网络安全 频道

关于元组的下一代防火墙

  IT专业人士负责的周边防御不尽人意。

  例子: 所有形状和大小的因特网流量都是通过端口 80传输。也就是说,端口80必须一直保持打开状态。一些不怀好意的人也知道这一点。所以端口80就变成了他们私人恶意软件的公用通道。这些装满恶意代码的“卡车”沿着道路通行的方向通过检查站。

  有希望

  我想向你介绍下一代防火墙(NGFW). 防火墙的作用是基于应用来过滤数据包。这里继续我的类比,载满恶意代码的卡车不再能沿着道路通行的方向通过检查站。

  NGFW包含的其他特点:

  · 执行公司的规定: NGFW能够按照要求控制用户访问网站和在线应用。

  · SSL 代理服务器: NGFWs能够解密、检查和重建加密的SSL连接。这就消除用加密方法隐藏恶意软件的可能。

  · IDS/IPS: NGFWs在不需要单独的IDS/IPS设备的地方已包含深度数据包检查。

  · 便利的活动目录: 许多NGFWs能够基于个人用户配置文件或组授权使用。

  · 过滤恶意软件: NGFWs提供了签名、以信誉为本的过滤以阻止恶意应用程序。

  

关于元组的下一代防火墙

  供应商

  Palo Alto Networks 是第一家提供NGFW的公司。Palo Alto Networks 的NGFW 要求的有关信息,请查看白皮书 (上边的幻灯片)。 梭子鱼网络, 瞻博网络, 和沃奇卫士 也提供NGFW方案。

  N元组?

  我已经阅读了几乎所有有关NGFW元组的帖子。

  N-元组 是一个属性集。并且,在防火墙存在的情况下,这些属性是用来定义访问要求的。N是一个占位符,代表列表中的属性量。例如,一个5元组 “防火墙允许规则” 应包括:

  · 网络源地址

  · 源端口 (典型地: 任一个)

  · 目的IP地址

  · 目的端口(80 或 443)

  · 目的地协议 (典型地为TCP)

  所以正检查的数据包的这些属性都是正确的,则防火墙将允许它通过。

  扩展5元组

  在计算出所要的元组后,我认为我已经“准备好了”。然后我读了一些关于“扩展5元组”的文章。扩展一个元组。确实有意义吗?

  让我们看看它是否有意义。

  如上所述,第一代防火墙规则采用5个属性集或者5元组。那足以执行状态端口和协议检查、网络地址转换和虚拟专用网络技术。

  一个5元组规则集对NGFW是不够的。下一代防火墙需要额外的属性,如应用类型、用户身份,以便让其像广告中所说的那样工作。为理解其原因,最后一次考虑端口80的那个类比。

  如果发现装有恶意代码的卡车持有非法牌照,则该卡车不允许去任何地方。上述情况也适用于恶意代码。如果其车牌——“应用类型”属性——不正确,则会阻止该恶意代码继续前进。

  这个额外的属性或元组就是“5-元组的扩展”。

  忏悔时刻: 我还没有找到一个防火墙元组数的明确解释。但是,现在有一篇又一篇的文章提及到元组。所以我投入研究了。如果我的解释是错误的, 我希望对防火墙和数据库有充分理解的管理员能帮助我脱离困境。

  调查显示

  Ponomen 机构刚为SourceFire公司完成了 NGFW的调查 。该信息图表 ( 部分显示如下) 提供了一些有趣的数据,特别是使NGFW引起人们的兴趣的原因以及回答者的百分比让人注意到其性能下降:

  

关于元组的下一代防火墙

  结语

  恶意软件和反恶意软件的比赛正向着复杂化方向前进。

0
相关文章