“SCSA-T学习导图+”系列:下一代防火墙


本期引言:

近年来,随着数字化业务带给我们高效和便捷的同时,信息暴露面的增加、网络边界的模糊化以及黑客攻击的产业化,使得网络安全事件相较以往成指数级增加。传统防火墙基于五元组的方式对进出网络的数据流量进行访问控制,基于网络层特征进行攻击检测与识别。由于Web2.0的普及,通过少数端口和协议的数据流量越来越多,部分应用甚至使用非标准端口,基于端口/协议类检测方式的安全策略不再具有有效性,缺乏对基于应用发起的网络攻击行为的防御。

Gartner于2009年首次提出“下一代防火墙”的概念。下一代防火墙发展至今,也经过了约13年。那么2023年的“下一代防火墙”具备些什么特性呢?本篇就以深信服下一代防火墙为例,来一探究竟。

概念:

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术,其本质就是不同网络区域之间的安全技术(访问控制、入侵检测等)。

下一代防火墙,即Next Generation Firewall,简称NGFW,是一款可以全面应对应用层威胁的高性能防火墙。下一代防火墙不仅具备传统防火墙的功能与特点,同时集成应用层安全防御技术、可视化技术和智能化技术。

深信服下一代防火墙以保障用户核心资产为目标,在传统防火墙的基础上集成丰富的应用层安全功能,为用户提供L2-L7层网络的全面安全防护能力,是一款能够有效应对传统网络攻击和未知威胁攻击的创新网络安全产品。为实现对各类安全风险的有效防御,深信服下一代防火墙集成云端订阅服务、机器学习和大数据分析等业内领先的创新安全技术,增强组织网络边界的安全检测与防控能力,保障网络的正常运行,实现业务的稳定运营。

功能介绍:

深信服下一代防火墙兼容传统防火墙的所有功能特性,包括交换/路由、访问控制、双机热备、抗DDOS攻击、应用代理、DHCP/DNS、VPN等功能,其中入侵防御功能、应用层安全防护功能和病毒防护功能是核心功能。

1.入侵防御

IPS(Intrusion Prevention System)是一种安全机制,通过分析网络流量检测僵尸、木马、蠕虫等恶意威胁入侵,并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。入侵防御实现机制如下:

  • 重组应用数据

数据流量进入IPS模块前,会先对IP分片报文重组和TCP流重组,确保应用层数据的连续性,有效检测逃避入侵检测的攻击行为。

  • 协议识别和协议解析

根据内容识别出多种应用层协议,并根据具体协议进行精细的解码并深入提取报文特征进行入侵检测。

  • 特征匹配

将解析后的报文特征和签名进行匹配,如果命中了签名则进行响应处理。

2.应用层安全防护

根据 Gartner 的调查报告显示,信息安全攻击有 70% 都是发生在 Web 应用层而非网络层面上,同时数据也显示2/3的Web站点都相当脆弱,易受攻击。绝大多数企业将大量的投资花费在网络和服务器的安全上,通常在网络中会部署防火墙、IPS、防病毒等安全产品,但是这类产品对于Http和Https的Web应用层攻击往往无法检测,没有从真正意义上保证 Web 业务本身的安全。

深信服下一代防火墙采用“规则匹配+WISE语义引擎”双重检测机制,针对攻击者发起的应用层攻击行为进行深度检测与阻断,内置5000+主流应用特征库,每两周例行更新,重大时期二十四小时更新,有效识别攻击者发起的各类主流Web应用攻击行为。

3.病毒防护

深信服下一代防火墙采用流模式和启发式文件扫描技术,并使用自研的AI杀毒引擎SAVE,可对HTTP、SMTP、POP3、IMAP、FTP、SMB等多种协议类型的近百万种病毒进行查杀,包括木马、蠕虫、宏病毒、脚本病毒等,同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。

 

典型部署场景

1.网关模式

网关模式是指防火墙产品工作在三层交换模式,深信服下一代防火墙以网关模式部署在网络中,所有流量都经过深信服下一代防火墙处理,实现对用户或者服务器的流量管理、行为控制、安全防护等功能。作为出口网关,深信服下一代防火墙需要保障网络安全,满足多线路技术扩展出口带宽、代理内网用户上网、服务器发布及实现路由功能等。

 

2.网桥模式-单网桥模式

网桥模式是指防火墙产品工作在二层交换模式,深信服下一代防火墙以网桥模式部署在网络中,如同连接在出口网关和内网交换机之间的“智能网线”,实现对用户或者服务器的流量管理、行为控制、安全防护等功能。网桥模式适用于不希望更改网络结构、路由配置、IP配置的环境。

 

3.网桥模式-多网桥模式

深信服下一代防火墙支持多路桥接部署模式,适应多机网络环境要求。在不影响原有双机、双线路前提下,对流经深信服下一代防火墙的所有数据流进行控制、拦截、流量管理、安全检测等操作。

 

4.旁路模式

深信服下一代防火墙以旁路模式部署在网络中,与交换机镜像端口相连,实施简单且完全不影响原有的网络结构,降低了网络单点故障的发生率。此时深信服下一代防火墙获得的是链路中数据的“拷贝”,主要用于监听、检测局域网中的数据流及用户或服务器的网络行为,实现对用户或服务器的TCP行为的管控。

 

5.双机模式-主主模式

为保障网络边界可靠性,深信服下一代防火墙支持两台设备同时以主机模式运行,起到设备冗余与负载均衡的作用。在这种环境中,深信服下一代防火墙以单网桥模式或者多网桥模式部署在网络中。

 

6.双机模式-主备模式

为保障网络边界可靠性,深信服下一代防火墙支持两台设备以双机模式运行。两台设备通过心跳口相连,一主一备,当主设备发生故障时自动切换到备用设备,提高网络的稳定可靠性。在这种环境中,深信服下一代防火墙以单网桥模式、多网桥模式或者网关模式部署在网络中。

 

总结

下一代防火墙,基本上是目前企业网络安全的必备产品;同时也是在网络安全等级保护要求中,分区分域逻辑隔离的首选产品。如今的下一代防火墙在以自身安全防护功能的基础上,还可以联动终端安全产品,以及安全日志分析平台等,实现云网端的全面安全覆盖。同时订阅服务型下一代防火墙产品也逐步进入了企业,进一步解放了安全管理人员的运维压力,让安全管理越来越简单。

思考

很多组织在使用下一代防火墙时,会考虑可用性,使用双机部署。那么防火墙的主主模式部署,是否是一种值得强烈推荐的部署模式呢?

本期作者:

石岩,深信服培训认证中心主任、深信服安全服务认证专家(SCSE-S)

产业教育中心资深讲师,中国网络空间安全协会会员,深圳大学专业学位研究生校外导师;曾任国内知名安全厂商安全认证负责人、安全服务工程师、信息安全咨询顾问、信息安全讲师;多次为政府、运营商、企业、本科、高职学员以及高校老师进行信息安全培训;多次组织、参与职业能力评价认证工作,擅长Web安全、渗透测试、操作系统等多个方向的课程。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/13312.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

JavaScript(JS)-1.JS基础知识

1.JavaScript概念 (1)JavaScript是一门跨平台,面向对象的脚本语言,来控制网页行为的,它能使网页可交互 (2)W3C标准:网页主要由三部分组成 ①结构:HTML负责网页的基本结构(页面元素和内容)。 …

【Linux网络服务】Linux网络设置

一、查看网络配置 1.1ifconfig 1.2ip a 1.3什么是mtu 最大传输单元MTU,是指网络能够传输的最大数据包大小,以字节为单位。MTU的大小决定了发送端一次能够发送报文的最大字节数。如果MTU超过了接收端所能够承受的最大值,或者是超过了发送路径…

EIGRP 配置,详解拓扑表,路由汇聚

1.3 EIGRP 拓扑,路由以及汇聚 1.3.1 实验目的 通过对 EIGRP 拓扑,路由以及汇聚相关实验的练习,掌握 EIGRP 建立拓扑信息的方式, 度量计算方法,如何调整度量,非等价负载均衡,以及 EIGRP 末节路…

做完自动化测试,但别让不会汇报毁了你...

pytest 是一个成熟的全功能Python测试工具,可以帮助您编写更好的程序。它与 python 自带的 unittest 测试框架类似,但 pytest 使用起来更简洁和高效,并且兼容 unittest 框架。pytest 能够支持简单的单元测试和复杂的功能测试,pyte…

Verilog带参数的`define用法

宏除了可以进行简单的文本替换,还可以像函数和任务一样传递指定多个参数分别对文本进行对应的替换. 示例1: define Disp(pa,pb,pc) \initial \begin \#1200; \$display("%d \n",(papbpc)); \$display(" data_ pa data_ pb data_ pc %d",(…

C#中用程序代码修改了datagridview中的数据,保存时只对光标当前行有保存解决办法

C#中DataGridView绑定了DataTable后,通过代码修改DataGridView中的数据,总有一行(被修改过并被用户选中的行集合中索引为0的行)不能被UpDate回数据库的问题和解决办法 长江黄鹤 2017-06-26 | 300阅读 | 1转藏 转藏全屏朗读分…

真题详解(UML部署图)-软件设计(五十二)

真题详解(地址索引)-软件设计(五十一)https://blog.csdn.net/ke1ying/article/details/130211684 瀑布模式:适应 开发大型项目,且需求明确。 演化模式:适应 对软件需求缺乏准确认知。 螺旋模式&#xff…

【linux】yum “应用商店” 的基本用法

好多工具 yum软件包查看软件包安装软件卸载软件 yum 通俗的讲,这就似我们手机上的应用商店,只不过是在linux下的。 我们可以用yum来下载东西。 软件包 在Linux下安装软件, 一个通常的办法是下载到程序的源代码, 并进行编译, 得到可执行程序。 但是这样…

19 calloc 和 realloc 虚拟内存分配的调试

前言 前面提到了 malloc 虚拟内存分配相关的内容 malloc 虚拟内存分配的调试(1) malloc 虚拟内存分配的调试(2) 这里提 calloc 和 realloc, 这两个函数 虽然没有 malloc 使用频率那么高 但是 还是有很大的知名度的, 本文这里 我们来看一下 calloc 此函数传入两个参数, 第…

Obsidian中如何创作思维导图Mind-map

使用插件 obsidian-mind-map 1.直接在社区下载安装 设置快捷键或者在左侧竖形打开命令面板搜索关键字“mind”, 或者为了便于使用,设置快捷键,在设置-第三方插件中-选择快捷键 然后按下你想设置的快捷键就可以 我这里设置成了CtrlAltM ,M是…

虚拟数字人的3种驱动方式

虚拟数字人是由计算机程序所构建的具有人类特征的虚拟实体,目前的虚拟数字人经过了三代的更迭,划分每一代更迭的标准则是虚拟数字人的驱动方式。 一、虚拟数字人1.0:动画&CG驱动 虚拟数字人1.0就是目前我们所熟知的,比如&am…

LiveCharts2 初步认识

文章目录 1 LiveCharts2 是什么?2 LiveCharts2 可以做什么?3 简单使用LiveCharts2 ,实现动态曲线图 1 LiveCharts2 是什么? GitHub:https://github.com/beto-rodriguez/LiveCharts2 官网: https://lvchar…

C++ STL学习之【反向迭代器】

✨个人主页: 夜 默 🎉所属专栏: C修行之路 🎊每篇一句: 图片来源 A year from now you may wish you had started today. 明年今日,你会希望此时此刻的自己已经开始行动了。 文章目录 🌇前言&a…

分布式锁-Redisson

分布式锁 1、分布式锁1.1 本地锁的局限性1.1.1 测试代码1.1.2 使用ab工具测试(单节点)1.1.3 本地锁问题演示(集群情况) 1.2 分布式锁实现的解决方案1.3 使用Redis实现分布式锁(了解即可)1.3.1 编写代码1.3.2 压测 1.4 使用Redisson解决分布式锁1.4.1 实现代码1.4.1 压测1.4.2 可…

2 常见模块库(2)

2.5 复用器与分路器模块 Mux是一种用于将多个信号组合成一个信号的模块。Mux模块的名称来源于多路复用器(Multiplexer)。 使用Mux可以将多个输入信号组合成一个向量或矩阵,以便在模型中传递和处理。Mux模块可以接受任意数量的输入信号&#x…

什么是伪原创?SEO伪原创该怎么做

伪原创是指在原有的文章或内容基础上进行修改或调整,以产生看起来是全新内容的文章,但实际上并没有创造新的价值。多数情况下,伪原创的目的是为了在文章相对原创的情况下,提高搜索引擎的排名。 一、高质量伪原创 做好伪原创&#…

C语言从入门到精通第8天(分支结构if、else、switch的使用)

分支结构if、else、switch的使用 if语句if...else语句if...else嵌套if...else if...else语句switch语句 if语句 语法: if(表达式){ 语句; } 如果表达式为真,则执行{}里面的语句。如果为假,则不执行。示例代码: int m…

翻译国外文章-整篇文章的翻译

chatgpt翻译是专业的吗 ChatGPT是一种AI语言模型,它可以用来执行各种自然语言处理任务,包括翻译。然而,ChatGPT的翻译结果并不是专业的翻译,因为该模型并不是专为翻译任务训练的。 虽然ChatGPT的翻译质量相对较高,但…

全景视角下的世界探索——三维全景地图

引言:随着数字技术和虚拟现实技术的发展,三维全景地图已成为一种新型地图展示方式,深受人们的关注和喜爱。三维全景地图以其真实逼真、互动性强、展示效果好等特点,正在越来越多的领域得到应用。 三维全景地图的特点 1.真实逼真 …

考研计算机组成原理总结(7)

一.虚拟存储器 1.基本知识 主存和辅存共同构成了虚拟存储器,二者在硬件和系统软件的共同管理下工作。对于应用程序员而言,虚拟存储器是透明的。虚拟存储器具有主存的速度和辅存的容量。 2.基本概念 虚拟存储器将主存或辅存的地址空间统一编址&#x…