一、防火墙发展趋势
二、防火墙分类
三、防火墙工作机制
目前很多新型防火墙已经支持透明模式下的双机热备
路由器的特点:
1、保证互联互通
2、按照最长匹配算法逐包转发
3、路由协议是核心特性
防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互通的转发设备,防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务特性
WAF工作原理:采用与IPS相同的方式进行特征的匹配,由于攻击者利用web服务器可以识别编码的特点经常在输入端将攻击包通过编码格式进行伪造,所以WAF在进行特征匹配前先会将数据中的编码信息转换为通用语言方便正则引擎匹配特征
传统网络边界架构只是在事中堆叠防御的(处于被动式防御)
防火墙——>IPS——>防毒墙——>WAF(设备数量居多、价格昂贵,维护起来麻烦,无法联动,安全设备功能单一,各司其职)
UTM/NGFW——>WAF(UTM性能可以抗的主么,HA(单次解析,多模匹配算法,软硬件双冗余架构))
2009年,Gartner对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性:
融合安全,并不是指的是UTM那种融合,把多个防御技术做个简单的整合,解决了多个功能同时运行时性能下降的问题
将客户的业务安全全流程进行保护,从客户的业务生命周期出发,分析各个环节存在的风险,并将每个环节存在的风险对应的技术手段进行融合
入侵防护功能:IPS包含21类漏洞类型,7000+规则特征,保证每周都有更新漏洞特征,
0day重要漏洞威胁深信服专家会在24小时响应更新提供应对的办法
WAF防护包含11类Web攻击类型,3000+规则特征(webshell挂马、SQL攻击)
网页防篡改:
1、网站管理后台登录二次认证(在防火墙上配置网站后台管理页面,来实现管理员登录网站时管理页面弹出一个提示页面需要通过邮箱认证码二次认证)
2、客户端安全插件控制网站文件的写权限(在网站服务器上安装插件通过控制底层驱动文件,对网站目录锁死,不容许写操作,通过设置白名单写操作)
邮件钓鱼防范:邮件安全内容检测,识别撞库攻击,邮件杀毒,附件类型过滤
多种手段进行攻击,进行持续性攻击
模块联动:模块联动机制封死攻击源IP地址,提高攻击成本
3、威胁情报预警,指定
融合安全
1、本地安全 + 云端
2、特征 + 行为
3、模块融合:失陷主机、实时漏洞/威胁预警+ 防御、AF+防篡改。黑链发现等
地域控制—攻击者地图
事前事中防御是被动式防护,将原先的防护60分提高至90分,毕竟都是被动式防御
失陷主机防御检测(云端)
快速响应(APP微信)
沙箱原理:通过创造一个虚拟环境,将未知流量导入运行,通过监测服务器的进程操作、文件变化、外联行为、注册表变化、CPU/内存异常等常见的攻击运行方式判定是否为攻击流量,同时在虚拟环境下预装多种合作的杀毒软件进行辅助判定
IPS判断标准:
1、特征库的数量针对攻击防御能力,识别准确率
2、特征库更新频率
3、引擎对数据的检查速度,决定IPS处理能力
WAF评判标准(NSS LABS/OWASP第三方认证机构进行测试)
1、规则库的数量,决定了防御能力
2、对各种编码格式的识别能力决定防御能力
3、引擎对数据的检查速度
AF基础版与IPS对比优势
1、失陷主机发现:行为检测机制,可以发现入侵之后的异常(IPS只能通过特征检测,不可以通过行为检测)
2、云端支持:通过沙盒技术联动,发现未知的威胁
3、引擎优势:
WAF与AF高级版对比优势
1、网页动态防篡改
2、全程保护
3、规则库的数量,决定了防御能力
4、对各种编码格式的识别能力决定防御能力
5、引擎对数据的检查速度
需求发展到位了!(事前:无认知;事中:无效;事后:无发现手段和处理能力
技术发展到位了!(行为检测、机械学习、大数据关联分析!)
