第一页
进入Web2.0时代,各种基于Web的网络攻击层出不穷,传统防火墙已无力招架,更具针对性、能防御各种攻击的下一代防火墙应运而生。近日,企业网安解决方案的领先供应商Secure Computing,正式宣布对身份识别解决方案供应商Securify进行收购。通过此次收购,Secure Computing将能够为用户提供具备应用检测和用户感知访问等多重功能的下一代防火墙产品。下一代防火墙市场,即将展开新一轮的市场抢位战。
Web2.0威胁使传统防火墙过时
与上一代网站相比,Web2.0网站最大的特点便是开放性和交互性,用户只需简单操作便能在Web2.0中创作内容。这在给普通用户带来便利的同时,也为黑客的恶意攻击开启了方便之门。
当今最常用的防火墙采用的安全模式主要为使用签名阻止已知不良数据包。然而,面对SQL注入式攻击、URL篡改、跨站脚本攻击等复杂的Web应用漏洞攻击,这种“消极”的安全模式几乎无能为力。这是因为该防护方法无法处理比较网络中来回传输的每个数据包所需的签名数量。在大多数情况下,由于对环境性能造成影响,通过签名进行应用层过滤的产品马上会被关闭,使网络缺乏所需的防护。即便部分安全供应商向传统有状态数据包过滤器中添加签名,但面对黑客采用的混淆技术,这些签名根本无法执行有效保护。黑客们只需通过加密有效负载或者每次使用不同的技术将恶意程序发送至新的主机,便可轻松逃避签名。
总之,面对基于应用层的威胁,传统的防火墙已经过时。然而,据相关调查数据显示,如今70%以上的成功攻击均以应用程序为目标,基于应用层的防火墙,即下一代防火墙呼之欲出。
众说纷纭 莫衷一是
“下一代防火墙”这一名词提出以来,便在业界引起了广泛争议,有人说它是具备多重安全防护功能的多功能安全设备,即多功能防火墙;也有人认为它是UTM发展到最高阶段的表现形式……各安全厂商纷纷从自身的专业角度为其定义,只是谁也无法说服谁。即便是权威第三方机构Gartner给出的定义——“下一代防火墙是将防火墙过滤与入侵防御系统(IPS)结合在一起的防火墙”,也无法统一意见。
尽管目前业界关于下一代防火墙的定义仍然莫衷一是,然而这并不会影响用户对其的需求。用户关心的不是“什么是下一代防火墙”,而是“什么产品能帮助他们解决Web2.0环境下产生的新安全隐患”。基于这点认识,我们不妨从用户的实际安全需求,看看下一代防火墙产品应该具备哪些特点?
特点一:为受保护服务器披上“隐形”外衣
映射或指纹识别网络资产,几乎是所有网络攻击的第一步。因此,隐藏网络资产使其避开黑客的Internet扫描,是防火墙解决方案的首要职责。
传统的防火墙产品只能集合部分数据流,在数据通过受保护的服务器时,将它们与基于消极模式的签名进行比较。如果签名与已知不良数据包匹配,即丢弃该数据包,而其他数据流组成仍可以自由通过,这就可能出现当数据流全部集合时,对内部服务器产生突然攻击的情况。而解决这一问题的最佳办法,就是从源头上阻断黑客与受保护服务器的连接。因此,下一代防火墙产品必须具备阻断客户端服务器的功能。
网友评论