防火牆是一類防範措施的總稱,它使得內部網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護內部網絡。防火牆簡單的可以只用路由器實現,複雜的可以用主機甚至一個子網來實現。設置防火牆目的都是爲了在內部網與外部網之間設立唯一的通道,簡化網絡的安全管理。
傳統的防火牆的類型和功能
傳統防火牆可以分爲四種類型:包過濾、應用級網關、代理服務器和狀態檢測。總體的功能是:過濾掉不安全服務、非法用戶和控制對特殊站點的訪問、提供監視Internet安全和預警的方便端點。
傳統的安全防護正在失效
如今最流行的安全產品是狀態檢測防火牆、***檢測系統和基於主機的防病毒軟件。但是它們面對新一代的安全威脅卻作用越來越小。狀態檢測防火牆是通過跟蹤會話的發起和狀態來工作的。狀態檢測防火牆通過檢查數據包頭,分析和監視網絡層(L3)和協議層(L4),基於一套用戶自定義的防火牆策略來允許、拒絕或轉發網絡流量。傳統防火牆的問題在於***已經研究出大量的方法來繞過防火牆策略。
傳統防火牆的侷限性凸顯
網絡防火牆在安全防護中,起到重要作用,但是我們,也應該看到它的不足之處。如今,知識淵博的***,均能利用網絡防火牆開放的端口,巧妙躲過網絡防火牆的監測,直接針對目標應用程序。他們想出複雜的***方法,能夠繞過傳統網絡防火牆。傳統的網絡防火牆,存在着以下不足之處:1、無法檢測加密的Web流量;2、普通應用程序加密後,也能輕易躲過防火牆的檢測;3、對於Web應用程序,防範能力不足;4、應用防護特性,只適用於簡單情況;5、無法擴展帶深度檢測功能。
應用層受到***的概率加大
應用層受到***的概率越來越大,而傳統網絡防火牆在這方面有存在着不足之處。對此,少數防火牆供應商也開始意識到應用層的威脅,在防火牆產品上增加了一些彈性概念的特徵,試圖防範這些威脅。傳統的網絡防火牆對於應用安全的防範上效果不佳。
下一代防火牆的最低特性
下一代防火牆需具備下列最低屬性:支持在線BITW(線纜中的塊)配置,同時不會干擾網絡運行;可作爲網絡流量檢測與網絡安全策略執行的平臺,並具有下列最低特性:
1)標準的第一代防火牆功能;
2)集成式而非託管式網絡***防禦;
3)業務識別與全棧可視性;
4)超級智能的防火牆。