經過幾十年的演變,互聯網早已從一個基於學術和軍事的專用網絡演變爲全球重要的信息基礎設施,***到各個社會領域併產生巨大的影響。但是伴隨的是網絡威脅提及安全威脅日益高級和複雜,傳統的安全產品“老三樣”在應對不斷變化的混合型安全威脅,處理豐富的互聯網應用時,已經顯得力不從心。
這是一個應用程序越來越豐富的時代。很多BT下載可以隱藏在IPTV協議裏面。無論是遊戲、視頻對話還是下載,都需要做出判斷之後再做進一步管理。***之所以能夠***用戶,都是利用了防火牆開放的端口,躲過防火牆的監測,直接針對目標應用程序。他們想出複雜的***方法,能夠繞過傳統防火牆。以前的防火牆採用的方式更多是阻斷,就像是一座牆,有牆裏牆外之分。基於應用層的***無疑是翻“牆”而過。據統計,目前70%的***是發生在應用層,而不是網絡層。
下一代防火牆建設不是簡單地根據模式而是按照整體行爲來判斷是否要進行阻斷。例如,如果想控制流媒體不要佔用太多流量,在進行識別之後再確定是進行阻斷還是監測帶寬,而後管理員可以根據公司的情況進行配置。然而,在傳統方式下,這種情況是無法識別的。大多數公司都有多條鏈路。所以,當第一條鏈路出問題的時候就會自動切換到另一條鏈路。當然,下一代防火牆應該支持無線鏈路,通過無線3G也可以進入。
下一代防火牆建設應當是將WEB和郵件安全網關、***檢測、應用安全防護以及流量管理等智能融合於一體,便於企業統一實施管理,不管信息管理人員身處何地,在家中、分支機構還是區域業務總部或是數據中心都可隨時遠程進行管理工作。
基於應用層的***,web安全無疑是重中之重。由於***針對Web應用的***手段和技術日趨高明、隱蔽,致使大多Web應用處在高風險環境下開展。網站遭受***將直接衝破企業應用的安全底線,損害企業的社會形象,導致客戶流失。
雖說IDS,IPS通過使用深包檢測的技術檢查網絡數據中的應用層流量,和***特徵庫進行匹配,從而識別出已知的網絡***,達到對web***的防護。但是對於未知***,和將來纔會出現的***,以及通過靈活編碼和報文分割來實現的web***,IDS和IPS同樣不能有效的防護。