更快更智能 下一代防火墙新技术初探

随着网络的发展,网络应用不断丰富。大量应用建立在HTTP等基础协议之上,或者随机产生端口号,或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户,协议端口号不等于应用,数据包不等于行为。

最近几年,传统防火墙解决方案在应对当前大量的威胁以及不断变化的应用环境时已经显得力不从心。

首先,随着网络的发展,网络应用不断丰富。大量应用建立在HTTP等基础协议之上,或者随机产生端口号,或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户,协议端口号不等于应用,数据包不等于行为。如何“看清”应用中的内容并进行防御,这是对防火墙提出了新要求。其次,网络正在从千兆走向万兆甚至10万兆,网络带宽增长迅速,防火墙应有足够的性能和扩展性来应对这种变化。再次,随着远程办公的快速增长,要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,尤其重要的是能够识别加密过的数据。 Continue reading

看防火墙进化,论次世代防火墙技术

随着网络安全威胁的手法越来越多,传统防火墙功能早就已经有鞭长莫及之感。在这样的状况下,逐渐出现称作次世代防火墙(Next Generation Firewall,NGFW)的产品,不少调查机构与研究单位,也开始发表对于NGFW的定义。

这让人不禁开始想探究,到底什么样的设备,才能被称为NGFW?而NGFW又会替企业的网络架构带来什么样的改变?目前NGFW还没有一个肯定的定义,但是对于企业来说,很多现有产品和研究报告所归纳出来的线索,或许已经可以提供给企业使用者在选购符合未来需求的设备时,一条明路。

NGFW没有统一定义,但功能已有明确方向 Continue reading

次世代防火墙具备六功能

随着网络安全威胁的手法越来越多,传统防火墙功能早就已经有鞭长莫及之感。在这样的状况下,逐渐出现称作次世代防火墙(Next Generation Firewall,NGFW)。今天eNet安全频道就这种防火墙所应具备的几类功能强化进行归类总结如下:

功能1:具备应用程序流量识别能力,进而强化管理

传统的防火墙,是依照封包的来源、连接池等网络层第三、第四层的信息,进行封包过滤,像水闸门一样,减少网络被恶意程序攻击的可能性,但是次世代防火墙必须做到更多。

首先,次世代防火墙(Next Generation Firewall,NGFW)要有能力看懂第七层应用层的流量,识别不同的应用程序流量,而且还要再更进一步,还能够识别使用者的身分、装置等信息。也就是说,NGFW必须提供比传统防火墙更好的可视性,如此一来面对许多新型态的攻击,如僵尸网络等,才能有能力反应。 Continue reading

下一代防火墙 – Gartner报告

防火墙必须演进,才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。随着攻击变得越来越复杂,企业必须更新网络防火墙和入侵防御能力来保护业务系统。

不断变化的业务流程、企业部署的技术,以及威胁,正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web 2.0),正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。在这种环境中,简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测,不再有足够的价值。为了应对这些挑战,防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(Next Generation Firewall,简称NGFW)”的产品。如果防火墙厂商不进行这些改变的话,企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。 Continue reading

思科PIX防火墙(6.3版本)的Failover双机热备功能及配置简介

一、简介

Failover是思科PIX防火墙的一种双机热备机制,用于在PIX发生软、硬件故障之后将用户业务快速倒换到备用机,并且由于备用机实时备份了系统的当前配置、TCP连接表等状态信息,所以进行倒换动作时用户不会感知到此次故障。PIX的面板上有指示灯表示当前本机处于主机状态还是备机状态。

二、应用场景描述:

两台PIX防火墙,同型号、同软件版本(PIX6.2以上)。
这两台PIX的inside口连接在一个交换机SwitchA上处于一个二层LAN,同样的,这两台PIX的outside口也连接在一个交换机SwitchB处于一个二层LAN中。SwitchA联通内网,SwitchB联通外网。两台PIX一台为主用状态一台为备用状态,主用状态的配置、TCP连接等信息将实时的备份到备用PIX上,一旦主用机发生软硬件故障,则自动切换到备用状态,原备用机升为主用状态,继续服务。 Continue reading

思科ASA防火墙8.2版本的组播(不含PIM)介绍

ASA8.2版本组播支持stub组播(即PIX上原有的类似igmp代理的组播)以及PIM组播(真正的组播选路),但是二者不能同时配置,即一台ASA要么处于stub网络的igmp组播代理模式,要么处于pim功能模式(作为一个组播网络的节点)。本文仅介绍思科ASA8.2的stub multicast功能,不介绍pim功能。
1、全局使能组播开关
multicast-routing

2、配置静态组播表项
mroute src_ip src_mask {input_if_name | rpf_neighbor} [distance]
mroute src_ip src_mask input_if_name [dense output_if_name] [distance]
这两条命令都是配置静态组播表项的命令,区别在于第一个命令是为pim模式配置,第二条命令是为stub组播配置。本文不介绍pim模式,所以忽略第一条命令。 Continue reading

思科防火墙(PIX6.3版本)的组播功能和配置介绍

因为防火墙在网络中的位置特殊,处于内网和外网的连接点,即一个stub网络的外部接口点,所以PIX防火墙的组播功能要求比较简单,仅仅是一个类似igmp代理的功能,主要完成两个任务:一是在组播下游接口接收igmp报文并向上游接口转发,二是向这些接口转发组播报文,至于pim协议组播选路等相关功能是没有的。
下面详细介绍各个配置命令:
1、multicast interface interface-name
参数“interface-name”为接口名称。本命令配置名为interface-name的接口支持组播流量并进入该接口的组播配置视图。实际上类似于在该接口上使能了igmp功能,可以接收处理下游主机的igmp报文。 Continue reading

思科ASA防火墙VPDN拨号配置命令整理 (ASA版本8.2,包括PPPoE/L2TP)

本文是Adreaman根据思科ASA8.2配置文档手册中的L2TP和PPPoE功能介绍整理出来的,介绍思科ASA(软件版本8.2)防火墙中PPPoE/L2TP这两种VPDN特性的配置步骤。可与本博客之前介绍的《思科PIX防火墙VPDN拨号配置命令整理》对比查看。思科ASA防火墙支持作为PPPoE客户端拨号,支持作为L2TP服务器接受拨入,并且,仅支持L2TP over IPsec方式拨入,不支持纯L2TP方式拨入。ASA思科文档中未介绍PPTP,并且命令行中也去掉了PPTP的部分,应该已经取消了对于PPTP的支持。

注:本文并非个人真实配置步骤的记录,而是思科配置手册的分析和注释,旨在帮助我们理解一个整体的配置思路。 Continue reading