如何比较和选择下一代防火墙

安全形势每天都在发生变化。例如,企业内部的变化就包括应用程序如何安全使用和通信。虽然从可用性的角度来看,这种变化在很多情况下是一个好处。但如果处理不当,它也有可能成为信息安全人员的灾难。

[[133008]]

为应对这种变化,企业防火墙的厂商们已经生产出了新的一代的防火墙设备,即下一代防火墙。这些设备在多个不同的方面都与传统的防火墙不一样。下面看一下这些不同点,并且看看其如何影响企业的网络安全。

什么是传统防火墙

传统防火墙是一种能够控制通信进出网络内部某个点的设备。这种防火墙根据运行的协议类型,一般是通过使用一种无状态方法或是有状态方法来进行工作。

使用无状态进行监视的通信只是简单地检查每个数据包,并不能够理解数据流。而使用有状态方法进行监视的通信能够在一定程度上使用监视协议跟踪通信流,并且能够在数据流的生命周期内记录其位置。

很明显,能够跟踪状态的防火墙要比不能跟踪状态的防火墙更高效。但是,许多传统的防火墙仅限于工作在2层到4层,并且只能根据这些信息跟踪通信。

传统防火墙的其它特征还包括支持网络地址转换、端口地址转换、虚拟私有网络(即科学),还能够提供高级的可用性和性能。

什么是下一代防火墙

很多安全厂商都将自己的新防火墙称为“下一代防火墙”,但每家厂商产品的特征可能与其它厂商有些不同。一般而言,下一代防火墙产品应当包含如下特性:应用程序感知、状态检测、集成入侵防御系统、身份感知(用户和组的控制)、桥接模式和路由模式、能够利用外部的情报源,等等。

下面详细地看看下一代防火墙的这些特性:

1.应用程序感知

传统防火墙与下一代防火墙的最大不同是:下一代防火墙可以感知应用程序。传统的防火墙依赖常见的应用程序端口来决定正在运行的应用程序以及攻击类型。而下一代防火墙设备并不是认为特定的应用程序运行在特定的端口上。防火墙必须能够在第二层到第七层上监视通信,并且决定发送和接收哪类通信。

最常见的例子是当前对HTTP和80号端口的使用。传统上,这个端口仅用于HTTP的通信,但如今的情况不同了,而且有大量的不同应用程序都使用这个端口在终端设备和中央服务器之间传送通信。常见端口用于不同类型通信的方法有很多种,其中最常见的方法之一就是隧道技术。借助于隧道技术,通信在传统的 HTTP数据字段内部建立隧道,并在目的结点解开封装。从传统的防火墙的观点看,这看起来就是简单的HTTP Web通信,但对于下一代防火墙来说,它真正的目的在其能够到达目的结点之前就在防火墙上被发现了。如果这种通信是由下一代防火墙的策略所允许的,就放行;否则,防火墙将阻止通信。

2.身份感知

传统防火墙和下一代防火墙之间的另一个很大的不同点是,后者能够跟踪本地通信设备和用户的身份,它一般使用的是现有的企业认证系统(即活动目录、轻量目录访问协议,等)。信息安全人员通过这种方法就不仅能够控制允许进出网络的通信类型,还可以控制哪个特定用户可以发送和接收数据。

3.状态检测

虽然从状态检测的一般定义上来看,下一代防火墙并无不同,但它不是仅跟踪第二层到第四层的通信状态,而是要能够跟踪第二层到第七层的通信状态。这种不同可以使安全人员实施更多控制,而且可以使管理员能够制定更精细的策略。

4.集成IPS

入侵防御系统(IPS)能够根据几种不同的技术来检测攻击,其中包括使用威胁特征、已知的漏洞利用攻击、异常活动和通信行为的分析等。

在部署了传统防火墙的环境中,入侵检测系统或入侵防御系统是经常部署的设备。通常,这种设备的部署是通过独立的设备部署的,或是通过一个设备内部在逻辑上独立的设备来部署的。而在下一代防火墙中,入侵防御或入侵检测设备应当完全地集成。入侵防御系统本身的功能与其在独立部署时并无不同,下一代防火墙中此功能的主要不同在于性能,以及通信的所有层如何实现对信息的访问。

5.桥接和路由模式

桥接或路由模式虽不是全新的特征,但下一代防火墙的这种功能仍很重要。在当今的网络中部署了许多传统的防火墙,但其中的多数并非下一代防火墙。为更容易地过渡下一代防火墙,下一代防火墙必须能够以桥接模式(也称为透明模式)连接,设备本身并不显示为路由路径的一部分。对任何一家特定的企业来说,在合适的时间,下一代防火墙应逐渐地替换传统防火墙,从而使用路由模式。

比较下一代防火墙

如今的市场上有不少信息安全方案都宣称自己是下一代防火墙。如何发现其差异并?下面谈几个审查和比较下一代防火墙的标准:

1.下一代防火墙是否可以防御针对服务器应用和客户端应用的攻击?其防御程度如何?

2.是否能被规避或逃脱?

3.它是否稳定和可靠?

4.该方案是否能够强化入站和出站的应用策略?

5.该方案是否能够强化入站和出站的身份策略?

6.其性能如何?

进一步讲,企业选择部署哪种防火墙设备取决于几个有限的因素。这是因为多数设备都满足下一代防火墙的范畴,并能执行同样的任务。所以,为什么要选择这个而不选那个?安全管理者最初可能是凭个人的喜爱和直觉来选择,有时是根据一些事实或道听途说的证据,但这些毕竟已经成为选择标准的一部分。

在选择具体的方案时,我们应考虑设备的功效问题。其中一个主要方面在发生了针对服务器和客户端应用的攻击时,具体的方案可以阻止攻击的比例有多大。虽然不同的方案之间的差异可能很小,但正是这小小的不同就可能成为发生严重安全事件和挫败攻击的分水岭。

另一个需要考虑的因素是可通过设备的总吞吐量。由于这些设备在总吞吐量方面并不能直接比较,那如何更好地使用此标准呢?方法之一就是衡量每个受保护的比特所花费的成本。如果企业没有经过审查而优先选择了一家厂商,那么机会成本是什么呢?那就是还有一个更小巧或更强大的版本满足企业环境的要求。

企业需要考虑的最后一个因素是该方案利用的电能和空间。还是那个问题,不同的设备并不能直接比较,一个简单的比较和决定方法是,将设备的消耗量除以设备的规模(或除以设备的总吞吐量),并比较不同设备的计算结果。

结语

如今,各种新威胁层出不穷,对任何企业而言,时刻关注最新的攻击至关重要。下一代防火墙的实施应当成为企业安全部署计划的关键一步。

下一代防火墙日渐成熟,基本上都能够提供完整功能。因而,导致购买者选择此产品而不选另一产品的原因往往就是个别的规格和特性。由于将来企业对这类产品的需要将日渐增加,下一代防火墙的竞争也将更激烈,而产品的成本也会逐步降低。

在众多的下一代防火墙产品中,既有适应中小企业的类型,也有满足大型企业的品牌。此领域的领导者在不远的将来必然出现,因为所有的防火墙厂商都将从传统的防火墙转移到下一代防火墙的产品阵线中。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/139213.html<

(0)
管理的头像管理
上一篇2025-03-03 09:15
下一篇 2025-03-03 09:16

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注