下一代防火墻：六、十大評(píng)估標(biāo)準(zhǔn)

　　本部分為用戶(hù)提供了一些答案，一旦已經(jīng)有了自己的RFP，從考慮的供應(yīng)商中如何尋找。注：如果還沒(méi)有制定RFP來(lái)定義下一代防火墻的要求，請(qǐng)到第5部分進(jìn)行制定。

　　識(shí)別應(yīng)用，而不是端口

　　不論端口、協(xié)議、SSL加密或者其他逃避戰(zhàn)術(shù)，只要使用防火墻，就應(yīng)該識(shí)別應(yīng)用，因?yàn)檫@提供了應(yīng)用最大量的知識(shí)和策略控制的最佳機(jī)會(huì)。

　　最后有一點(diǎn)是很重要，下一代防火墻有一個(gè)很大的應(yīng)用特征庫(kù)，安裝在設(shè)備中，這是為了避免托管或“在云端”數(shù)據(jù)庫(kù)可能產(chǎn)生的延遲。特征庫(kù)應(yīng)通過(guò)供應(yīng)商或訂閱服務(wù)定期更新，并且特征更新應(yīng)是自動(dòng)的(如果需要的話(huà))。

　　應(yīng)用識(shí)別是NGFW流量分類(lèi)的核心。它是智能、可伸縮和能擴(kuò)展的，并且總是–跨越所有端口和所有流量。如果不是這樣，它就不是一個(gè)下一代防火墻。

　　識(shí)別用戶(hù)，而不是IP地址

　　與企業(yè)目錄服務(wù)(如：活動(dòng)目錄(Active Directory)，輕量目錄訪(fǎng)問(wèn)協(xié)議(LDAP)和電子目錄(eDirectory))無(wú)縫集成，使管理員能夠捆綁用戶(hù)和組的網(wǎng)絡(luò)活動(dòng)，而不僅是IP地址。當(dāng)把應(yīng)用識(shí)別和內(nèi)容識(shí)別技術(shù)一起使用時(shí)，IT部門(mén)可以利用用戶(hù)與組對(duì)應(yīng)用、威脅、網(wǎng)上沖浪和數(shù)據(jù)傳輸活動(dòng)提供可視、策略創(chuàng)建、取證調(diào)查和報(bào)告。

　　用戶(hù)識(shí)別有助于解決使用IP地址來(lái)監(jiān)視和控制特定用戶(hù)活動(dòng)的問(wèn)題--這曾經(jīng)是相當(dāng)簡(jiǎn)單的事，但當(dāng)企業(yè)轉(zhuǎn)移到以互聯(lián)網(wǎng)為中心的模式時(shí)，這已經(jīng)非常困難。

　　可視問(wèn)題在移動(dòng)性企業(yè)中日益增多，員工幾乎需要從世界的任何地方訪(fǎng)問(wèn)網(wǎng)絡(luò)，當(dāng)用戶(hù)從一個(gè)區(qū)到另一個(gè)區(qū)時(shí)，內(nèi)部無(wú)線(xiàn)網(wǎng)可重新分配IP地址，而且網(wǎng)絡(luò)用戶(hù)并不總是公司的員工。其結(jié)果是，IP地址現(xiàn)在不足以監(jiān)視和控制用戶(hù)活動(dòng)。

　　在NGFW中，使用以下技術(shù)來(lái)驗(yàn)證和維護(hù)用戶(hù)到IP地址的關(guān)系，準(zhǔn)確識(shí)別用戶(hù)：

　　?登錄監(jiān)視：對(duì)登錄活動(dòng)進(jìn)行監(jiān)視，在用戶(hù)登錄域時(shí)，關(guān)聯(lián)到用戶(hù)和組信息的IP地址。

　　?終端站輪詢(xún)：對(duì)每個(gè)活動(dòng)的PC進(jìn)行輪詢(xún)，驗(yàn)證IP地址信息，保持準(zhǔn)確的映射，當(dāng)用戶(hù)在網(wǎng)絡(luò)內(nèi)移動(dòng)時(shí)，對(duì)域不必重新認(rèn)證。

　　?俘獲門(mén)戶(hù)：關(guān)聯(lián)用戶(hù)和IP地址，萬(wàn)一在主機(jī)不為域的一部分時(shí)，通過(guò)基于Web頁(yè)面驗(yàn)證表。

　　?易于部署：用戶(hù)識(shí)別不應(yīng)該影響關(guān)鍵基礎(chǔ)設(shè)施。有些方案需要一個(gè)代理，安裝在企業(yè)的每個(gè)域控制器中，這可能會(huì)影響性能并增加部署的復(fù)雜性。

　　識(shí)別內(nèi)容，而不是包

　　員工想要使用希望的應(yīng)用，毫無(wú)顧忌地瀏覽網(wǎng)頁(yè)，毫無(wú)疑問(wèn)，企業(yè)要努力地防止網(wǎng)絡(luò)的威脅。對(duì)威脅活動(dòng)獲得控制的第一步是識(shí)別和控制應(yīng)用，減少不希望或壞應(yīng)用的活動(dòng) -- 通常被稱(chēng)作威脅矢量。接著，能夠?qū)崿F(xiàn)內(nèi)容控制策略，補(bǔ)充應(yīng)用使用控制策略。

　　在NGFW中的內(nèi)容識(shí)別功能應(yīng)包括：

　　?威脅預(yù)防：針對(duì)變化的威脅環(huán)境尋找創(chuàng)新的特性，防止應(yīng)用漏洞、間諜件和病毒擴(kuò)散到網(wǎng)絡(luò)。這些特性的例子包括利用應(yīng)用解碼器，使應(yīng)用數(shù)據(jù)流重組和解析，檢查特定的威脅標(biāo)識(shí)符，以及在單一路徑統(tǒng)一威脅引擎和特征格式，檢測(cè)和阻止各種惡意件(如病毒、間諜件和漏洞攻擊)，而不是為每種威脅使用一組獨(dú)立的掃描引擎和特征。

　　?基于流的病毒掃描：這項(xiàng)技術(shù)在收到文件第一個(gè)數(shù)據(jù)包就開(kāi)始掃描，而不是等到整個(gè)文件加載到內(nèi)存后才開(kāi)始。這就最小化了性能和延遲問(wèn)題，接收、掃描并立即發(fā)送到其預(yù)定目標(biāo)，不需要緩沖，然后再掃描文件。

　　?漏洞攻擊防護(hù)：應(yīng)用漏洞防護(hù)啟用一組入侵防御系統(tǒng)(IPS)特性，阻止已知和未知的網(wǎng)絡(luò)和應(yīng)用層漏洞攻擊、緩沖區(qū)溢出、拒絕服務(wù)(DoS)攻擊和端口掃描，防止影響和破壞企業(yè)的信息資源。 IPS機(jī)制包括：

　　?協(xié)議解碼器和異常檢測(cè);

　　?狀態(tài)模式匹配;

　　?統(tǒng)計(jì)異常檢測(cè);

　　?基于啟發(fā)的分析;

　　?阻止無(wú)效或畸形包;

　　? IP碎片整理和TCP重組;

　　?自定義漏洞和間諜件特征。

　　盡管有多種攻擊規(guī)避技術(shù)，標(biāo)準(zhǔn)化流量消除無(wú)效和錯(cuò)誤的數(shù)據(jù)包，而執(zhí)行TCP重組和IP碎片整理確保了最準(zhǔn)確和保護(hù)。

　　?URL過(guò)濾：URL過(guò)濾數(shù)據(jù)庫(kù)應(yīng)該是內(nèi)置的，減少了與相關(guān)托管數(shù)據(jù)庫(kù)的延遲問(wèn)題。自定義特性應(yīng)包括創(chuàng)建自定義URL類(lèi)別和為特定的組與用戶(hù)創(chuàng)建細(xì)粒度策略的能力，這些特定的組與用戶(hù)可以允許、禁止或警告，然后允許進(jìn)入網(wǎng)站。

　　?文件和數(shù)據(jù)過(guò)濾：數(shù)據(jù)過(guò)濾使管理員能夠?qū)嵤┎呗?，降低傳輸未?jīng)授權(quán)文件/數(shù)據(jù)所帶來(lái)的風(fēng)險(xiǎn)。

　　?按類(lèi)型阻止文件：通過(guò)深度尋找有效載荷的內(nèi)部，確定文件類(lèi)型(而不是僅看文件擴(kuò)展名)，控制各種文件類(lèi)型的流量。

　　?數(shù)據(jù)過(guò)濾：控制敏感數(shù)據(jù)模式的傳輸，如在應(yīng)用內(nèi)容中或附件中的信用卡和社會(huì)保險(xiǎn)號(hào)。

　　?文件傳輸功能控制：控制單個(gè)應(yīng)用內(nèi)的文件傳輸功能，允許應(yīng)用使用防止意外入站或出站的文件傳輸。

　　下面描述的六個(gè)特性使用較少的技術(shù)，但仍然很重要。

　　可視

　　下一代防火墻為IT管理員用有效的方式呈現(xiàn)了可操作的數(shù)據(jù)-- 能夠快速、輕松地查看特定、詳細(xì)的應(yīng)用、用戶(hù)和內(nèi)容的信息。

　　控制

　　一個(gè)牢靠的新一代防火墻解決方案提供了應(yīng)用使用的粒度控制策略，如下面的任意組合：

　　?允許或拒絕;

　　?允許某些應(yīng)用功能和使用流量整形;

　　?允許，但需掃描;

　　?解密和檢查;

　　?允許特定用戶(hù)或組。

　　性能

　　線(xiàn)內(nèi)NGFW必須執(zhí)行先進(jìn)的網(wǎng)絡(luò)安全功能，為計(jì)算密集型-- 他們必須實(shí)時(shí)地這樣做，還必須很少或根本沒(méi)有延遲。下一代防火墻需要有處理千兆位級(jí)流量的能力，用高速功能特定處理器的專(zhuān)用平臺(tái)。理想情況下，為了確保管理和數(shù)據(jù)包處理的可用性，管理平面和控制平面應(yīng)分開(kāi)。

　　靈活性

　　組網(wǎng)靈活性有助于確保與各種部門(mén)計(jì)算環(huán)境的兼容性。沒(méi)有重新設(shè)計(jì)或重新配置的實(shí)現(xiàn)取決于對(duì)組網(wǎng)特性和選項(xiàng)的支持范圍，如：

　　?802.1Q和基于端口的VLAN;

　　?集群端口;

　　?透明模式;

　　?動(dòng)態(tài)路由協(xié)議(如：開(kāi)放式最短路徑優(yōu)先(OSPF)和邊界網(wǎng)關(guān)(BGP));

　　?IPv6的支持;

　　?IPSec VPN和SSL VPN的支持;

　　?大容量的接口和多種混合模式(如接頭、第1層、第2層和第3層)。

　　可靠性

　　可靠性有助于確保不間斷操作和連續(xù)的特性，如：

　　?主動(dòng)-- 被動(dòng)和/或活動(dòng)-- 活動(dòng)故障轉(zhuǎn)移;

　　?狀態(tài)和配置同步;

　　?冗余組件(如雙電源)。

　　伸縮性

　　伸縮性主要依賴(lài)于固有的管理能力(包括集中式設(shè)備、策略管理和設(shè)備間的同步)和高性能的硬件，但也可以通過(guò)虛擬系統(tǒng)來(lái)實(shí)現(xiàn)，如一臺(tái)物理防火墻可以配置成多個(gè)虛擬防火墻。

　　可管理性

　　可管理性是下一代防火墻尋找的一個(gè)重要特征。一個(gè)成熟的解決方案，如果難以管理和維護(hù)，甚至用不正確和不安全的方式部署，將無(wú)法實(shí)現(xiàn)效益最大化。重要的管理功能包括：

　　?本地和遠(yuǎn)程管理;

　　?集中管理;

　　?基于角色的管理;

　　?自動(dòng)特征更新;

　　?設(shè)備狀態(tài)和安全事件的實(shí)時(shí)監(jiān)視;

　　?牢靠的日志和定制的報(bào)告。