成立于1996年的WatchGuard致力于提供电子商务安全和通信安全解决方案。由于技术创新、产品先进,WatchGuard在全球1500美元至9999美元的防火墙市场上有突出优势。日前,WatchGuard公司负责把握防火墙战略方向和发展进程的网络安全部高级副总裁Marck W.Stevens一行访华,为中国用户带来有关防火墙技术发展的最新方向。
集成入侵防御功能
随着黑客攻击、蠕虫病毒、恶意代码的大量涌现,企业网络所面临的风险逐日倍增,传统的防火墙技术带来了巨大挑战。Marck W.Stevens认为,在过去四年里,防火墙技术进展不大,在抵挡数目繁多、手法诡秘的新型攻击时显得力不从心。
许多用户将“包过滤”或“状态监测”防火墙作为防线,许多攻击利用了这类防火墙的缺陷。98%的网络通信是由HTTP、FTP、SMTP和DNS构成,这些协议都有可能被黑客用来发动攻击,使防火墙麻痹大意,而放过攻击。如果防火墙的性能不够,由防火墙保护的网络还容易遭受DoS和DDoS攻击。Marck W.Stevens认为在防线上添加入侵防御措施能够解决这一问题。用户可以采取两个方式来实现:一是在现有防火墙的基础上添加一个入侵防御系统,二是将现有防火墙替换成新型防火墙(又称“安全网关”),新型防火墙集成有入侵防御技术。
Marck W.Stevens赞成将入侵防御系统集成到防火墙中,主要是因为能够进行更好的DOS/DDoS保护,简化管理,降低配置错误,并且快速响应。如果使防火墙与入侵防御系统相互独立,防火墙位于入侵防御之外,那么DoS攻击就可能在抵达IPS系统之前使防火墙超载。此外,独立的管理控制台加大了管理和配置的复杂性,并有可能导致安全漏洞。自1997年开始,WatchGuard就在防火墙和VPN设备中集成了入侵防御功能,并且将在新一代防火墙当中为用户提供全面的入侵防御功能。
深度应用层代理检测
Marck W.Stevens认为,代理技术是防火墙?谕缰斜;ご嗳醯愕囊恢钟行Х绞健!鞍恕焙汀白刺恕倍允萁屑觳榈纳疃榷嘉薹ㄓ氪砑际跸噫敲馈T诜阑鹎郊际醴⒄钩跗冢鲇谛阅芸悸牵嗣墙隙嗖捎昧税撕妥刺嗖猓苌俨捎么砑际酰壳耙亚饔诔墒斓腁SIC和NP技术已经使得代理技术不会对防火墙性能造成影响,速度问题已经不再是影响人们选择防火墙技术的因素了,相反随着安全威胁的日益复杂和深层化,深层次的应用层代理检测技术对防火墙正变得越来越重要。
WatchGuard在防火墙当中使用代理技术,也是目前唯一能够在应用层(第七层)实现代理的安全厂商。在新一代防火墙中,WatchGuard不仅提供在网络层和传输层的状态包过滤检测,而且还提供应用层用代理检测。具体来说,HTTP应用代理程序可以进行针对性过滤内容,保护依赖互联网的企业应用免受HTML的攻击。SMTP应用代理程序实时监控接收和发送的邮件的内容,防止邮件服务器超载和受到邮件炸弹袭击,根据邮件类型和名称来辨别邮件是否携带有蠕虫或者木马,并且能够自行阻击攻击行动,或者隐藏或改变内部的IP地址,避免受到攻击的可能。
Marck W.Stevens明确提出,防火墙未来的发展方向是安全应用网关。尽管防火墙并不是企业网络安全防线的终点,但是如果将防火墙与其他措施配合使用,并建立一个层次化的安全机制,那么防火墙仍然是一个基础的防御工具。
Marck W.Stevens预言未来的防火墙
● 下一代防火墙将继续成为网络安全的基石
● 独立的入侵防御系统变得不具有竞争力,入侵防御将成为防火墙的一个功能
● 防火墙除了实现网络层安全外,还要实现应用层安全性
● 拥有更强的CPU处理能力和更大的存储空间,进行越来越繁重的处理
● ASIC和网络处理器将成为防火墙缩短处理延迟的关键
防火墙迈向安全应用网关
0
相关文章