联合挑战第十期：应用防火墙PK传统防火墙

rickyfang

回复 53# baopbird2005


    不同楼层或是办公区域的划分
   不同子网的划分及访问控制列表
   应用服务器或是文件服务器等物理及逻辑位置
   网线及网络设备的选型
   等。

sdynzx

限制未经授权的用户访问本企业的网络和信息资源的措施，访问者必需要能适用现行所有的服务和应用。
提供基于状态检测技术的ip地址、端口、用户和时间的管理控制；
访问控制对象的多种定义方式支持多种方式定义访问控制对象；
高效的url和文件级细粒度应用层管理控制；
双向nat，提供ip地址转换和ip及tcp/udp端口映射，实现ip复用和隐藏网络结构;
可以根据企业安全策略，将一次性口令认证与防火墙其它安全机制结合使用，实现对用户访问权限的控制。
防止外部机器盗用内部机器的ip地址，这通过防火墙的接口策略实现。
防止防火墙广播域内主机的ip地址不被另一台机器盗用。
绑定一次性口令用户到定义ip列表上，防止绑定用户的从非许可区域通过防火墙。
防tcp、udp等端口扫描。
抗dos/ddos攻击
可防御源路由攻击、ip碎片包攻击、dns/rip/icmp攻击、syn等多种攻击。
阻止activex、java、javascript等侵入。
提供实时监控、审计和告警功能。
可扩展支持第三方ids入侵检测系统，实现协同工作。

sdynzx

未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。
未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。

sdynzx

应用防火墙可根据用户、应用、进程或IP子网层允许自定义访问控制。这样，管理员可以创建各种应用策略，使应用可供访问并首次真正实现对应用的管理。
应用防火墙允许您对穿越防火墙的应用和数据进行分类、控制和管理。

sdynzx

防火墙可实现如下功能:强化互联网安全策略,所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外;限制他人进入内部网络,过滤掉不安全的服务和非法用户;限定人们访问特殊站点;对网络存取和访问进行监控审计,有效地记录互联网上的活动并作日志记录,同时提供网络使用情况的统计数据等。

sdynzx

防火墙根据不同角度可划分为不同的类型:从产品形态上可划分为软件防火墙、硬件防火墙、芯片级防火墙;从采用技术不同可划分包过滤型防火墙、代理型防火墙、监测型防火墙;从网络体系结构可划分为网络级防火墙、应用级防火墙、电路级防火墙、规则检查防火墙;从应用部署可划分为边界防火墙、个人防火墙、混合式防火墙。

sdynzx

新的网络安全威胁已将焦点集中在诱使用户安装难于被检测出的恶意执行程序上,因此已不能简单地强制要求在标准端口上使用合适的协议和阻止寻找未修补服务器的攻击来解决问题。新型防火墙应具有迅速区分正常与异常的数据流并阻止恶意行为的能力。借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。尽管这个方法相对复杂,但这为防范蠕虫、木马提供了新思路。

renxiao2003

回复 58# surpass2010


    午休也没见你来啊。

surpass2010

回复 66# renxiao2003


    中午办公室搬迁，没时间，刚搬完

rickyfang

未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。
未来防火墙的操作系统会更安全。随着算法和 ...
sdynzx 发表于 2010-10-15 14:06

    我赞同这种发展趋势。
   更安全和更快速将是未来应用防火墙的一个发展趋势。而一个好的安全架构和处理架构是保证这二者的重要前提。现在就让我们期待这些应用防火墙提供商如何去应对啦。