[周报全文]应用识别——下一代防火墙的核心

2013-01-08 |  作者:杜斟 |  来源:独家 |  查看原文

摘要下一代防火墙自2009年由Gartner定义以来就一直被业界的厂商所关注,众多国内外厂商先后推出了自己的下一代防火墙产品。

下一代防火墙自2009年由Gartner定义以来就一直被业界的厂商所关注,众多国内外厂商先后推出了自己的下一代防火墙产品。但纵观已宣称拥有下一代防火墙的厂商,大多数都是作为自己安全产品的补充,各厂商的下一代防火墙不管从功能还是侧重点都有天壤之别。到底什么才是真正的下一代防火墙?下一代防火墙的核心又是什么?且听本文慢慢道来。

用户希望通过防火墙保护网络安全。因此,防火墙的安全防御功能就显得至关重要。许多传统安全防护设备都具备基于特征识别的入侵防御系统。就目前来看,部署了入侵防御系统的公司不胜枚举,而网络攻击事件却还是屡见不鲜,究其原因就是这些防御系统都是治标不治本。木马和病毒千变万化,简单通过特征识别很难完全检测出隐藏在应用中的威胁。只有从根本上禁止可能携带威胁的应用或应用子功能,才能最有效地防止威胁的渗透。

比如,企业需要开启QQ聊天功能,以方便员工与客户沟通,但要禁止QQ文件传输功能,以防机密文件泄露或黑客传播病毒。下一代防火墙必须要做到识别QQ应用,并能够管理其细化的功能,如文件传输、远程协助等,才能更好地协助用户控制应用。

下一代防火墙将应用识别和控制深度融合,不仅访问控制列表是基于应用及其细化功能的,入侵防护和病毒检测也是基于应用的。下一代防火墙对应用的识别和控制与传统状态检测防火墙相比有如下五点区别:

应用识别功能永久开启

每个应用的识别功能都是默认打开的,用户不需要开启某些模块来实现对某个应用的识别。应用识别功能是固化在下一代防火墙中的,这也是下一代防火墙正常工作的基础。

应用识别永远是第一任务

下一代防火墙默认禁止所有流量通过(+关注网络世界),用户需要通过配置哪些应用流量可以通过防火墙来保证网络的安全。因此,应用识别永远是下一代防火墙的第一任务。只有准确识别了应用,才可以保证策略的正确执行。

总是识别所有流量

不像入侵防御和病毒检测功能只识别和检测部分应用,下一代防火墙的应用识别默认是对所有流量都开启的。不管是企业应用、个人应用还是网络协议,默认情况下,下一代防火墙都会进行识别,而不需要对某些流量做筛选。

总是识别所有端口

下一代防火墙的应用识别面向所有端口,但是应用识别不依赖端口。不管应用是否会通过端口跳变来逃逸识别,下一代防火墙都能对这些应用进行很好的识别和控制。

总能识别应用在不同系统的所有版本

不管用户使用什么操作系统,也不管用户使用应用程序的哪个版本,下一代防火墙都能够对这些应用进行识别和管理。也就是说,应用的特征包含了不同操作系统和不同版本的共性。

综上所述,对应用的深度识别和管控才是下一代防火墙的核心,也是与传统状态检测防火墙最大的区别。据估计,下一代防火墙市场市值在35亿美元左右。若想在这块市场中占据一席之地,必须要对下一代防火墙产品有足够深刻的理解,以及在技术领域的深厚积累。

定位于为客户提供专业、高端的网络应用层管理设备的网康科技,在其成立至今的8年中持续深耕应用识别及内容控制市场,精研相关领域技术。网康下一代防火墙不但拥有传统防火墙的所有功能,同时支持基于特征识别的入侵防护和病毒检测,而且提出了基于行为分析的主动防御功能,有效弥补了特征识别威胁检测系统的不足。此外,该产品更可对于1200种以上网络应用和近500种移动应用进行精准识别,拥有数十种用户识别手段,以及第三方联动和深度的应用识别,可帮助用户制定基于人和应用的控制列表,从根本上保证网络和应用的安全。

下一代防火墙的五个基本要素

1. 具有传统防火墙的全部功能

2. 具有与防火墙高度集成的入侵防御系统

3. 可对于应用进行深度识别,且支持基于应用功能的细化ACL(访问控制列表)

4. 更加智能,通过与其他设备联动来制定更合理的策略

5. 支持集成技术更先进的威胁检测功能

相关文章