首页 >> 通信技术 >> 要闻 >> 正文
 
如何让网络空间多维化——思科下一代防火墙
http://www.cww.net.cn   2013年5月21日 14:30    

通信世界网讯(CWW)谈到人类生活的空间和无限的宇宙,大家都会有很大的兴趣和很强的神秘感,认为多维空间的环境中,存在我们未知的事物,但从人的肉眼中只能看到是个长、宽、高三个维度所构成的空间,最多我们还可以加入时间,让时空互相联系,所以对于我们来说生活在一个四维时空。说道这里,让我们也想起,近年的一部大片诺兰的“盗梦空间”他突破了时空的限制,让电影中的时间与空间随意的跳跃交错,让人不得不佩服 “诺兰改变电影结构”的这句话。但网络是否也能空间多维化,让一个个数据包不再是二级制数字,而是一个真实的网络空间表现!

我们先来纵观一下防火墙的发展,我们看到最早人们为了防护火灾或者大风,都要建立高于屋面的墙面,这样高高的墙面,可以防止在相邻民居发生火灾的情况下,起到隔断火源的作用。同样我们把网络中进行安全隔离,防止由于一些区域电脑感染病毒,而蔓延到整个业务网络,而且如果部署在内部网络和互联网的边缘,也可以起到防止外部非法流量访问业务网络。

早期的防火墙,主要通过查看数据流的源IP地址、目的IP地址和交互端口,综合这些因素进行安全的行为判定。由于这些固定方式的安全查看也带来很多的问题,不能支持动态端口协商的应用处理,像某些应用程序在协商信道和数据信道并不是固定的端口,数据端口的使用往往需要协商后获得,比较随机,这对早期的防火墙是很大的挑战。还有些情况,用户IP地址经常会被篡改,所以通过IP地址限制特定用户是无法实现的。

为了解决这些问题,防火墙做了一次技术的变革,增加了深度包检测的功能,对动态端口的应用协议进行深度结构化检测,动态协商的数据端口采用动态放行方式。同时也对数据认证源进行改进,结合微软活动目录,加强与身份认证系统的互动,让用户认证不再仅通过IP地址进行识别。

看似这样的改变解决了我们面临的问题,但技术的发展是永远不会止步的,当今互联网的主要趋势正在向应用发展,带来虚拟化、智能终端、BYOD等新的概念和技术。如今,一般员工越来越习惯在移动设备上使用消费者应用访问基于 Web 的服务,来满足个人和工作两方面的需求。这些员工希望能够在企业网络上使用其常用的应用。IT 消费化也已成为趋势 - 员工希望能够在工作场所轻松使用其个人手机、平板电脑和笔记本电脑,而且不用担心会遭到黑客攻击。这次技术的变革也带来我们对安全更高的需求,我们更需要一个把用户真实环境中的信息作为安全的因数,体现在网络世界中。

思科ASA5500X下一代防火墙对网络安全进行了全新的诠释,不再是一个IP地址就代表了一个用户,一条访问控制列表就能保证网络的安全,而是把扁平的线性网络重新构建成一个真实的生活空间。我们从人的肉眼中能看到是个长、宽、高三个维度所构成的空间,而思科下一代防火墙对这个空间进行了更详细的描绘,添加了用户接入的使用设备、接入网络中所处的物理位置、接入时间、接入使用的网络类型。同时结合用户访问的网站信誉度、使用的哪些应用软件等因子,让一个真实的用户所处的多维空间呈现在网络中。

试想如果要在网络中构建一个真实的多维空间,哪些是我们需要的关键技术呢?首先大家都会想到用户识别,访问用户是什么身份、他会有哪些权限、如何去鉴别用户?这个需求是很好解决的,我们可以结合微软活动目录等多种的后台数据库,有效的实现了用户定位,帮助网络管理人员真正达到活动目录认证/防火墙策略和身份的对应,使得策略身份化,访控更加精细,管理更加方便。

[1]  [2]  
关注通信世界网微信“cww-weixin”,赢TD手机!
来源:通信世界网   编 辑:高娟
分享到:
       收藏   打印  论坛   推荐给朋友
关键字搜索:思科  防火墙  
猜你还喜欢的内容
文章评论查看评论()
昵称:  验证码:
 
相关新闻
即时新闻
通信技术
最新方案
企业黄页
会议活动