智能防火墙,这种类型的防火墙更聪明更智能,克服了传统的防火墙的“一管就死,一放就乱”的状况,修正上述防火墙的重大假设为“拒绝保证
安全,放行的也要保证安全”。新的智能防火墙把“出口”的概念改变为“关口”的概念,所有经过“关口”的数据包都必须接受防火墙的检查。与传统防火墙采用的数据匹配检查的技术不同,新的智能防火墙采用人工智能识别技术来决定访问控制。智能防火墙比传统的防火墙,更安全,效率更高。
1、智能防火墙的关键技术:
1)、防攻击技术:
智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYN Flooding,Land Attack,UDP Flooding,Fraggle Attack,Ping Flooding,Smurf,Ping of Death,Unreachable Host等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。
2)、防扫描技术:
智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS,SSS,NMAP等扫描工具,智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。
3)、防欺骗技术:
智能防火墙提供基于MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。
4)、入侵防御技术:
智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供入侵防御保护。入侵防御技术采用了多种检测技术,特征检测可以准确检测已知的攻击,特征库涵盖了目前流行的网络攻击;异常检测基于对监控网络的自学习能力,可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控,并能阻断应用层攻击。
5)、包擦洗和协议正常化技术:
智能防火墙支持包擦洗技术,对IP,TCP,UDP,ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。
6)、AAA技术:
IP v4版本的一大缺陷是缺乏身份认证功能,所以在IP v6版本中增加了该功能。问题是IP v6的推广尚需时日,IP v4在相当长一段时间内,还会继续存在。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。
2、智能防火墙的功能特点:
智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的问题,病毒传播的问题和高级应用入侵的行为,代表着防火墙的主流发展方向。新一代的智能防火墙自身的安全性较传统的防火墙有很大的提高,在特权最小化,系统最小化,内核安全,系统加固,系统优化和网络性能最大化方面,与传统防火墙相比,有质的飞跃。
智能防火墙执行全访问的访问控制,而不是简单的进行过滤策略。基于对行为的识别,可以根据什么人、什么时间、什么地点(网络层),什么行为(OSI7层)来执行访问控制,大大增强了防火墙的安全性,更聪明更智能。
智能防火墙的高可用性也是一大亮点。支持最新的国际RFC双机热备标准VRRP,支持流量分担,支持并行防火墙,支持双机容错,支持负载均衡,支持多出口路由。流量分担和并行防火墙技术,对实现线速防火墙具有重大的现实意义。
智能防火墙还具有广泛的应用支持。支持内核级的FTP,H.323,IGMP(组播)等特殊应用支持,支持基于SNMP的集中网管,支持特殊应用网关定制。
智能防火墙具备集中网络管理平台,具备配置管理、性能管理、故障管理、安全管理、审计管理五大管理域。
智能防火墙提供网络实时监控功能。支持监控防火墙的性能如CPU,内存,网络和硬盘的使用率等信息。支持监控防火墙的状态,并实时报警。支持实时监控,包括性能监控、接口流量监控等。
智能防火墙提供对日志的监控,自动处理,人工或自动导出,数据库导入,查看,查询,显示,报警等功能。支持条件查询。
3、智能防火墙创新点:
1)、三大技术增强:
相对于传统墙的三大实现技术,智能防火墙有以下三个方面的技术增强:
A、包过滤=> 从包头深入到支持应用层正则表达式匹配。
B、状态检测=> 从简单的(四层)连接状态跟踪强化为会话(ssn)状态机。
C、应用代理 => 从应用层双连接实现走向面向单包的单连接,保证透明。
2)、特性差异:
相对于UTM,智能防火墙减弱病毒检查特性,不做基于文件的病毒检查,只做基于流的毒扫描,保证低时延。增加行为管理的特性二者的特性交集是攻击防御方面集成IPS,特性差集是文件级病毒检查和行为管理 对于特性交集IPS,细粒度的差异是:智能防火墙采用窗口推移策略,只配置当前流行的攻击规则,不配置。老掉牙的历史上的攻击规则。专一的IPS要求配置所有的规则。
相对于前代墙,智能防火墙在攻击防御方面,前代墙没有IPS,只有轻量级的抗DDOS。前代墙只有简单的内容层关键字过滤,没有应用层细粒度访问控制,没有行为管理。
3)、技术创新:
智能防火墙不采用应用代理技术,SGFW采用新的基于包的会话(ssn)状态机技术,实现前代墙用应用代理技术实现的功能,消除数据包拷贝。
特性 |
描述 |
前代墙是否支持 |
UTM是否支持 |
技术差异 |
ACL |
基于源IP地址、目标IP地址、源端口、目标端口、协议类型的访问控制 |
Yes |
Yes |
无 |
协议识别 |
检查通讯开始若干个报文确定应用层协议类型 |
No |
No |
NA |
应用层访问控制 |
使用会话(ssn)状态机技术跟踪客户端和服务器间的请求/回应过程,屏蔽不安全的命令和参数 |
不明确 |
不明确 |
使用新技术 |
URL过滤 |
过滤对系统造成危害或不健康的URL |
Yes |
不明确 |
使用新技术 |
攻击防护(IPS) |
使用轻量级流重组技术,检查请求/回应报文,实时阻断黑客攻击 |
No |
Yes |
使用新技术不采用零拷贝 |
蠕虫防护 |
使用轻量级流重组技术,扫描请求/回应报文,实时过滤掉爬行于网络的蠕虫 |
弱支持 |
不明确 |
NA |
邮件控制 |
检查邮件发送者、接收者,依据文件类型对附件进行过滤,封杀垃圾邮件 |
支持 |
不明确 |
NA |
即时通讯控制 |
监视MSN/QQ等即时通讯工具,规范日常工作行为,监控文件传送 |
No |
No |
NA |
HTTP隧道检测 |
检测HTTP协议中的非web应用,监视和阻止违规应用 |
No |
No |
NA |
行为管理 |
规范网络使用行为,阻止违规行为发生,保障工作时间的合规使用,规定在特定时段特定网络行为是违规的 |
No |
No |
NA |
应用层QOS |
监控业务流量,合理分配带宽资源,保障关键业务的正常运营 |
No |
No |
NA |
内容审计及控制 |
监控文件传送、信息发布过程,记录备案,封阻违规行为,保护信息机密 |
No |
No |
NA |
关键字过滤 |
使用RegEx扫描内容层报文,监控和过滤违规信息传送 |
不明确 |
不明确 |
无 |
病毒扫描 |
检查引发文件读写操作的内容层报文,查杀病毒 |
不明确 |
Yes |
使用新技术 |
