如何让网络空间多维化——思科下一代防火墙

日期: 2013-05-21 来源:TechTarget中国

  谈到人类生活的空间和无限的宇宙,大家都会有很大的兴趣和很强的神秘感,认为多维空间的环境中,存在我们未知的事物,但从人的肉眼中只能看到是个长、宽、高三个维度所构成的空间,最多我们还可以加入时间,让时空互相联系,所以对于我们来说生活在一个四维时空。说道这里,让我们也想起,近年的一部大片诺兰的“盗梦空间”他突破了时空的限制,让电影中的时间与空间随意的跳跃交错,让人不得不佩服 “诺兰改变电影结构”的这句话。但网络是否也能空间多维化,让一个个数据包不再是二级制数字,而是一个真实的网络空间表现!

  我们先来纵观一下防火墙的发展,我们看到最早人们为了防护火灾或者大风,都要建立高于屋面的墙面,这样高高的墙面,可以防止在相邻民居发生火灾的情况下,起到隔断火源的作用。同样我们把网络中进行安全隔离,防止由于一些区域电脑感染病毒,而蔓延到整个业务网络,而且如果部署在内部网络和互联网的边缘,也可以起到防止外部非法流量访问业务网络。

  早期的防火墙,主要通过查看数据流的源IP地址、目的IP地址和交互端口,综合这些因素进行安全的行为判定。由于这些固定方式的安全查看也带来很多的问题,不能支持动态端口协商的应用处理,像某些应用程序在协商信道和数据信道并不是固定的端口,数据端口的使用往往需要协商后获得,比较随机,这对早期的防火墙是很大的挑战。还有些情况,用户IP地址经常会被篡改,所以通过IP地址限制特定用户是无法实现的。

  为了解决这些问题,防火墙做了一次技术的变革,增加了深度包检测的功能,对动态端口的应用协议进行深度结构化检测,动态协商的数据端口采用动态放行方式。同时也对数据认证源进行改进,结合微软活动目录,加强与身份认证系统的互动,让用户认证不再仅通过IP地址进行识别。

  看似这样的改变解决了我们面临的问题,但技术的发展是永远不会止步的,当今互联网的主要趋势正在向应用发展,带来虚拟化、智能终端、BYOD等新的概念和技术。如今,一般员工越来越习惯在移动设备上使用消费者应用访问基于 Web 的服务,来满足个人和工作两方面的需求。这些员工希望能够在企业网络上使用其常用的应用。IT 消费化也已成为趋势 – 员工希望能够在工作场所轻松使用其个人手机、平板电脑和笔记本电脑,而且不用担心会遭到黑客攻击。这次技术的变革也带来我们对安全更高的需求,我们更需要一个把用户真实环境中的信息作为安全的因数,体现在网络世界中。

  思科ASA5500X下一代防火墙对网络安全进行了全新的诠释,不再是一个IP地址就代表了一个用户,一条访问控制列表就能保证网络的安全,而是把扁平的线性网络重新构建成一个真实的生活空间。我们从人的肉眼中能看到是个长、宽、高三个维度所构成的空间,而思科下一代防火墙对这个空间进行了更详细的描绘,添加了用户接入的使用设备、接入网络中所处的物理位置、接入时间、接入使用的网络类型。同时结合用户访问的网站信誉度、使用的哪些应用软件等因子,让一个真实的用户所处的多维空间呈现在网络中。

  试想如果要在网络中构建一个真实的多维空间,哪些是我们需要的关键技术呢?首先大家都会想到用户识别,访问用户是什么身份、他会有哪些权限、如何去鉴别用户?这个需求是很好解决的,我们可以结合微软活动目录等多种的后台数据库,有效的实现了用户定位,帮助网络管理人员真正达到活动目录认证/防火墙策略和身份的对应,使得策略身份化,访控更加精细,管理更加方便。

  其次智能终端的出现带来很大的安全挑战,也带动了安全的发展机遇,下一代的防火墙必须具备设备识别的功能才有可能满足市场的需求,对智能终端的识别可以帮助企业和用户加强安全防范,控制安全风险。

  然后恶意网页、流氓软件、游戏网站……互联网上满天飞的年代,如何保证网络访问安全,同时满足用户的体验。我们不仅要通过内部流量可视化,带宽精准控制,也需要一个全球的信用度评价系统帮助鉴别那些未知网站的安全。

  思科提供了世界最大的威胁分析系统 — 思科安全智能运营中心 (SIO)。它包括超过 700,000 个全球传感器,每天可查看超过 50 亿次 Web 请求,以及 35% 的全球流量。SIO持续收集其接收到的所有信息,对网络、域和应用进行分类并为其分配信誉分数。这些分数通过集中计算,3-5分钟迅速分配至配置为接收这些分数的思科设备。ASA CX 收到这些分数后,更新其全球环境存储库,开始识别新兴威胁,并着手实施防御这些威胁的操作。

  讲了这么多,我们用一个场景帮助大家更好的理解思科下一代防火墙如何改变网络空间,让网络不再扁平,把网络真正映射成一个现实的空间。

  试想我们工作的普通一天,大家到了公司第一件事情当然是打开电脑处理邮件,找不同部门的同事协调事情,在上班时候没法访问公司业务以外的应用,但休息时间和下班后是可以访问的,这就是我们把时间加入了到网络维度中,如果你在非工作区上网将仅能访问internet,可以理解为我们把地点也加入了网络安全维度。同时我们也对使用不同设备进行控制,普通员工使用智能终端是不能访问业务网络的,但老板或者高级管理人员可以随时随地进行。与此同时,访问外部的应用是否被允许,被访问的外部网站是否安全,这些问题可以通过思科全球的SIO网站荣誉度评级,帮助大家过滤有潜在威胁的网站。这样一个网络安全多维因素结合起来,协助我们建立一个全新的网络安全空间。

  所以我们说现在世界是扁平的,网络空间是多维的!

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 整合NGFW和威胁分析后,防火墙这是要上天?

    早期的下一代防火墙(NGFW)构建于不同的时代,早在8到10年前,企业仍然主要依靠围绕网络构建外围来阻止恶意软件。Frost & Sullivan高级行业分析师Chris Rodriguez表示,但这已经不再是全方位的战略……

  • 改变网络安全现状:何不求诸下一代防火墙?

    下一代防火墙提供了很多新功能,但是如何将下一代防火墙添加到安全产品组件里面,这是个值得考虑的问题……

  • 选择下一代防火墙 助力网络安全资源优化

    下一代防火墙可以在网络安全资源的优化方面起着关键作用。哪种防火墙最值得青睐?企业应当选择具有哪些特性的下一代防火墙来武装IT安全团队,由此开始资源优化过程?

  • 下一代防火墙标准的全新诠释

    2014年9月,独立安全研究和评测机构NSS实验室,对业界几乎所有主流的下一代防火墙产品进行了统一的测评。Cisco的ASA下一代防火墙的三个型号,均以99.2%的成绩获得了最高安全效率评分。