1.應用程序感知
傳統防火墻與下壹代防火墻的最大不同是:下壹代防火墻可以感知應用程序。傳統的防火墻依賴常見的應用程序端口來決定正在運行的應用程序以及攻擊類型。而下壹代防火墻設備並不是認為特定的應用程序運行在特定的端口上。防火墻必須能夠在第二層到第七層上監視通信,並且決定發送和接收哪類通信。
最常見的例子是當前對HTTP和80號端口的使用。傳統上,這個端口僅用於HTTP的通信,但如今的情況不同了,而且有大量的不同應用程序都使用這個端口在終端設備和中央服務器之間傳送通信。常見端口用於不同類型通信的方法有很多種,其中最常見的方法之壹就是隧道技術。借助於隧道技術,通信在傳統的 HTTP數據字段內部建立隧道,並在目的結點解開封裝。從傳統的防火墻的觀點看,這看起來就是簡單的HTTP Web通信,但對於下壹代防火墻來說,它真正的目的在其能夠到達目的結點之前就在防火墻上被發現了。如果這種通信是由下壹代防火墻的策略所允許的,就放行;否則,防火墻將阻止通信。
2.身份感知
傳統防火墻和下壹代防火墻之間的另壹個很大的不同點是,後者能夠跟蹤本地通信設備和用戶的身份,它壹般使用的是現有的企業認證系統(即活動目錄、輕量目錄訪問協議,等)。信息安全人員通過這種方法就不僅能夠控制允許進出網絡的通信類型,還可以控制哪個特定用戶可以發送和接收數據。
3.狀態檢測
雖然從狀態檢測的壹般定義上來看,下壹代防火墻並無不同,但它不是僅跟蹤第二層到第四層的通信狀態,而是要能夠跟蹤第二層到第七層的通信狀態。這種不同可以使安全人員實施更多控制,而且可以使管理員能夠制定更精細的策略。
4.集成IPS
入侵防禦系統(IPS)能夠根據幾種不同的技術來檢測攻擊,其中包括使用威脅特征、已知的漏洞利用攻擊、異常活動和通信行為的分析等。
在部署了傳統防火墻的環境中,入侵檢測系統或入侵防禦系統是經常部署的設備。通常,這種設備的部署是通過獨立的設備部署的,或是通過壹個設備內部在邏輯上獨立的設備來部署的。而在下壹代防火墻中,入侵防禦或入侵檢測設備應當完全地集成。入侵防禦系統本身的功能與其在獨立部署時並無不同,下壹代防火墻中此功能的主要不同在於性能,以及通信的所有層如何實現對信息的訪問。
5.橋接和路由模式
橋接或路由模式雖不是全新的特征,但下壹代防火墻的這種功能仍很重要。在當今的網絡中部署了許多傳統的防火墻,但其中的多數並非下壹代防火墻。為更容易地過渡下壹代防火墻,下壹代防火墻必須能夠以橋接模式(也稱為透明模式)連接,設備本身並不顯示為路由路徑的壹部分。對任何壹家特定的企業來說,在合適的時間,下壹代防火墻應逐漸地替換傳統防火墻,從而使用路由模式。
比較下壹代防火墻
如今的市場上有不少信息安全方案都宣稱自己是下壹代防火墻。如何發現其差異並?下面談幾個審查和比較下壹代防火墻的標準:
1.下壹代防火墻是否可以防禦針對服務器應用和客戶端應用的攻擊?其防禦程度如何?
2.是否能被規避或逃脫?
3.它是否穩定和可靠?
4.該方案是否能夠強化入站和出站的應用策略?
5.該方案是否能夠強化入站和出站的身份策略?
6.其性能如何?
進壹步講,企業選擇部署哪種防火墻設備取決於幾個有限的因素。這是因為多數設備都滿足下壹代防火墻的範疇,並能執行同樣的任務。所以,為什麽要選擇這個而不選那個?安全管理者最初可能是憑個人的喜愛和直覺來選擇,有時是根據壹些事實或道聽途說的證據,但這些畢竟已經成為選擇標準的壹部分。
在選擇具體的方案時,我們應考慮設備的功效問題。其中壹個主要方面在發生了針對服務器和客戶端應用的攻擊時,具體的方案可以阻止攻擊的比例有多大。雖然不同的方案之間的差異可能很小,但正是這小小的不同就可能成為發生嚴重安全事件和挫敗攻擊的分水嶺。
另壹個需要考慮的因素是可通過設備的總吞吐量。由於這些設備在總吞吐量方面並不能直接比較,那如何更好地使用此標準呢?方法之壹就是衡量每個受保護的比特所花費的成本。如果企業沒有經過審查而優先選擇了壹家廠商,那麽機會成本是什麽呢?那就是還有壹個更小巧或更強大的版本滿足企業環境的要求。
企業需要考慮的最後壹個因素是該方案利用的電能和空間。還是那個問題,不同的設備並不能直接比較,壹個簡單的比較和決定方法是,將設備的消耗量除以設備的規模(或除以設備的總吞吐量),並比較不同設備的計算結果。