防火墙必须演进,能够更主动地阻止新威胁(例如僵尸网和定位攻击)。随着攻击变得越来越复杂,企业必须更新网络防火墙和入侵防御能力来保护业务系统。
不断变化的业务流程、企业部署的技术以及威胁正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web 2.0)正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使易受攻击的用户安装试图避免被检测出的针对性的恶意执行程序上。在这种环境中,简单地强制要求在标准端口上使用合适的协议和阻止寻找未修补的 服务器 的攻击不再有足够的价值。为了应对这些挑战,防火墙必须演进为Gartner称之为“下一代防火墙(NGFW)”的产品。如果防火墙厂商不进行这些改变的话,企业将要求降价来降低第一代防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。
什么是NGFW?
对于使用僵尸网传播方式的威胁,第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加,更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确检查针对没有打补丁的操作系统和软件的已知攻击方法,但不能有效地识别和阻止应用程序的滥用,更不要说应用程序中的特殊特性了。
Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和攻击试图入侵业务系统的方式发生的变化时必要的演进。
NGFW至少具有以下属性:
支持联机“bump-in-the-wire”配置,不中断网络运行。
发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:
1,标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、科学等等。
2,集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和,例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员不得不跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码是NGFW的一个主要特征。
3,应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype但关闭Skype中的文件共享或始终阻止GoToMyPC。
4,额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定,或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。
支持新信息馈送和新技术集成的升级路径来应对未来的威胁。
NGFW执行的例子包括阻止细粒度的网络安全政策违规或发出报警,如使用Web邮件、匿名服务器、对等网络技术或PC远程控制。简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信,而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现,这意味着有许多NGFW可以识别和阻止的不受欢迎的应用,即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制,因为,消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。
什么不是NGFW?
现在有一些与NGFW相邻但不相等的基于网络的安全产品领域:
中小企业多功能防火墙或UTM设备:这类设备是提供多种安全功能的单一设备。尽管它们总是包含第一代防火墙和IPS功能,但它们不提供应用意识功能,而且不是通常集成的、单引擎产品。它们适合于在分支办事机构中节省费用,适用于较小的公司,但它们不能满足大型企业的需要。这类产品包括与低质量IPS搭配的第一代防火墙,并且/或者深度检查和应用控制特性只不过同时出现在一台设备中而不是紧密的集成。
基于网络的数据丢失防御(DLP)设备:这类设备执行对网络传输流的深度包检查,但将重点放在检测以前识别的数据类型是否经过检查点。它们在执行数据安全政策时没有实时要求,不能执行线速度网络安全政策。
安全Web网关(SWG):这类设备侧重于通过集成的URL过滤和Web杀毒,执行出站的用户访问控制和进站的恶意件防御。它们侧重于在“使用任意协议的任意源到任意目的地”基础上,执行以用户为中心的Web安全政策,而不是网络安全政策。
消息安全网关:这类设备重点放在执行容忍延时的出站内容政策和执行入站防垃圾邮件和防恶意件上。它们不执行线速度网络安全政策。
尽管这些产品可能基于网络并使用类似的技术,但它们执行属于企业内不同运营部门的责任和权力的安全政策。Gartner认为在IT和安全组织责任从根本上改变之前,这些领域不会融合在一起。
NGFW也不是“身份防火墙”,不是一种基于身份的访问控制机制。在多数环境中,网络安全部门没有在应用层上执行基于用户的访问控制政策的责任和权力。Gartner认为NGFW将能够在部门级合并身份信息来做出更好的网络安全决定,但它们一般将不用于执行细粒度的用户级执行决定。
NGFW将逐渐成功
目前,有一些已经将他们的产品升级为提供应用意识和一些NGFW特性的防火墙和IPS厂商和一些关注NGFW能力的新兴公司。随着防火墙和IPS更新周期的自然到来,或者随着带宽需求的增加,或者随着成功的攻击促使更新防火墙,大企业将用NGFW替换已有的防火墙。Gartner认为不断变化的威胁环境以及不断变化的业务和IT流程,将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。NGFW厂商成功的关键将是以同样或略高于第一代防火墙的价格,提供包含NGFW能力又具有第一代防火墙和IPS特性的NGFW。
目前仅有不到1%的Internet连接采用NGFW来保护。我们认为到2014年底,这个数字将增加到占安装基础的35%,60%新购买的防火墙将是NGFW。
关键结论
第一代防火墙提供的状态性协议过滤和有限的应用意识在对付当前和新出现的威胁时不再有效。
与优化的组合平台相比,使用分离的防火墙和入侵防御设施导致更高的运营成本,并且没有提高安全性。
可以检测针对特定应用的攻击和执行针对特定应用的细粒度安全政策(不管是入站还是出站传输流)的下一代防火墙(NGFW)正在出现。
NGFW在与其他安全控制层结合时最为有效。
建议
如果你还没有部署入侵检测,到了更新防火墙时,要求厂商提供NGFW。
如果你已经部署了网络防火墙和网络入侵检测系统,同步这两种技术的更新周期,向NGFW迁移。
如果你使用托管的外围防线安全服务,在下一次更新合同时,将服务升级为NGFW服务。
【编辑推荐】
企业组网产品都有哪些?
自SD-WAN问世以来,吸引了业界的广泛关注。 在SD-WAN市场,相较于其他很多厂商而言,在安全上具有独特的优势。 基于集成化的理念,推出了SD-WAN解决方案,该方案包括同类最佳的下一代防火墙(NGFW)、SD-WAN、高级路由和WAN优化功能,在统一产品中提供了由安全驱动的广域网络边缘转换。
软件定义广域网络,是将SDN技术应用到广域网场景中所形成的一种服务。 这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务,旨在帮助用户降低广域网的开支和提高网络连接灵活性。
在安全层面,SD-WAN解决方案拥有可覆盖整个攻击平面的安全能力,可支持多种安全SD-WAN架构。 SD-WAN解决方案有着天然的安全优势。
SD-WAN可通过邮件部署、业务编排等方式,使分支能够做到零IT。 用户只需要在总部预先配置好公网信息及接入中心信息,生成相应的配置信息邮件发送给分支,分支人员仅需要开机触发邮件链接,即可完成设备的部署上线。 甚至可以根据用户分支业务需要,总部动态编排分支业务和网络。
申论怎么写?怎么样的格式?
申论的概念“申论”一词取自《论语》的“申而论之”。 申,即说明、申述、议论,即分析和说明 事理;申论,即具有申述、申辩、论证、论述之意的文体。 如果从字面的一般意义来讲,“申论”一词,肯定是对材料、事件或问题有所说明、有所 申述,从而发表见解、进行论证的意思。 但“申”字后面既缀上个“论”字,这个词自然 就有点像“导论”、“绪论”那样,可理解为“论说”的某种体式。 可是它又并非写作理论 中的习惯用语,其含义又有特殊之处。 刘勰的《文心雕龙》是我国最早讲文章体式的一本权威著作,其中《论说》篇指 出: “论者,弥纶群言,而研精一理者也。 ”可见凡融通种种见解而深入阐发某些道理的文辞, 一概都可称之为“论”。 纵论时事政治的称之为“政论”,考辨历史的称之为“史论”,总 览内容予以阐述的称之为“概论”,评优劣、论得失的称之为“评论”等等,总起来都属于 “论”,但每种“论”又各有特点。 可见申论考试,是针对给定材料,从自身的观点立场出发进行应对表达的一种考查语言表 达能力、分析问题和解决问题能力的考试。 申论的写作要求: 1从内容上看,要深刻反映政务需要; 2从观点上看,能够反映出作者具有远见卓识; 3提出的方法要切实可行; 4语言文辞要有表现力。 由于申论的格式多为议论文。 写好议论文,是获得申论高分的关键。 议论文主要由论点、论据、结论三部分组成。 答题时,首先,用一段话开门见山直截了当摆明主题,最好是从材料中的具体事例直接引出主题。 字数掌握在一个自然段、三五句话即可。 如这次国家公务员考的公共安全问题,考生可列出近一年来发生的一系列公关安全事件中的一例,接着点出这个问题是公共安全问题,尤其点出是政府应对危机的问题,扣紧主题。 第一部分即完成。 第二部分是论据部分,是整篇文章的躯干,在文中所占比重最大。 考生需要通过摆事实、讲道理完成该部分。 一般来说,考生理出三个理由即可,其中,至少有一个理由需从材料中提炼,做简单的论述。 其它理由可自己另找,考生可通过社会现实生活中的事例,来证明论点的正确。 好的文章是不限格式的,考生也可列出三个理由,每个理由后有一个现实事例证实,事例可以从材料中提取,这种写作格式写起来省力,推理缜密。 第三部分为结论,考生可利用“综上所述”、“总而言之”、“从以上分析,我们可以发现”等词汇收束全文,强调和深化主题。 如时间允许,考生最好分两层做结,除了再次点题外,最好写一段能“付诸行动”的举措,点出5个以上宏观政策上的措施、做法,写完最后一条戛然而止,全文显得论述有力、不拖泥带水。 这是比较标准的议论文结构。 辅导老师建议,考生在150分钟的考试时间里,列一个写作提纲很有必要。 “磨刀不误砍柴功”,提纲可以帮助考生在紧张的考试中迅速梳理思路。 公文写作有一个基本格式。 一般公文格式是:第一,概括问题的基本状况,做一个简要的描述。 一般来说,考生需首先点明中心、提出核心,有时需要用基本统计数据辅助证明;第二要挖掘问题产生的原因,一般有三五条;第三是对解决问题提出对策和建议,一般有5至7条。 提出的对策措施一般多于原因列举。 公文的主要内容是原因和对策。
日全食要准备什么
一次日全食发生的过程分为初亏、食既、食甚、生光、复圆5个过程。 此次日全食主城的初亏时间是8点07分57秒,食既到生光从9点13分12秒开始,9点17分15秒结束。 除外,市民还可通过日全食看贝利珠、日冕和星空等天象变化,要是届时天空晴朗,市民或许还能发现牛郎织女、火星等行星及星座。 发生日全食需注意什么? 日全食发生时整个天空会漆黑一片,如建筑、运输等行业都需提前做好安全应对措施,防止4~5分钟的“黑夜”造成安全事故的发生。 特别是一些司机在日全食发生后,不要惊慌,应立即打开车灯减速小心驾驶。 同时高空作业者也要避免突然伸手不见五指而发生事故。 商家和市民也要有准备,防止天突然黑下来一些不法分子溜进店或者家里偷东西。 同时,在日全食发生前,市民切不可用肉眼直接对准太阳进行观看,可使用优质的太阳镜或天文望远镜观测。 全第一,绝对不能用裸眼直接看日食!我们都有这样的体会,用眼睛直接看太阳,即使只看短短的一刹那,眼睛就会受到很大的刺激,好久好久眼前一片昏暗,很难恢复过来。 这是因为眼睛里有一个水晶体,它起到聚光作用。 对准太阳看,太阳的热能被它聚集在眼底的视网膜上,就会觉得刺眼;如果经过一些时间后,视网膜就会被烧伤而失去视力。 在发生日食时,大部分时间都是偏食,月亮只挡住了一部分太阳,剩下的部分仍然和平常一样,所以直接用眼睛看的时间长了,同样会灼伤眼睛的。
发表评论