防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
传统的防火墙的类型和功能
传统防火墙可以分为四种类型:包过滤、应用级网关、代理服务器和状态检测。总体的功能是:过滤掉不安全服务、非法用户和控制对特殊站点的访问、提供监视Internet安全和预警的方便端点。
传统的安全防护正在失效
如今最流行的安全产品是状态检测防火墙、***检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头,分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于***已经研究出大量的方法来绕过防火墙策略。
传统防火墙的局限性凸显
网络防火墙在安全防护中,起到重要作用,但是我们,也应该看到它的不足之处。如今,知识渊博的***,均能利用网络防火墙开放的端口,巧妙躲过网络防火墙的监测,直接针对目标应用程序。他们想出复杂的***方法,能够绕过传统网络防火墙。传统的网络防火墙,存在着以下不足之处:1、无法检测加密的Web流量;2、普通应用程序加密后,也能轻易躲过防火墙的检测;3、对于Web应用程序,防范能力不足;4、应用防护特性,只适用于简单情况;5、无法扩展带深度检测功能。
应用层受到***的概率加大
应用层受到***的概率越来越大,而传统网络防火墙在这方面有存在着不足之处。对此,少数防火墙供应商也开始意识到应用层的威胁,在防火墙产品上增加了一些弹性概念的特征,试图防范这些威胁。传统的网络防火墙对于应用安全的防范上效果不佳。
下一代防火墙的最低特性
下一代防火墙需具备下列最低属性:支持在线BITW(线缆中的块)配置,同时不会干扰网络运行;可作为网络流量检测与网络安全策略执行的平台,并具有下列最低特性:
1)标准的第一代防火墙功能;
2)集成式而非托管式网络***防御;
3)业务识别与全栈可视性;
4)超级智能的防火墙。