|
下一代防火墙 慧眼识应用
http://www.cww.net.cn 2013年7月1日 09:34
通信世界网讯(CWW) 众所周知,国际著名IT研究与咨询机构Gartner于2009年提出了下一代防火墙定义,作为其核心理念之一,对应用层内容的深度识别,成为了入侵防护、一体化安全等其它下一代防火墙特性的支撑基础。 虽然自Gartner发布定义以来,国内外众多安全厂商先后推出了自己的下一代防火墙产品,并均对应用识别部分给出了自己的理解和诠释。然而,这些对应用识别的理解不管从功能上,还是侧重上均存在着不小的差异。在这种背景下,符合下一代防火墙特征定义的真正的应用识别能力到底应该是什么样子?如何从根本上解决应用识别不准,识别不全,不易使用和管理的问题,从而保障用户网络的应用安全?本文将从必要性,多维、智能的识别方法,以及对未知应用识别等方面给出详细的解释和介绍,进而使读者对下一代防火墙到底应如何识别应用有一个全面、准确的了解。 为什么要识别应用 随着以WEB2.0为代表的社区化网络时代的到来,互联网进入了以论坛、博客、社交、视频、P2P分享等应用为代表的下一代互联网时代,用户不再是单向的信息接受者,更是以WEB应用为媒介的内容发布者和参与者,在这种趋势下,越来越多的应用呈现出WEB化,据调查显示超过90%的网络应用运行于HTTP协议的80和443端口,大量应用可以进行端口复用和IP地址修改。 然而,由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。所以对于WEB2.0应用来说,传统防火墙看到的所有基于浏览器的应用程序的网络流量是完全一样的,无法区分各种应用程序,更无法实施策略来区分哪些是不当的、不需要的或不适当的程序,或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议,会导致阻止所有基于web的流量,其中包括合法商业用途的内容和服务。即便是对授权通过的流量也会因为不能细粒度的准确分辨应用,而使针对应用的入侵攻击或病毒传播趁虚而入,使用户私有网络完全暴露于广域网威胁攻击之中。 综上所述,在新一代网络技术发展和新型应用威胁不断涌现的现有环境下,对网络流量进行全面、智能、多维的应用识别需求已迫在眉睫,也必将成为下一代防火墙所必须具备的基本和核心理念之一。 全面、多维的识别应用 每一种网络应用都应具备多方面的属性和特质,比如商业属性、风险属性、资源属性、技术属性等等,只有从各个角度多维、立体的去识别一个应用才会更加全面和准确。举例来说,从商业属性来讲,可以是ERP/CRM类、数据库类、办公自动化类或系统升级类应用;从风险属性来讲,可以是1至5级不等的风险级别分类,风险级别越高的应用(如QQ/MSN文件传输等)其可能带来的恶意软件入侵、资产泄密的可能性就越高;从资源属性来讲,可以是容易消耗带宽类、容易误操作类或易规避类的应用等;而从技术属性来讲,又可以是P2P类、客户端/服务器类或是基于浏览器类的应用等。 对应用的多维、立体识别不仅是下一代防火墙做到全面、准确识别应用的必须要求,更是辅助用户管理应用、制定应用相关的控制和安全策略的关键手段,从而将用户从晦涩难懂的技术语言抽离出来,转而采用用户更关心和可以理解的语言去分类和解释应用,方便其做出正确的控制和攻防决断。下一代防火墙必须也应该要做到这一点,一种重要的实现手段就是---应用过滤器。 应用过滤器的关键特点是提供给用户一种工具,让用户通过易于理解的属性语言去多维度的过滤和筛选应用,经过筛选过滤后得到的所有应用形成一个应用集,用户可以对此应用集针对性的进行统一的访问控制或安全管理。举例来说,作为边界安全设备,用户希望在允许内网用户与外网进行必要的邮件、IM即时通信、网络会议通信的同时,能够对其中的中、高级风险类应用进行安全扫描和防护,保证通信安全,杜绝威胁入侵。要做到这点用户只要通过应用过滤器,在商业属性维度给出选择,这里选择协作类应用(包括邮件、IM通信、网络会议、社交网络、论坛贴吧等应用),再在风险属性维度给出选择,这里可选择3级以上风险等级,应用过滤器会根据选择过滤、筛选出符合维度要求的所有应用(这里包括雅虎mail、QQ邮箱、MSN聊天、WebEx会议、人人网论坛等几十个应用),并以分类页表的形式呈现给用户,用户还可以通过点击应用名称查看每个应用的详细描述信息。接下来在一体化安全策略中,用户在指定好IP、安全区、时间、用户等基本控制条件,以及指定好IPS、防病毒、URL过滤、内容过滤等安全扫描条件后,只要选定刚才的应用过滤器,即可对所有内外网协作且高风险类应用进行全天24小时的安全扫描和防护,当发现攻击威胁时及时阻断并审计记录,保障用户的应用安全无忧。 [1] [2]
来源:通信世界网 编 辑:高娟
关键字搜索:防火墙
猜你还喜欢的内容
文章评论【查看评论()】
|
企业黄页 会议活动 |