提供了一些采購時(shí)需要重點(diǎn)關(guān)注的地方以供參考,以期能幫助你購買到合適的下一代防火墻產(chǎn)品。
防火墻是最基本的網(wǎng)絡(luò)安全控制機(jī)制之一,在過去二十年里,防火墻已從一個(gè)簡單的包過濾設(shè)備發(fā)展成為一個(gè)能夠同時(shí)管控大量網(wǎng)絡(luò)通信狀態(tài)的復(fù)雜系統(tǒng)。然而盡管與以前相比功能更為先進(jìn)、吞吐量更高,防火墻還是不可避免地遭遇到了發(fā)展瓶頸。新興威脅瞬息萬變,而傳統(tǒng)的端口和IP地址的過濾不再適用。在此背景下,越來越多的企業(yè)把希望寄托于能夠提供更多更新功能的下一代防火墻(NGFW)上。
NGFW必備功能
當(dāng)你打算進(jìn)行下一代防火墻采購時(shí)(不管是出于替代現(xiàn)有防火墻/入侵檢測系統(tǒng)還是用作單獨(dú)的安全控制點(diǎn)的目的),都有一些你將會用得上的且能發(fā)揮最大效用的功能。具體如下:
應(yīng)用識別和控制。任何下一代防火墻最重要的功能就是要能夠正確地理解、解碼以及分析應(yīng)用流量來檢測已知或未知威脅。絕大部分關(guān)鍵業(yè)務(wù)應(yīng)用的策略變化設(shè)計(jì)的很微妙,用以支持不同類型的功能。防火墻需要能夠察覺到這些細(xì)微的變化以做出恰當(dāng)?shù)牟呗詻Q策。任何高效的下一代防火墻必須支持細(xì)顆粒度的應(yīng)用策略部署及管控,同時(shí),也要能更新至允許設(shè)備評估規(guī)則和持續(xù)應(yīng)用它們的分析和處理引擎,而無論流量模式怎樣隨時(shí)間變化。
協(xié)議解析和異常檢測。任何下一代防火墻必須要能快速地將協(xié)議解析至現(xiàn)有組成部件中去。很多攻擊者使用復(fù)雜的隧道技術(shù),將指定協(xié)議或敏感數(shù)據(jù)嵌入其他協(xié)議中。這樣一來,下一代防火墻需要判斷出ICMP、HTTP以及其他協(xié)議類型是真實(shí)的還是攻擊者人為制造的。
用戶識別。所有的企業(yè)級下一代防火墻產(chǎn)品都應(yīng)該具備與各類目錄資源(比如說Active Directory以及現(xiàn)有環(huán)境中的相關(guān)活動(dòng))連接的功能用以進(jìn)行用戶識別。理想情況下,系統(tǒng)應(yīng)該能將IP地址映射到系統(tǒng)名稱以及用戶登錄上去。防火墻上基于角色的策略能用于特殊用戶檢測。這就使得防火墻能夠判斷出是否有與協(xié)議和應(yīng)用有關(guān)的不尋常的流量出現(xiàn),即使它追蹤的使用模式是基于特定的用戶和組的也無妨。此種情形下,對于打算進(jìn)行采購的企業(yè)來說,需要考慮的最重要的一點(diǎn)就是產(chǎn)品對于用戶資源庫類型的支持。
速度和性能。除理解和過濾流量之外,評估NGFW的另一項(xiàng)關(guān)鍵的因素就是速度?紤]到對于任何下一代防火墻設(shè)備來說,數(shù)據(jù)包的處理和分析都非常密集,因而流量延遲是一個(gè)主要的關(guān)注點(diǎn)。很多廠家鼓吹其產(chǎn)品可以保持10 Gbps或更快的速度,不過在決定購買之前企業(yè)還是要進(jìn)行徹底地檢測以得出實(shí)際的速度。
NGFW優(yōu)異的特性
與必備功能不同,以下是只有某些NGFW產(chǎn)品才具有的優(yōu)異的特性:
URL過濾。一些防火墻可以執(zhí)行基于URL的內(nèi)容過濾以及站點(diǎn)信譽(yù)分析。盡管不如單獨(dú)的內(nèi)容過濾產(chǎn)品(比如來自Websense、BlueCOAt或其他廠商的產(chǎn)品)那樣強(qiáng)大、特征明顯,但URL過濾能將應(yīng)用及流量分析方面的功能添加至已經(jīng)運(yùn)行的入侵檢測過程中。
SSL終止和檢驗(yàn)。攻擊者非常聰明,他們制作惡意軟件和攻擊套件,使用像SSL之類的加密通道來運(yùn)送敏感數(shù)據(jù)和機(jī)器命令。一些組織可能會認(rèn)為這應(yīng)該是下一代防火墻的一項(xiàng)必備功能,不過很多企業(yè)還沒有準(zhǔn)備好對SSL進(jìn)行監(jiān)管或者因?yàn)槟承┡c隱私相關(guān)的原因無法做到。
惡意軟件虛擬沙盒。一些更新的下一代防火墻產(chǎn)品已經(jīng)開始將惡意軟件沙盒和分析集成在產(chǎn)品中,這將有益于檢測出更為高級的惡意軟件感染。
此外,也可以將易于使用和部署、與現(xiàn)有環(huán)境中的工具和技術(shù)集成以及可以默認(rèn)設(shè)備的用戶登錄等特性考慮在內(nèi)。
總結(jié)
下一代防火墻正變得越來越強(qiáng)大,并在當(dāng)今的大多數(shù)環(huán)境中都能增強(qiáng)或取代太過傳統(tǒng)的防火墻技術(shù)。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:下一代防火墻采購須知
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839515981.html