*下一代防火墻價(jià)格-珠海下一代防火墻-華思特

濾防火墻

濾防火墻控制OSI的三、四層，一般是通過(guò)ACL來(lái)匹配數(shù)據(jù)包內(nèi)容，以決定哪些包被允許和哪些包被拒絕。

優(yōu)點(diǎn)：

能以很快的速度處理數(shù)據(jù)包

易于匹配絕大多數(shù)的3、4層報(bào)頭信息

缺點(diǎn)：

ACL過(guò)多導(dǎo)致配置復(fù)雜

不能阻止應(yīng)用層的攻擊

不能檢測(cè)和阻止某些類(lèi)型的TCP/IP攻擊，比如TCP SYN泛洪和IP欺騙

狀態(tài)檢測(cè)防火墻

控制OSI的三、四、五層

狀態(tài)檢測(cè)防火墻工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間，對(duì)于新建的應(yīng)用連接，它從這里截取數(shù)據(jù)包提取出的信息，并根據(jù)對(duì)應(yīng)的安全策略及過(guò)濾規(guī)則處理數(shù)據(jù)包，生成狀態(tài)表，這樣防火墻確保了截取和檢查所有通過(guò)網(wǎng)絡(luò)的原始數(shù)據(jù)包。然后將相關(guān)信息組合起來(lái)，進(jìn)行一些邏輯或數(shù)算，獲得相應(yīng)的結(jié)論，進(jìn)行相應(yīng)的操作，深圳下一代防火墻，如允許數(shù)據(jù)包通過(guò)、拒絕數(shù)據(jù)包、認(rèn)證連接，加密數(shù)據(jù)等。狀態(tài)檢測(cè)防火墻雖然工作在協(xié)議棧較低層，但它檢測(cè)所有應(yīng)用層的數(shù)據(jù)包，從中提取有用信息，如IP地址、端口號(hào)等，這樣安全性得到很大提高。另外在這種防火墻中一旦一個(gè)連接建立起來(lái)，就不用再對(duì)這個(gè)連接做更多工作，系統(tǒng)可以去處理別的連接，執(zhí)行效率明顯提高。

狀態(tài)檢測(cè)防火墻實(shí)現(xiàn)了基于UDP應(yīng)用的安全，通過(guò)在UDP通信之上保持一個(gè)虛擬連接來(lái)實(shí)現(xiàn)。防火墻保存通過(guò)網(wǎng)關(guān)的每一個(gè)連接的狀態(tài)信息，允許穿過(guò)防火墻的UDP請(qǐng)求包被記錄，當(dāng)UDP包在相反方向上通過(guò)時(shí)，依據(jù)連接狀態(tài)表確定該UDP包是否被授權(quán)的，若已被授權(quán)，則通過(guò)，下一代防火墻價(jià)格，否則拒絕。如果在的一段時(shí)間內(nèi)響應(yīng)數(shù)據(jù)包沒(méi)有到達(dá)，連接超時(shí)，則該連接被阻塞，這樣所有的攻擊都被阻塞。狀態(tài)檢測(cè)防火墻可以控制無(wú)效連接的連接時(shí)間，避免大量的無(wú)效連接占用過(guò)多的網(wǎng)絡(luò)資源，可以很好的降低攻擊的風(fēng)險(xiǎn)。

一、劃分網(wǎng)絡(luò)的邊界

防火墻設(shè)備的其中一個(gè)功能，就是劃分網(wǎng)絡(luò)的邊界，嚴(yán)格地將網(wǎng)絡(luò)分為“外網(wǎng)”和“內(nèi)網(wǎng)”。

“外網(wǎng)”則是防火墻認(rèn)為的——不安全的網(wǎng)絡(luò)，不受信任的網(wǎng)絡(luò)；“內(nèi)網(wǎng)”則是防火墻認(rèn)為的——安全的網(wǎng)絡(luò)，受信任的網(wǎng)絡(luò)。

二、加固網(wǎng)絡(luò)的安全

防火墻的其中一個(gè)功能，就是網(wǎng)絡(luò)流量流向的問(wèn)題（內(nèi)到外可以訪問(wèn)，外到內(nèi)默認(rèn)不能訪問(wèn)），這就從一定程度上加強(qiáng)了網(wǎng)絡(luò)的安全性，那就是：“內(nèi)網(wǎng)屬于私有環(huán)境，外人非請(qǐng)莫入！”

另外，防火墻還能從另外一些方面來(lái)加固內(nèi)部網(wǎng)絡(luò)的安全：

1：隱藏內(nèi)部的網(wǎng)絡(luò)拓?fù)?/p>

這種情況用于互聯(lián)網(wǎng)防火墻。因?yàn)閮?nèi)網(wǎng)一般都會(huì)使用私有IP地址，而互聯(lián)網(wǎng)是Internet的IP地址。

由于在IPv4環(huán)境下IP地址不足，內(nèi)部使用大量的私有地址，轉(zhuǎn)換到外部少量的Internet地址，這樣的話，外部網(wǎng)絡(luò)就不會(huì)了解到內(nèi)部網(wǎng)絡(luò)的路由，也就沒(méi)法了解到內(nèi)部網(wǎng)絡(luò)的拓?fù)淞恕?/p>

同時(shí)，防火墻上還會(huì)使用NAT技術(shù)，將內(nèi)部的服務(wù)器映射到外部，所以從外部訪問(wèn)服務(wù)器的時(shí)候只能了解到映射后的外部地址，根本不會(huì)了解到映射前的內(nèi)部地址。

研究人員警告：特定類(lèi)型的低帶寬分布式拒絕服務(wù)攻擊，可以導(dǎo)致某些廣為使用的企業(yè)級(jí)防火墻陷入暫時(shí)的拒絕服務(wù)狀態(tài)。

在分析客戶遭到的攻擊時(shí)，丹麥電信運(yùn)營(yíng)商TDC的安全運(yùn)營(yíng)中心發(fā)現(xiàn)：基于網(wǎng)際報(bào)文控制協(xié)議(ICMP)的某些攻擊，甚至能以低帶寬造成嚴(yán)重破壞。

ICMP攻擊也稱為ping洪泛攻擊，深信服下一代防火墻，是很常見(jiàn)的攻擊形式，但通常依賴“回顯請(qǐng)求”包(Type 8 Code 0)。引起TCD注意的攻擊，則是基于ICMP“端口不可達(dá)”包(Type 3 Code 3)。

該攻擊被TDC命名為“黑護(hù)士(BlackNurse)”，甚至能在低至15-18Mbps的帶寬下依然十分有效，即便受害者擁有高達(dá) 1 Gbps 的互聯(lián)網(wǎng)連接，其防火墻仍會(huì)遭到破壞。

在對(duì)“黑護(hù)士”攻擊的描述報(bào)告中，TDC寫(xiě)道：“我們?cè)诓煌阑饓ι嫌^測(cè)到的影響，通常都是高CPU占用。攻擊進(jìn)行時(shí)，局域網(wǎng)用戶將無(wú)法從互聯(lián)網(wǎng)收發(fā)數(shù)據(jù)。攻擊一旦停止，下一代防火墻選型，我們觀測(cè)的所有防火墻即恢復(fù)正常工作?！?/p>

“少量大約15-18Mbps上行速率的互聯(lián)網(wǎng)連接，就能讓大公司處于拒絕服務(wù)狀態(tài)直到攻擊得以緩解。

指出，此類(lèi)攻擊已有20多年歷史，但公司企業(yè)仍未充分認(rèn)識(shí)到這些風(fēng)險(xiǎn)。對(duì)丹麥IP段的掃描揭示，有超過(guò)170萬(wàn)臺(tái)設(shè)備響應(yīng) ICMP ping——意味著此類(lèi)攻擊可能造成巨大影響。