移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

下一代防火墙 一体化让安然更容易用

时间:2013-08-23 09:26来源:TuZhiJiaMi企业信息安全专家 点击:
闻名的IT市场咨询机构IDC 在2004年定义的统一威胁治理(UTM)产品立异性中,第一次将多种安然功能集成至统一个产品内,这类编制在逢迎用户需求和切近市场成长趋势上无疑是成功的。但是,纯真
Tags应用安全(1006)UTM(100)下一代防火墙(15)一体化(17)  

  闻名的IT市场咨询机构IDC 在2004年定义的统一威胁治理(UTM)产品立异性中,第一次将多种安然功能集成至统一个产品内,这类编制在逢迎用户需求和切近市场成长趋势上无疑是成功的。但是,纯真作为收集安然手艺范畴的进步来讲,这类模式却有着巨大年夜的缺点,即其实现的编制仅逗留在“公用硬件平台+统一用户界面”的层次上,功能贫乏真正畅通领悟,这就是原定义的UTM后患地点。下一代防火墙的出世其实最首要的一点就是为体味决这一缺点,其首要的理念就是经由过程“一体化引擎+统一的策略框架”来包管产品整体的高机能和易用性,从而真正实现多种安然功能的畅通领悟。

  一. 一体化引擎

  甚么是一体化引擎?所谓一体化引擎即在初始系统架构设计时即采取一体化的思惟,充分考虑到此刻及将来的安然营业景象,将所有的安然需求纳进引擎设计中往。如许的一个较着的长处是往除冗余,加倍高效,抱负的实现是每个报文只需要解析一遍便可完成所有安然模块的查抄。更形象地说,就仿佛工厂里面的流水线概念,本来是多条流水线共同完成的一个任务,从头设计今后是一条流水线自力完成一个任务。

  下一代防火墙的一体化引擎数据包措置流程大年夜致分为以下几个阶段:

  1. 数据包进站措置阶段

  进站首要完成数据包的领受及L2-L4层的数据包解析过程,并且按照解析成果决定是不是需要进进防火墙安然策略措置流程,不然该数据包就会被丢弃。在这个过程中还会鉴定是不是颠末VPN数据加密,假定是,则会进步前辈行解密后再做进一步解析。

  2. 主引擎措置阶段

  主引擎措置大年夜致会经历三个过程:防火墙策略匹配及成立会话、利用辨认、内容检测。

  1) 成立会话信息

  当数据包进进主引擎后,起首会进行会话查找,看是不是存在该数据包相干的会话。假定存在,则会根据已设定的防火墙策略进行匹配和对应。不然就需要成立会话。具体步调简述为:进行转发相干的信息查找;而掉队行NAT相干的策略信息查找;最掉队行防火墙的策略查找,查抄策略是不是承诺。假定承诺则遵循之前的策略信息成立对应的会话,假定不承诺则丢弃该数据包。

  2) 利用辨认

  数据包进行完初始的防火墙安然策略匹配并成立对应会话信息后,会进行利用辨认检测和措置,假定该利用为已可辨认的利用,则对此利用进行辨认和标识表记标帜并直接进进下一个措置流程。假定该利用为未辨认利用,则需要进行利用辨认子流程,对利用进行特点匹配,和谈解码,行动阐发等措置从而标识表记标帜该利用。利用标识表记标帜完成后,会查找对应的利用安然策略,假定策略承诺则预备下一阶段流程;假定策略不承诺,则直接丢弃。

  3) 内容检测

  主引擎工作的最后一个流程为内容检测流程,主如果需要对数据包进行深层次的和谈解码、内容解析、模式匹配等把持,实现对数据包内容的完全解析;然后经由过程查找相对应的内容安然策略进行匹配,最后根据安然策略履行诸如:丢弃、报警、记实日记等动作。

  3. 数据包出站措置阶段

  当数据包颠末内容检测模块后,会进进出站措置流程。起首系统会路由等信息查找,然后履行QOS,IP数据包分片的把持,假定该数据走VPN通道的话,还需要经由过程VPN加密,最掉队行数据转发。

  二. 与统一策略的关系

  统一策略实际上是经由过程统一套安然策略将处于不合层级的安然模块有效地整合在一路,在策略匹配挨次及层次上实现系统智能匹配,其首要的目标是为了供给更好的可用性。举个例子:有些产品HTTP的检测,URL过滤是经由过程代办署理模块做的,而其他和谈的进侵检测是用别的的引擎。 用户必需大白这些模块间的依托关系,别离做出准确的购买才能达到需要的功能,而统一策略可以有效的解决上述标题问题。

  一体化引擎则是从系统实现的角度将统一策略所触及到的各个安然营业模块经由过程收集措置、和谈阐发、威胁检测等底层手艺进行实现,最终包管全部系统高机能,低时延,同时为统一策略的实现供给有效根本。

下一代防火墙  一体化让安然更容易用

  三. 结束语

  综上所述,下一代防火墙与统一威胁治理(UTM)的底子辨别其实其实不在于利用安然功能本身,而在于系统整体架构设计,就像节能灯和白炽灯的辨别,当然都能发光,可是前者的节能结果及性价比远远高于后者,而后者终将被用户和市场合裁减。作为此趋势的引领和鞭策者,绿盟科技等安然厂商推出的下一代防火墙http://www.nsfocus.com/event/nf/index.html 在安然引擎系统布局设计上和建设策略治理上集中表现了“一体化”的特点,实现了安然一体、建设治理一体的双一体,为用户在高机能安然防护、高效治理上供给了极大年夜价值。

------分隔线----------------------------

推荐内容