“SCSA-T学习导图+”系列:下一代防火墙

news2024/11/15 21:03:40


本期引言:

近年来,随着数字化业务带给我们高效和便捷的同时,信息暴露面的增加、网络边界的模糊化以及黑客攻击的产业化,使得网络安全事件相较以往成指数级增加。传统防火墙基于五元组的方式对进出网络的数据流量进行访问控制,基于网络层特征进行攻击检测与识别。由于Web2.0的普及,通过少数端口和协议的数据流量越来越多,部分应用甚至使用非标准端口,基于端口/协议类检测方式的安全策略不再具有有效性,缺乏对基于应用发起的网络攻击行为的防御。

Gartner于2009年首次提出“下一代防火墙”的概念。下一代防火墙发展至今,也经过了约13年。那么2023年的“下一代防火墙”具备些什么特性呢?本篇就以深信服下一代防火墙为例,来一探究竟。

概念:

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术,其本质就是不同网络区域之间的安全技术(访问控制、入侵检测等)。

下一代防火墙,即Next Generation Firewall,简称NGFW,是一款可以全面应对应用层威胁的高性能防火墙。下一代防火墙不仅具备传统防火墙的功能与特点,同时集成应用层安全防御技术、可视化技术和智能化技术。

深信服下一代防火墙以保障用户核心资产为目标,在传统防火墙的基础上集成丰富的应用层安全功能,为用户提供L2-L7层网络的全面安全防护能力,是一款能够有效应对传统网络攻击和未知威胁攻击的创新网络安全产品。为实现对各类安全风险的有效防御,深信服下一代防火墙集成云端订阅服务、机器学习和大数据分析等业内领先的创新安全技术,增强组织网络边界的安全检测与防控能力,保障网络的正常运行,实现业务的稳定运营。

功能介绍:

深信服下一代防火墙兼容传统防火墙的所有功能特性,包括交换/路由、访问控制、双机热备、抗DDOS攻击、应用代理、DHCP/DNS、VPN等功能,其中入侵防御功能、应用层安全防护功能和病毒防护功能是核心功能。

1.入侵防御

IPS(Intrusion Prevention System)是一种安全机制,通过分析网络流量检测僵尸、木马、蠕虫等恶意威胁入侵,并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。入侵防御实现机制如下:

  • 重组应用数据

数据流量进入IPS模块前,会先对IP分片报文重组和TCP流重组,确保应用层数据的连续性,有效检测逃避入侵检测的攻击行为。

  • 协议识别和协议解析

根据内容识别出多种应用层协议,并根据具体协议进行精细的解码并深入提取报文特征进行入侵检测。

  • 特征匹配

将解析后的报文特征和签名进行匹配,如果命中了签名则进行响应处理。

2.应用层安全防护

根据 Gartner 的调查报告显示,信息安全攻击有 70% 都是发生在 Web 应用层而非网络层面上,同时数据也显示2/3的Web站点都相当脆弱,易受攻击。绝大多数企业将大量的投资花费在网络和服务器的安全上,通常在网络中会部署防火墙、IPS、防病毒等安全产品,但是这类产品对于Http和Https的Web应用层攻击往往无法检测,没有从真正意义上保证 Web 业务本身的安全。

深信服下一代防火墙采用“规则匹配+WISE语义引擎”双重检测机制,针对攻击者发起的应用层攻击行为进行深度检测与阻断,内置5000+主流应用特征库,每两周例行更新,重大时期二十四小时更新,有效识别攻击者发起的各类主流Web应用攻击行为。

3.病毒防护

深信服下一代防火墙采用流模式和启发式文件扫描技术,并使用自研的AI杀毒引擎SAVE,可对HTTP、SMTP、POP3、IMAP、FTP、SMB等多种协议类型的近百万种病毒进行查杀,包括木马、蠕虫、宏病毒、脚本病毒等,同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。

 

典型部署场景

1.网关模式

网关模式是指防火墙产品工作在三层交换模式,深信服下一代防火墙以网关模式部署在网络中,所有流量都经过深信服下一代防火墙处理,实现对用户或者服务器的流量管理、行为控制、安全防护等功能。作为出口网关,深信服下一代防火墙需要保障网络安全,满足多线路技术扩展出口带宽、代理内网用户上网、服务器发布及实现路由功能等。

 

2.网桥模式-单网桥模式

网桥模式是指防火墙产品工作在二层交换模式,深信服下一代防火墙以网桥模式部署在网络中,如同连接在出口网关和内网交换机之间的“智能网线”,实现对用户或者服务器的流量管理、行为控制、安全防护等功能。网桥模式适用于不希望更改网络结构、路由配置、IP配置的环境。

 

3.网桥模式-多网桥模式

深信服下一代防火墙支持多路桥接部署模式,适应多机网络环境要求。在不影响原有双机、双线路前提下,对流经深信服下一代防火墙的所有数据流进行控制、拦截、流量管理、安全检测等操作。

 

4.旁路模式

深信服下一代防火墙以旁路模式部署在网络中,与交换机镜像端口相连,实施简单且完全不影响原有的网络结构,降低了网络单点故障的发生率。此时深信服下一代防火墙获得的是链路中数据的“拷贝”,主要用于监听、检测局域网中的数据流及用户或服务器的网络行为,实现对用户或服务器的TCP行为的管控。

 

5.双机模式-主主模式

为保障网络边界可靠性,深信服下一代防火墙支持两台设备同时以主机模式运行,起到设备冗余与负载均衡的作用。在这种环境中,深信服下一代防火墙以单网桥模式或者多网桥模式部署在网络中。

 

6.双机模式-主备模式

为保障网络边界可靠性,深信服下一代防火墙支持两台设备以双机模式运行。两台设备通过心跳口相连,一主一备,当主设备发生故障时自动切换到备用设备,提高网络的稳定可靠性。在这种环境中,深信服下一代防火墙以单网桥模式、多网桥模式或者网关模式部署在网络中。

 

总结

下一代防火墙,基本上是目前企业网络安全的必备产品;同时也是在网络安全等级保护要求中,分区分域逻辑隔离的首选产品。如今的下一代防火墙在以自身安全防护功能的基础上,还可以联动终端安全产品,以及安全日志分析平台等,实现云网端的全面安全覆盖。同时订阅服务型下一代防火墙产品也逐步进入了企业,进一步解放了安全管理人员的运维压力,让安全管理越来越简单。

思考

很多组织在使用下一代防火墙时,会考虑可用性,使用双机部署。那么防火墙的主主模式部署,是否是一种值得强烈推荐的部署模式呢?

本期作者:

石岩,深信服培训认证中心主任、深信服安全服务认证专家(SCSE-S)

产业教育中心资深讲师,中国网络空间安全协会会员,深圳大学专业学位研究生校外导师;曾任国内知名安全厂商安全认证负责人、安全服务工程师、信息安全咨询顾问、信息安全讲师;多次为政府、运营商、企业、本科、高职学员以及高校老师进行信息安全培训;多次组织、参与职业能力评价认证工作,擅长Web安全、渗透测试、操作系统等多个方向的课程。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/446886.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

医院影像图像科室工作站PACS系统 DICOM 三维图像后处理与重建

PACS报告系统的主要任务是通过运用不断积累诊断常用语,减轻出报告的劳动强度,并且将报告保存成电子文档以便日后查阅。在PACS的报告系统中,有三种不同层次的方法输入文字—“高级模板”、“分类词条”和“短语词典”。这三种方法的内容都可以…

记一次从JS到内网的横向案例

前言 前段时间参加了一场攻防演练,使用常规漏洞尝试未果后,想到不少师傅分享过从JS中寻找突破的文章,于是硬着头皮刚起了JS,最终打开了内网入口获取了靶标权限和个人信息。在此分享一下过程。 声明:本次演练中&#xf…

C/C++每日一练(20230422)

目录 1. 存在重复元素 🌟 2. 组合总和 🌟🌟 3. 给表达式添加运算符 🌟🌟🌟 🌟 每日一练刷题专栏 🌟 Golang每日一练 专栏 Python每日一练 专栏 C/C每日一练 专栏 Java每日…

java基于J2EE的学生宿舍信息管理系统

本目 录 摘 要 I ABSTRACT II 第一章 绪论 1 1.1课题研究背景 1 1.2课题的目的和意义 1 1.3开发工具及简介 2 1.3.1开发工具 2 1.3.2 JSP技术 3 1.3.3 JavaScript 4 第二章 需求分析 4 2.1可行性分析 4 2.1.1技术的可行性 4 2.1.2经济的…

Faster RCNN系列1——Anchor生成过程

Faster RCNN系列: Faster RCNN系列1——Anchor生成过程 Faster RCNN系列2——RPN的真值与预测值概述 Faster RCNN系列3——RPN的真值详解与损失值计算 Faster RCNN系列4——生成Proposal与RoI Faster RCNN系列5——RoI Pooling与全连接层 一、RPN模块概述 RPN模块…

jsp946+java物流信息管理平台-sqlserver

本系统是一个独立的系统,用来解决物流信息信息的管理问题。采用JSP技术构建了一个有效而且实用的物流信息信息管理平台,目的是为高效地完成对物流信息信息的管理。 1、内部办公功能:包含工作计划、通告管理、公文管理; 包括可以…

手机录音误删怎么恢复?恢复录音,就这么简单!

案例:手机录音删除了还能恢复吗? 【友友们,苹果手机录音删除了还可以恢复吗?里面有一些关于会议记录的录音,不小心被我删了,有哪些方法可以快速恢复录音文件?】 如果您在使用iPhone手机录音时误…

Python小姿势 - ### Python之禅

Python之禅 Python之禅(The Zen of Python)是Python之父Guido van Rossum所著的一篇文章,总结了Python语言的哲学。 文章开头写道: Beautiful is better than ugly. Explicit is better than implicit. Simple is better than com…

代码随想录--字符串--反转字符串题型

反转字符串 不能给另外的数组分配额外的空间,你必须原地修改输入数组、使用 O(1) 的额外空间解决这一问题。 我们直接用双指针,一个指头一个指尾,swap交换,然后同时往中间走一步再进入循环交换即可。 反转字符串II 这道题我们容…

linux(18.04)编译安装python3.6的全过程,pip python不与linux系统环境混乱

因为使用要求,使得我需要在linux环境下安装一个独立的python环境,不干扰其他环境。 一,下载python资源包 两种下载方式二选一,谁快选谁 linux下载: 不同的python版本,安装过程是一样的,下载…

蒙层禁止页面滚动

学习链接&#xff1a;蒙层禁止页面滚动的方案 <!DOCTYPE html> <html> <head><meta charset"utf-8"><meta name"viewport" content"widthdevice-width, initial-scale1"><title>蒙层禁止页面滚动的方案<…

Map Reduce高级篇:Join-Reduce

Join关联操作 背景 在实际的数据库应用中&#xff0c;我们经常需要从多个数据表中读取数据&#xff0c;这时就可以使用SQL语句中的连接&#xff08;JOIN&#xff09;&#xff0c;在两个或者多个数据表中查询数据。在使用MapReduce框架进行数据查询的过程中&#xff0c;也会涉…

React Refs

React 支持一种非常特殊的属性 Ref &#xff0c;可以用来绑定到 render() 输出的任何组件上。 这个特殊的属性允许引用 render() 返回的相应的支撑实例 &#xff08; backing instance &#xff09;。这样就可以确保在任何时间总是拿到正确的实例。 使用&#xff1a; 绑定一…

Linux基础—DHCP原理与配置

Linux基础—DHCP原理与配置 一、DHCP工作原理1.了解DHCP服务使用DHCP的优势DHCP的分配方式 2.DHCP的IP地白动获取工作原理: 二、配置DHCP服务器三、DHCP场景应用实验 一、DHCP工作原理 1.了解DHCP服务 DHCP(Dynamic HostConfiguration Protocol&#xff0c;动态主机配置协议) …

网络基础入门

目录 网络存在的意义 网络发展 网络在哪里&#xff1f; 网络是分层的 理解分层 软件可以分层 网络协议栈也是层状结构 认识协议 协议是什么 协议分层 网络传输需要解决的四个问题 OSI七层模型&#xff08;了解为主&#xff09; TCP/IP五层&#xff08;或四层&…

LVS --一文精通

目录 dns解析 下一跳机制 LVS:NAT LVS: IP TUN隧道 LVS: DR DR> TUN > NAT > FULL NAT dns解析 DNS本地域名服务器&#xff0c;当用户访问一个网址&#xff0c;计算机就会提出域名解析请求&#xff0c;并发给本地域名服务器&#xff0c;本地域名服务器收到请求…

你真正了解低代码么?(国内低代码平台状况分析)

■ 写在前面■ 低代码产品如何分类&#xff0c;90% 的人都没有搞清楚■ 低代码平台如何比较&#xff1f;Point 在哪儿&#xff1f;一个比喻大家全听懂■ “拼”出来的低代码平台&#xff0c;真的好用吗&#xff1f;■ 推荐一款 C 端低代码产品 ■ 写在前面 都说技术是生产力&a…

每日一个小技巧:1分钟告诉你如何给黑白照片上色

你是否有过这样的经历&#xff1a;在家翻出爷爷奶奶的旧照片时&#xff0c;发现它们都是黑白色的&#xff0c;无法体现当时的真实色彩&#xff1f;由于一些老照片的拍摄时间较早&#xff0c;因此都是以黑白形式存在的&#xff0c;这样的照片不仅影响观感&#xff0c;还抑制了我…

SAS学习第11章:试验设计

试验设计必须遵循以下原则&#xff1a;重复、随机、局部控制。 重复即每个处理都要有至少2个试验单位&#xff0c;目的是估计试验误差&#xff0c;降低试验误差。若只有1个观测值&#xff0c;无法估计试验误差。平均数抽样误差估计值大小与重复次数的平方成反比&#xff0c;适…

Linux基础——DNS服务器原理及搭建

Linux基础——DNS服务器原理及搭建 一、DNS服务器原理1.DNS系统分布式数据结构2.DNS查询类型3.DNS服物器类型 二、搭建DNS域名解析服务器步骤1.安装bind软件包2. 查看需要修改的配置文件所在路径3. 修改主配置文件4. 修改区域配置文件&#xff0c;添加正向区域配置5.配置正向区…