防火墙与入侵检测(五)防火墙的发展趋势.pptVIP

分布式执行和集中式管理 深度过滤 建立以防火墙为核心的综合安全体系 防火墙本身的多功能化，变被动防御为主动防御 强大的审计与自动日志分析功能 硬件化 专用化 小结 分布式执行和集中式管理 分布式或分层的安全策略执行 防火墙模块分别部署在各个内部网络和外部网络交界的节点上，解决了多接入点数据访问的问题；在接入点和内部网络关键数据交换节点上分级部署，实现了层层设防、分层过滤的更加安全的网络安全防护；网络防火墙与主机防火墙相互配合又加强了系统资源的安全性。这种方式又被称为区域联防或者深度防御。 集中式管理 集中式管理具有管理成本低、容易实现快速响应和快速防御、能够保证在大型网络中安全策略的一致性等优点。未来研究的重点是集中式管理快速、高效、低耗的实现技术。 深度过滤 深度过滤技术又称为深度检测技术，是防火墙技术的集成和优化。深度过滤技术一般将状态检测技术和应用层技术结合在一起，对数据进行深入细致的分析和检查。具体实现上，深度过滤技术可以组合不同的现有防火墙技术，达到不同的检测深度。 基本特征： 正常化 双向负载检测 应用层加密/解密 协议一致性 建立以防火墙为核心的综合安全体系 不同产品都有其自身的特性，如何安排好它们的位置、设定好它们的功能是一个非常复杂的任务。 一个需要考虑的问题是这些设备间的互操作问题。各个厂商的不同设备都有其专属性，包括代码和通信协议等都不相同，这是设备间实现互联互通的主要障碍。 防火墙本身的多功能化，变被动防御为主动防御 用户在进行防火墙的选择时，出于降低复杂性和节约成本的目的，往往要求防火墙能够支持更多的功能。 随着各种功能模块加入进防火墙，防火墙将从目前被动防护设备发展为可以智能、动态地保护网络的主动安全设备。 强大的审计与自动日志分析功能 随着安全管理工具不断完善，针对可疑行为的审计与自动安全日志分析工具将成为防火墙产品必不可少的组成部分。它们可以提供对潜在的威胁和攻击行为的早期预警。日志的自动分析功能还可以帮助管理员及时、有效地发现系统中存的安全漏洞，迅速调整安全策略以适应网络的态势，此外它还可以为自适应、个性化网络的建设提供重要的数据。 硬件化 为了能够高速地执行更多的功能，防火墙必须实现硬件化。硬件化评判的标准是看在数据转发控制过程是由软件完成还是硬件完成。硬件化的系统使用的是专用的芯片级处理机制，主要有基于专用集成电路（ASIC）和基于网络处理器（NP）两种方式。 采用ASIC技术的防火墙往往设计了专门的数据包处理流水线，对存储器等资源进行了优化。但其具有开发成本高、开发周期长、难度大、专物专用、灵活性差的缺陷。 NP是专门为处理数据包而设计的可编程处理器。它包含多个数据处理引擎，这些引擎可以并发进行数据处理操作。NP对数据包处理的一般性任务进行了优化，同时其体系结构也采用高速的接口技术和总线规范。NP具有完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口和第三方支持能力几个特性。 专用型 用户已经不满足于对整个内部网络统一标准的安全防护，而是要求根据各个子系统的不同功能，对内部网络不同部门实施不同级别的安全防护。也即防火墙要能实施精细的安全管理，又称为防火墙的“包厢化”功能。由此，专用防火墙的概念也被提了出来。它可以根据特定的需求定制安全策略，实现了特殊用户的专属保护。目前，单向防火墙，又称为网络二极管，就是其中比较重要的一种。其作用是使网络上的信息只能从外部网络流入内部网络，而不能从内部网络流入外部网络，从而达到保密的目的。 小结 减少自身封闭，增强与其他安全设备的协作 采用新的结构，增加新的技术，增强安全策略的可执行性 提高可管理性 围绕建设一个高效的网络安全防护体系的中心思想展开