首页运维零件 › 硬件防火墙vns威尼斯城官网登入:,  本文先介绍了防火墙技术的演变过程

硬件防火墙vns威尼斯城官网登入:,  本文先介绍了防火墙技术的演变过程

例如,为了解决缓冲区大小的问题,Fortinet推出了一个产品,其中有一个限制缓冲区大小的配置参数。该公司的相关文档解释说,缓冲区大小与漏过攻击的可能性之间需要进行权衡。此外,基于代理的检测的支持者则认为,基于流和基于代理的工具性能差别只是一种错觉,实际的事务处理时间非常接近。

Palo Alto Networks:Palo Alto
Networks加强了传统防火墙功能,以保护加密流量的安全。其防火墙会对通过防火墙的数据进行解密和扫描,以检测恶意软件。此外,所有流量都根据应用来分类,而之前未知的流量根据启发算法或者行为分析来分类。防火墙会基于应用类型以及用户和组策略来控制访问权限。

网络流采集会整理出数据进出网卡的IP网络统计信息。一旦将这些数据发送到一个集中的服务器并通过网络性能监控流分析工具的分析,网络支持管理员就能够分
辨流量的源信息和目标信息,以及流量在通过网络时会遇到的详细QoS策略。最终,这些数据会被用于识别网络设备之间的配置问题或各个网络路径的拥塞问题。

  深度检测在应用层进行状态检测。协议一致性,通过对协议报文的不同字段进行解密而实现,当协议中的字段被识别出来后,防火墙采用RFC定义的应用规则,来检查其合法性。如图4所示。

2:拨号VPN接入,利用拨号PSTM/ISDN接入ISP为用户提供VPN业务,这是一种“按需连接”的VPN,可以节约用户长途电话费用,因此需要做身份认证(CHAP/RADTUS)。

将DPI整合到其他网络安全和管理设备上

Wedge
Networks:
Wedge所谓的深度内容检测产品会对数据包进行重组,然后这些数据包被压缩和解码成应用级对象,接着,Wedge的反垃圾邮件、反恶意软件和Web监控产品会检查整个对象来找出威胁。该公司的硬件设备提供反垃圾邮件、防病毒和网络监控等功能,能够支持各种规模的网络。

不同的网络性能监控供应商在执行这些任务的粒度各不相同。而且,越精确的任务在实现和管理时会越复杂。因此,一定要准确理解自身组织的需求,之后再恰当地平衡粒度和复杂度。那么,我们接下来继续分析现代网络性能监控工具所具备的5个常用功能。

  防范应用层攻击,很大程度上依赖于字符串匹配。不正常的匹配会造成安全漏洞。比如,为了探知某种请求的安全策略是否被启用,防火墙通常根据请求的URL与安全策略来进行匹配。一旦与某种策略条件完全匹配,防火墙就采用对应的安全策略。指向同一个资源的URL或许有多种不同形态,如果该URL的编码方式不同的话,二进制方式的比较就不起作用了。攻击者会利用各种技术,对输入的URL进行伪装,企图避开字符串匹配,以达到越过安全设备的目的。

三、VPN

DPI工具:基于流与基于代理

针对托管安全服务供应商MSSP)产品的Wedge云解决方案能够通过在最终客户设备上放置浏览器或者客户端、再将网络流量导向到部署在云中的Wedge解决方案,来帮助MSSP确保其客户的安全。最终用户可以根据其个性化需求来配置安全和服务。

分析数据包并执行更精细的应用分析,这是许多企业组织越来越重视的需求。通过使用深度数据包检测技术,网络管理员就能够分辨出与应用程序关系更密切的通信问题,否则这些问题很难检测到。

  2.3 协议一致性

二、入侵检测系统/IDS

同时,对于基于流的技术,反对者认为这些工具不如基于代理的工具全面,因为如果不检查整个事务,它就无法检测威胁。而且,他们认为基于流的产品只支持一些基本的解压缩技术,如.zip,而基于代理的产品则支持更多的解压缩技术。基于流的产品供应商则认为,他们的软件在逐一检查数据包时,就能够发现恶意软件的特征。

Fluke Networks:因其电缆和数据通信测试设备而闻名的Fluke
Networks公司提供的OptiView XP网络分析仪和Network Time
Machine产品能够进行网络监控和性能分析。Network Time
Machine能够记录网络流量,并将流量分流到磁盘,以对网络问题和性能问题进行事后分析。

【编辑推荐】

  包过滤防火墙----第一代防火墙,没有状态的概念。通过包过滤,管理员能够允许或禁止ACLs(Access
Control Lists,访问控制列表)中的选项,包过滤防火墙主要具有以下属性:

根据体系结构分为:集中式,等级式,协作式。

此外,DPI工具能够显示每一个应用程序所使用的带宽比例。所以,有一些DPI设备甚至帮助网络管理员基于这些数据控制带宽分配。DPI还可以用在网络测试设备中,帮助网络管理员诱捕和记录应用层发生的特定事件。

SonicWALL:今年被戴尔收购的SonicWALL公司提供了一系列的网络安全设备,既包括适用于服务供应商以及大型企业的产品,也包括适合中小企业的产品。这些产品同时提供防火墙和UTM服务,让网络管理员可以根据应用、用户或组来监控和控制带宽分配情况。SonicOS平台整合了DPI与其他安全功能。

  1. 在所有关键的网络位置上部署分布式数据采集代理。

  2. 使用特定路由器/交换机硬件所具有的数据包捕捉功能。

  深度检测防火墙,必须确认应用层数据流是否与这些协议定义相一致,以防止隐藏其中的攻击。

IDS系统应该放在网络什么位置?

深度数据包检测(DPI)工具主要用于服务提供商网络,而今企业网络管理员越来越多地采用这种技术,优化应用程序性能管理和保证更高水平的安全性。

思科:融合了DPI的安全服务被整合到思科交换机、路由器以及网络安全设备中,例如ASA
5500系列自适应安全设备集成了防火墙以及IPS和VPN服务,并提供不同容量和配置的产品类型,另外,IPS
4300系列传感器提供与ASA
5500相同的IPS功能,但其部署不要求防火墙和VPN服务。

问题根源分析

  应用层协议,如HTTP、SMTP、POP3、DNS、IMAP和FTP,在应用程序中经常用到。每个协议,都由RFC(Request
For Comments)相关规范创建。

从防火墙技术分为:包过滤防火墙(静动态包过滤),应用代理防火墙(网关型代理,自适应代理)。

...

目前,深度数据包检测(DPI)功能正被整合到入侵检测和网络管理设备中,于是很多供应商,包括从传统网络基础设施供应商到第三方供应商等都提供这种工具。一些供应商提供基于流的DPI,而其他供应商则提供基于代理的DPI技术。同时,一些供应商将DPI整合到多功能设备中,而其他供应商则将其作为独立设备。在本文中,我们将列出这些供应商及其产品。

应用数据与流的捕捉分析

vns威尼斯城官网登入 1

四、安全审计产品:

基本的防火墙检测数据包头,保证HTTP请求只能通向Web服务器,而SMTP流量则转发到电子邮件服务器,但是这无法防御Web攻击或通过电子邮件传播的恶意软件。而DPI工具会检测数据包的所有内容,根据所使用的应用层协议确定性能水平。因此使用DPI,就可以查找、识别、分类、重新确定路由或阻挡带有特定数据或代码的数据包,而这是常规数据包过滤技术无法检测的。

WatchGuard
Technologies:
WatchGuard提供了一系列的防火墙设备,有支持大型企业的设备,也有支持中小企业的设备。其虚拟防火墙产品能够保护WMware环境中虚拟机的安全。针对小型企业的产品同样也整合了802.11n接入点。WatchGuard的XCS内容安全设备提供反垃圾邮件和反恶意软件、数据丢失防护、网页过滤、电子邮件加密和电子邮件附件控制等功能,并整合了DPI和其他安全功能。

vns威尼斯城官网登入 2

  ◆ 协议一致性;

僵尸网络发现:基于实时的信誉机制,结合企业级和全球信誉库,可有效检测恶意URI、僵尸网络,保护用户在访问被植入木马等恶意代码的网站地址时不受侵害,第一时间有效拦截Web威胁,并且能及时发现网络中可能出现的僵尸网络主机和CC连接。

对于基于代理的DPI工具,反对者认为进入防御设备的数据量(特别是文件越来越大)使基于代码的产品无法缓冲所有到达的流量。而且,他们相信,缓冲大文件会影响应用程序性能,造成不可接受的延迟。

...

网络与应用程序之间也一定会出现一些问题。这其中包括虚拟化、服务器操作系统及应用程序所依赖的各种中间件。虚拟机管理程序需要单独监控可能造成应用层性
能下降的问题。负责管理分布式系统之间通信的主操作系统和中间件也有一样的问题。网络性能监控供应商会使用不同的方法去监控这些问题,其中一些还支持更多
的虚拟机管理程序、操作系统和中间件软件。

  深度检测防火墙,将状态检测和应用防火墙技术结合在一起,以处理应用程序的流量,防范目标系统免受各种复杂的攻击。结合了状态检测的所有功能,深度检测防火墙能够对数据流量迅速完成网络层级别的分析,并做出访问控制决;对于允许的数据流,根据应用层级别的信息,对负载做出进一步的决策。

芯片级防火墙:基于专用的硬件平台,无操作系统,专有的芯片。此类防火墙比其他类型要更快,性能更高,价格相当于高昂。

Wedge
Networks提出了另一种DPI机制:深度内容检测。Wedge的产品会收集一系列的数据包,然后执行解压缩和解码,将它们转换为应用程序级对象。这样,Wedge的反垃圾、反病毒和Web监控产品就可以对整个对象进行检查,从中发现威胁。

Check Point
Software:
网络防火墙领导者CheckPoint公司提供一系列的安全设备,从保护数据中心或大型企业网络的高端产品,到针对小型企业或者分支机构的产品等。另外,该公司还提供保护VMware系统中虚拟机间流量的虚拟设备,以及针对Amazon
Web服务的虚拟设备,以帮助保护在Amazon云环境中运行的应用。

在许多场景中,网络性能监控工具已经从较为传统和简单的网络监控软件向前进化。这些监控工具通常使用ICMP的ping和简单网络监控协议(SNMP)的
polling/traps去检查网络状态。更现代的补充功能包括监控、基线化和智能分析应用程序本身的所有状态。最先进的网络监控工具则还能够执行以下
5种功能:

  在复杂的Web环境中,为了提供全面的应用程序防护,深度检测是必需的。为了能够有效的阻止Web攻击,防火墙必须能够应用基于源IP地址、目的IP地址、端口以及应用程序内容的安全策略。

1、网络主机:在非混杂模式网络中,可以将NIDS系统放在主机上,从而检测位于同一网段的机器间是否存在攻击现象。

DPI功能越来越多地整合到其他网络安全和管理设备上,用于优化网络访问控制,甚至保证服务质量(QoS)。入侵防御系统(IPS)、统一威胁管理
(UTM)和数据泄漏保护(DLP)设备中的DPI功能不仅能够抵御恶意软件,还能够降低企业网络中个人设备引起的安全风险。

Network Instruments:Network
Instruments公司的Observer软件、网络探针和GigaStor产品能够帮助网络管理员监控和捕捉网络活动以用于事后分析。其探针能够支持802.11、10Mb到10GbE、光纤通道和从T1到OC12的广域网。

SNMP会收集和组织来自支持这种协议的网络与服务器组件的各种不同类型的数据。

  ◆ 应用层加密/解密;

防火墙结构分为:单一主机防火墙(最为传统的防火墙,独立于其他网络设备位于网络边界),路由器集成防火墙(这种防火墙通常是较低级的包过滤型),分布式防火墙(在服务器或主机上安装PCI防火墙卡,通过管理软件进行管理,防火墙卡同时兼有网卡和防火墙双重功能,彻底保护内部网络)。

转载本站文章请注明出处:vns威尼斯城官网登入 http://www.tiec-ccpittj.com/?p=3641

上一篇:

下一篇:

相关文章