首页>>技术前沿>>网站系统安全防火墙管理的复杂性是很平常的。许多网络工程师喜欢手工或亲自进行防火墙管理,但随着时间的推移,这种方法有很多不便。没有自动化和分析功能的防火墙管理软件无法找出数以千计的规则和错误配置,可能会变成一种黑色幽默,网络安全高级管理人员产生挫败感。
随着互联网的普及,公司之间的联系比以往更加密切,更多企业的生产系统,以及运营体系逐渐向互联网迁徙,在发展或提高生产力的同时,安全成为企业尤为关注的重要环节。但与此同时,面对着趋于复杂的混合性安全威胁,在传统防火墙的“围墙”政策不给力的情况下,更具针对性、能防御各种攻击的下一代防火墙应运而生。
新一代的防火墙应该可以查探应用型攻击并且对内对外都强制执行应用型安全策略。使用下一代防火墙,企业可以确认网络上所运行的应用,核实用户的访问级别,扫描发送和接收的数据包看是否其中存在威胁。使用“下一代防火墙”这一术语来说明升级防火墙的必要性,以应对目前业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。
由此可见,面对基于应用层的威胁,防火墙演进已经变得十分重要。然而,据相关调查数据显示,如今70%以上的成功攻击均以应用程序为目标。WEB、电子邮件等应用安全防护是下一代防火墙需要重点解决的问题。
防火墙设备的可靠性是保证网络可靠的基础,同样不能忽视。传统高端防火墙在硬件设计方面做出了一定改进,包括通过双电源、双风扇等部件冗余手段来保证高可靠性,但是这些传统手段已经不能完全满足当前园区出口级设备的高可靠性要求。对于高端防火墙来说,需要在以下几个方面着重加以强调。
软件系统可靠性: 软件系统对通信产品的重要性,等同于Windows之于电脑,安全、稳定、成熟的软件系统才能帮助用户打造真正的高可靠网络。一些厂商选择FreeBSD等开源代码进行修改,没有经历过大规模电信级应用环境的洗礼,在相对简单的应用环境下应用可以勉强支撑,在大型园区复杂的应用环境下必定会捉襟见肘。
设备级冗余机制:电源冗余等手段仅能解决系统内部局部模块工作异常的问题,无法避免极端情况下设备级故障导致的断网,最好采用关键部件的全冗余设计。此外,双机热备作为传统解决单点故障的方案已经相对成熟,但传统的双机方案利用VRRP或者动态路由方式实现流量的切换,切换时间均以秒计;对于视频等实时性业务来说,秒级的切换时间是不能接受的,必须通过控制和转发平面完全物理分离的相关机制保证毫秒级的快速收敛和切换。
自我故障检测机制:对于高可靠性设备来说,实时的运行状态检测和链路状态检测是必不可少的,除了传统的针对CPU、内存利用率的监控外,协议检测、机箱温度、风扇状态、多链路情况下的链路状态探测技术,均是帮助提高可靠性的有效手段。
【全文完】
版权声明:
1、陕西弈聪网站内容中凡注明“来源:XXX(非陕西弈聪网站)”的作品,转载自其它媒体,转载目的在于传递更多信息,其中涉及的网站建设,网站优化,百度关键词优化,西安软件开发等技术细节并不代表本站赞同支持其观点,并不对其真实性负责。对于署名“陕西弈聪”的作品系本站版权所有,任何人转载请署名来源,否则陕西弈聪将追究其相关法律责任。
2、本站内容中未声明为“原创”的内容可能源自其它网站,但并不代表本站支持其观点,对此带来的法律纠纷及其它责任与我方无关。如果此内容侵犯了您的权益,请联系我方进行删除。
企业动态
