智能防火墙的关键技术和功能应用(下)

日期: 2008-07-22 作者:万国平 来源:TechTarget中国 英文

    四、智能防火墙的关键技术


    1.防攻击技术


     智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYN Flooding,Land Attack,UDP Flooding,Fraggle Attack,Ping Flooding,Smurf,Ping of Death,Unreachable Host等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。


    2.防扫描技术


     智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS,SSS,NMAP等扫描工具,智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。


    3.防欺骗技术


     智能防火墙提供基于MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。


    4.入侵防御技术


     智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供入侵防御保护。入侵防御技术采用了多种检测技术,特征检测可以准确检测已知的攻击,特征库涵盖了目前流行的网络攻击;异常检测基于对监控网络的自学习能力,可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控,并能阻断应用层攻击。


    5.包擦洗和协议正常化技术


     智能防火墙支持包擦洗技术,对IP,TCP,UDP,ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。


    6.AAA技术


     IP v4版本的一大缺陷是缺乏身份认证功能,所以在IP v6版本中增加了该功能。问题是IP v6的推广尚需时日,IP v4在相当长一段时间内,还会继续存在。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。


    五、智能防火墙的功能特点


  智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的问题,病毒传播的问题和高级应用入侵的行为,代表着防火墙的主流发展方向。新一代的智能防火墙自身的安全性较传统的防火墙有很大的提高,在特权最小化,系统最小化,内核安全,系统加固,系统优化和网络性能最大化方面,与传统防火墙相比,有质的飞跃。


     智能防火墙执行全访问的访问控制,而不是简单的进行过滤策略。基于对行为的识别,可以根据什么人、什么时间、什么地点(网络层),什么行为(OSI7层)来执行访问控制,大大增强了防火墙的安全性,更聪明更智能。


     智能防火墙的高可用性也是一大亮点。支持最新的国际RFC双机热备标准VRRP,支持流量分担,支持并行防火墙,支持双机容错,支持负载均衡,支持多出口路由。流量分担和并行防火墙技术,对实现线速防火墙具有重大的现实意义。


智能防火墙还具有广泛的应用支持。支持内核级的FTP,H.323,IGMP(组播)等特殊应用支持,支持基于SNMP的集中网管,支持特殊应用网关定制。


     智能防火墙具备集中网络管理平台,具备配置管理、性能管理、故障管理、安全管理、审计管理五大管理域。


智能防火墙提供网络实时监控功能。支持监控防火墙的性能如CPU,内存,网络和硬盘的使用率等信息。支持监控防火墙的状态,并实时报警。支持实时监控,包括性能监控、接口流量监控等。


     智能防火墙提供对日志的监控,自动处理,人工或自动导出,数据库导入,查看,查询,显示,报警等功能。支持条件查询。


    六、智能防火墙的典型应用


  除传统防火墙的应用外,智能防火墙还有以下特殊应用场合。


   保护网络和站点免受黑客的攻击。由于目前众多的防火墙无法抵御DDOS的攻击,使得网站和网络频繁遭受黑客的攻击。采用智能防火墙,可以有效解决拒绝服务攻击。


     阻断病毒的恶意传播。智能防火墙可以智能识别病毒的恶意扫描和流量攻击,有效切断恶意病毒的传播途径。由于智能防火墙是从流量异常来判断病毒的传播,避免了每一次新病毒的爆发所带来的灾难。


     有效监控和管理内部局域网。传统的防火墙只防外不管内,导致内部局域网速度慢,恶意病毒和木马盛行。智能防火墙的防欺骗功能和MAC控制功能,有效发现内部恶意流量,帮助安全管理员来找到攻击来源。


     保护必需的应用安全。智能防火墙的入侵防护功能,深层的应用数据检测可以有效的发现对应用的恶意攻击,并加以制止。


     提供强大的身份认证授权和审计管理。对优化进行身份鉴别授权和审计,是网络安全的要素之一,基于人而不是IP进行管理,更能有效的进行网络安全管理。也为网络取证提供防抵赖的功能。


     使用并行防火墙来增加网络的高可用性,实现流量分担,负载均衡,双机热备,实现线速防火墙。大大降低了系统的成本,而且灵活,保持系统的高安全性。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

万国平
万国平

相关推荐

  • Cyphort分析技术助力Juniper Security Director

    瞻博网络在去年收购Cyphort公司,近日瞻博网络公司便推出第一款整合其安全产品与Cyphort威胁检测技术的 […]

  • 没有防火墙,如何防御网络威胁?

    对任何IT部门来说,识别并阻止网络威胁都是一场艰苦的战斗。而对于RIT这种规模的大学来说,BYOD是常态,活跃用户数量一般在16,000到21,000之间,所以,既要保护网络安全,还要尊重学术自由,这使得工作更具挑战性……

  • 迪普科技入围国家版权局版权监管平台建设项目

    近日,杭州迪普科技有限公司成功入围国家版权局版权监管平台建设项目,以其行业领先的防火墙、应用交付产品为互联网视频版权监管平台等多个业务系统提供安全防护和网络业务保障与优化。

  • 山石网科发布iNGFW更高性能单品T5860

    近日,继发布iNGFW T5060、T3860后,山石网科再次发布一款更高性能的单品T5860,继续扩充下一代智能防火墙产品线,为“智能安全”标注更深层的注解。