下一代防火牆 決勝於應用層

2021-09-23 04:52:32 字數 2126 閱讀 2660

本文講的是下一代防火牆 決勝於應用層,網際網路+時代,海量應用隱藏億萬風險。網路失陷,也許只是源於一次網頁瀏覽,或開啟一封郵件。傳統的包過濾型或狀態檢測型防火牆雖然可以有效防範各種網路層的攻擊,但對於大多數利用web應用漏洞進行的攻擊卻束手無策。面對新威脅、新挑戰,下一代防火牆的核心安全能力體現在**?

幾乎沒有人懷疑防火牆在企業所有的安全裝置採購中所佔據的重要位置,但傳統的防火牆並沒有解決網路主要的安全問題。從實現技術來講,傳統的防火牆主要是包過濾防火牆,實現的是網路層控制 — 截獲網路中的資料報,根據協議進行解析,最後利用包頭的關鍵字段和預設的過濾規則做對比,決定是否**該資料報。隨著應用層各種應用的豐富,越來越多的應用層協議出現,隨之而來的是黑客可以越來越多的直接在應用層發起攻擊。

根據著名調查機構gartner的統計,近年來75%的網路攻擊都是發生在應用層上。甚至之前典型的以網路層流量「制勝」的ddos攻擊,近年來也有向應用層下移的趨勢 — 截止2023年,四分之一以上的ddos攻擊都是基於應用程式的,而且這個比例還在逐年提高。與之形成鮮明對比,隨著網際網路技術的迅速發展,關鍵業務活動越來越多的依賴於網際網路應用,這也就意味著暴露越來越多的風險隱患點。

新一代安全 角力新戰場

傳統防火牆主要針對通用協議進行處理,無力對應用協議包進行分析,難以防範更具針對性的網路攻擊。隨著技術的發展進步和網際網路+時代的業務需求,現在的防火牆使用者亟需對資料報進行更深層次的檢查和過濾。例如,使用者可以通過qq傳輸檔案,而傳輸的檔案有可能就是引入風險的惡意檔案。在這種業務場景下,即使傳統防火牆可以通過埠號確認了執行的qq服務,也無法做到檔案層面的深度檢測,更不用提還有很多執行在非標準埠上的應用。

儘管現在就斷言傳統的以策略為核心的防護體系已經完全失效還為時過早,但在黑客的攻擊手段從網路層攻擊為主向web攻擊為主轉換的大背景下,我們可以得出乙個結論:缺少了應用層檢測和防護能力的防火牆,不可避免的面臨著「廉頗老矣,尚能飯否」的窘境;新一代安全的關注點,就在於應用安全,就在於針對web應用層提供完整的解決方案。

下一代防火牆如何化解應用層危機

新安全形勢下,防火牆使用者需要對全網所執行的應用有更深的理解和認知。近年來較新的安全裝置很多都提供了深度報文檢查(dpi)、精細化管控和應用感知功能,幫助企業管控網路邊界。根據gartner研究總監eric maiwald的研究結果,「現代防火牆或多或少都有些下一代的基因在裡面,包括整合的入侵檢測功能(ips)和更好的應用控制能力。這些似乎已經成為了當今防火牆裝置的標配,幾乎所有的主流安全廠商都能娓娓道來一段有關下一代的故事」。但故事終究是故事,比聽故事更重要的是理解如何評估「下一代」,以及是否應該遷移到「下一代」。

對異常行為的實時檢測和分析是促使很多使用者公升級到下一代防火牆的主要動力。很多it主管都反映,部署了下一代防火牆後最明顯的變化是對失陷主機的檢測 — 有些企業在部署當天便能發現內網中的殭屍網路和已被入侵的主機。這得益於下一代防火牆可以檢測資料報的有效荷載並根據這些實際內容做出相應決定,還能提供更好的內容過濾能力 — 可以審查完整的網路資料報,而不僅僅是網路位址和埠,這就使得下一代防火牆有更強大的日誌記錄功能,例如可以記錄某個特定程式發出的命令這樣的日誌事件,這為識別應用的異常行為提供了很有價值的資訊。

下一代防火牆不是萬金油

與傳統的基於特徵的檢測引擎不同,下一代防火牆與生俱來的基因是感知使用者和應用的行為,歸根結底是要理解網路報文的上下文背景。儘管這省去了特徵庫,但並不意味著下一代防火牆從此擺脫了定期公升級的繁瑣工作;相反,下一代防火牆更需要不間斷的學習日益增長的應用指紋特徵以保持對應用識別的時效性。由於這類指紋特徵不依賴於埠、協議等易於識別的特徵,有時甚至可能還會包含特定報文的內容,因此維護下一代防火牆的規則集是一項更為繁重的任務。此外,對於非通用型的應用,如很多大型企業定製開發的私有應用,下一代防火牆很可能會無法識別。在這種情況下,使用者仍需手動新增應用指紋特徵,且在每次私有應用公升級後可能還要重複這一過程。下一代防火牆如此的不智慧型,會讓很多使用者對「下一代」印象大打折扣。

小結下一代應用層防火牆技術克服了傳統「邊界防火牆」的缺點,整合了ips、防病毒等安全技術,實現從網路到伺服器以及客戶端全方位的安全解決方案,滿足企業實際應用和發展的安全要求。展望未來,隨著更加隱蔽的應用層攻擊不斷出現,未來防火牆將會面臨更多協議的解析、更多應用的識別,因此未來應用層防火牆必將向著更大的防護功能面和更細緻的粒度管控這個方向發展。

下一代防火牆將改變防火牆管理規則

本文講的是下一代防火牆將改變防火牆管理規則,隨著企業越來越多地將下一代 防火牆整合到其安全部署中,他們將能夠更精準地控制應用程式和使用者行為,但同時,這也提高了錯誤配置和變更管理事故的可能性。並且,如果 防火牆管理本身已經是傳統防火牆組合中的乙個問題的話,這將進一步增加複雜性。redseal net...

下一代防火牆進入大規模部署階段

下一代防火牆應安全局勢和市場需求而生,可以對應用 業務和使用者完全識別並加以控制 可以幫助企業降低管理難度 減少運維成本,在安全技術和管理策略方面幫助企業使用者實現價值。從整體安全市場來看,下一代防火牆對傳統防火牆和utm的替換正在快速進行。根據idc在2014年5月發布的資料顯示,2013年下一代...

梭子魚發布下一代防火牆新品

摘要 近日,梭子魚在京發布了他們的下一代防火牆 ng firewall 產品,這是一款安全 低成本 可集中性管理的私有雲的防護產品。作為梭子魚2011年戰略產品之一,ng firewall除了使用狀態包過濾技術之外,還提供七層的應用控制技術,可以對應用層的業務加以識別 過濾和控制。新網際網路時代,使...