近幾年來(lái),計算機和網(wǎng)絡(luò )攻擊的復雜性不斷上升,使用傳統的防火墻和入侵檢測系統(IDS)越來(lái)越難以檢測和阻擋。隨著(zhù)每一次成功的攻擊,黑客會(huì )很快的學(xué)會(huì )哪種攻擊方向是最成功的。漏洞的發(fā)現和黑客利用漏洞之間的時(shí)間差也變得越來(lái)越短,使得IT和安全人員得不到充分的時(shí)間去測試漏洞和更新系統。隨著(zhù)病毒、蠕蟲(chóng)、木馬、后門(mén)和混合威脅的泛濫,內容層和網(wǎng)絡(luò )層的安全威脅正變得司空見(jiàn)慣。復雜的蠕蟲(chóng)和郵件病毒諸如Slammer、Blaster、Sasser、Sober、MyDoom等在過(guò)去幾年經(jīng)常成為頭條新聞,它們也向我們展示了這類(lèi)攻擊會(huì )如何快速的傳播——通常在幾個(gè)小時(shí)之內就能席卷全世界。
傳統的防火墻系統
狀態(tài)檢測防火墻原本是設計成一個(gè)可信任企業(yè)網(wǎng)絡(luò )和不可信任的公共網(wǎng)絡(luò )之間的安全隔離設備,用以保證企業(yè)的互聯(lián)網(wǎng)安全。狀態(tài)檢測防火墻是通過(guò)跟蹤會(huì )話(huà)的發(fā)起和狀態(tài)來(lái)工作的。通過(guò)檢查數據包頭,狀態(tài)檢測防火墻分析和監視網(wǎng)絡(luò )層(L3)和協(xié)議層(L4),基于一套用戶(hù)自定義的防火墻策略來(lái)允許、拒絕或轉發(fā)網(wǎng)絡(luò )流量。
傳統防火墻的問(wèn)題在于黑客已經(jīng)研究出大量的方法來(lái)繞過(guò)防火墻策略。這些方法包括:
l 利用端口掃描器的探測可以發(fā)現防火墻開(kāi)放的端口。
攻擊和探測程序可以通過(guò)防火墻開(kāi)放的端口穿越防火墻。如MSN、QQ等IM(即時(shí)通信)工具均可通過(guò)80端口通信,BT、電驢、Skype等P2P軟件的通信端口是隨機變化的,使得傳統防火墻的端口過(guò)濾功能對他們無(wú)能為力。SoftEther等軟件更可以將所有TCP/IP通訊封裝成HTTPS數據包發(fā)送,使用傳統的狀態(tài)檢測防火墻簡(jiǎn)直防不勝防。
作為應用層安全設備的領(lǐng)導廠(chǎng)商,深信服公司的NGAF安全平臺通過(guò)動(dòng)態(tài)威脅防御技術(shù)、風(fēng)險分析掃描引擎提供了無(wú)與倫比的功能和檢測能力。NGAF提供以下功能:
l 集成關(guān)鍵安全組件的狀態(tài)檢測防火墻。
l 可實(shí)時(shí)更新病毒和攻擊特征的網(wǎng)關(guān)防病毒。
l IPS(入侵防御系統)預置2200個(gè)以上的攻擊特征,并提供用戶(hù)定制特征的機制。
l VPN(支持PPTP、L2TP、IPSec)。
l Web內容過(guò)濾具有用戶(hù)可定義的URL、關(guān)鍵字過(guò)濾器和可自動(dòng)升級的最全面的URL地址庫。
l 帶寬管理功能防止帶寬濫用,IM/P2P過(guò)濾。
l 用戶(hù)認證,防止未授權的非法網(wǎng)絡(luò )訪(fǎng)問(wèn)。
l 動(dòng)態(tài)威脅防御提供先進(jìn)的威脅關(guān)聯(lián)技術(shù)。
l 單次解析引擎加速提供比基于ASIC、NPS的安全方案高出2-4倍的性能。
l 完整的系列支持服務(wù),包括數據中心、風(fēng)險報表、客戶(hù)端安全組件等。