防火墻特征-數(shù)據(jù)必經(jīng)之地

內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻。這是防火墻所處網(wǎng)絡(luò)位置特性，同時(shí)也是一個(gè)前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的通道，才可以覆蓋、有效地保護(hù)企業(yè)網(wǎng)部網(wǎng)絡(luò)不受侵害。根據(jù)美國(guó)制定的《信息保障技術(shù)框架》，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來(lái)單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。

服務(wù)器防火墻措施

有些人以為只要他們保護(hù)了自己的電子郵件網(wǎng)關(guān)和內(nèi)部的桌面計(jì)算機(jī)，就無(wú)需基于電子郵件服務(wù)器的防病毒解決方案了。這在幾年前或許是對(duì)的，但是目前隨著基于 Web 的電子郵件訪問、公共文件夾以及訪問存儲(chǔ)器的映射網(wǎng)絡(luò)驅(qū)動(dòng)器等方式的出現(xiàn)，病毒可以通過多種方式進(jìn)入電子郵件服務(wù)器。實(shí)際上，大多數(shù)電子郵件用戶并不需要接收帶這類文件擴(kuò)展的附件，因此當(dāng)它們進(jìn)入電子郵件服務(wù)器或網(wǎng)關(guān)時(shí)可以將其攔截下來(lái)。

NGFW 應(yīng)該是一個(gè)網(wǎng)絡(luò)安全處理平臺(tái)，至少應(yīng)當(dāng)具備以下幾個(gè)屬性：

（1）標(biāo)準(zhǔn)的代防火墻能力：濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、狀態(tài)性協(xié)議檢測(cè)、VPN等等；

（2）集成的而非僅僅共處一個(gè)位置的網(wǎng)絡(luò)檢測(cè)：支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動(dòng)效果應(yīng)當(dāng)大于這兩部分效果的總和。集成具有高質(zhì)量的IPS引擎和特征碼；

（3）應(yīng)用意識(shí)和全棧可見性：識(shí)別應(yīng)用和在應(yīng)用層上執(zhí)行的獨(dú)立端口和協(xié)議，而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策；

（4） 額外的防火墻智能：防火墻收集外來(lái)信息來(lái)做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫(kù)。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。

下一代防火墻：簡(jiǎn)單的日志報(bào)表呈現(xiàn)

下一代防火墻具備本地存儲(chǔ)日志與報(bào)表數(shù)據(jù)功能，可用于用戶日常運(yùn)維，也可用于設(shè)備監(jiān)控、行為監(jiān)管、、安全審計(jì)等場(chǎng)景，既滿足相關(guān)法規(guī)對(duì)日志存儲(chǔ)不少于6個(gè)月的要求，又給客戶提供了簡(jiǎn)單的日志和報(bào)表統(tǒng)計(jì)、查詢的手段，提升產(chǎn)品的價(jià)值。支持集中管理，借助HSM安全管理平臺(tái)，可對(duì)多設(shè)備進(jìn)行統(tǒng)一策略管理、設(shè)備配置管理及實(shí)時(shí)安全監(jiān)控，從而實(shí)現(xiàn)網(wǎng)絡(luò)的快速部署以及發(fā)生安全事件的及時(shí)響應(yīng)，提高管理效率，降低運(yùn)維成本。