我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合特肖 > 访问控制 >

持续简单最精准访问控制!华为防火墙!

归档日期:06-10       文本归类:访问控制      文章编辑:爱尚语录

  【IT168行情】随着网络的高速发展,应用的不断增多,Web2.0 的普及,不断增长的带宽需求和新应用架构(如 Web2.0),正在改变协议的使用方式和数据的传输方式,越来越多的应用在少量的端口上进行传输。新的威胁,如网络蠕虫、僵尸网络以及其他基于应用的攻击不断产生,安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。 传统防火墙主要是基于端口和协议来识别应用,基于传输层的特征来进行攻击检测和防护。面对越来越多的应用使用少量的端口,或者一些应用使用非标准端口,基于端口/协议类的安全策略,将不再具有足够的防护能力。传统防火墙,也不具有防御基于应用的威胁的能力,如网络蠕虫、僵尸网络传播的威胁。 不断变化的业务流程、企业部署的技术,以及威胁的发展,正推动对网络安全性的新需求。新的安全需求,推动下一代防火墙NGFW的产生。

  对于网管理员而言,日常的网络流量的混合复杂性,在无法准确分析获取真实业务流量类型的情况下也就无法对网络流量做对应安全策略控制;而华为全面创新的下一代环境感知和访问控制,即使在复杂的混合网络环境的流量中,通过特定技术分析,还原为防火墙管理员可理解的各种应用、威胁、内容、用户、位置等维度的分类,从而为管理员精细配置安全策略提供了条件。

  通过华为公司云安全能力中心的持续研究和积累,NGFW 的 SA 特征库已经覆盖了超过6000 种的应用种类,NGFW 并可通过 SA 识别引擎以及特征库在线升级技术,确保对网络最新应用跟踪识别的能力。

  NGFW 通过对应用协议的解析,以获取应用协议传输的内容信息,并可根据内容信息做相关的安全策略,形成 Content/内容感知能力。120+种文件的真实类型识别,防止扩展名伪装,能通过解压缩后的真实文件类型识别,支持对网页内容、微博、邮件中内容的过滤、Word、Excel、PDF、RAR等30+文件类型进行还原和内容过滤,避免敏感信息泄露,默认银行卡、信用卡、身份证号等过滤关键字,进行常见内容过滤,同时支持对自定义关键字进行过滤包。

  NGFW 将时间(段)作为匹配元素加入到安全、流控、认证等策略中,并根据时间(段)的转变关系实时刷新对应策略,以实现基于时间(段)的控制,如可以根据不同时间段对企业网络流量做不同的流控策略。

  当前企业网络的无边界性、员工移动办公等特点,造成 IP 地址是可以动态变化的,从而使得传统防火墙安全策略针对 IP 的配置无法适应企业网络安全管控的需求,如何精确的识别出用户,并有效的对用户行为进行管控,已成为现阶段网络安全的重中之重。华为下一代防火墙能够支持本地认证、Radius认证、LDAP认证、AD域认证、SecureID认证、TSM认证、

  HWTACACS认证等斱式识别用户。可以从容的应对移动化办公趋势,实现 基于用户的安全策略,基于用户的带宽管理策略,基于用户的上网行为管理。

  来自于华为公司安全研发团队持续的积累,NGFW 提供的 Attack/攻击感知,包括对网络安全事件和内容安全事件的感知,可以根据对攻击事件、攻击行为、异常流量的感知结果,将其集成到一体化安全策略和安全态势的统计报表中,在对攻击行为予以防御的同时,也提供给管理员予可视化的安全态势分析,使得管理员和企业 CIO 们能更精准的把握安全态势。华为NGFW集成3500+特征库的攻击检测,误报率接近于0,应用识别和病毒扫描相结合,可检出500万+病毒和恶意代码,预定义8500万+URL库,80+分类,防止对恶意网站、非法网站、钓鱼网站的访问。

  NGFW 提供的 Location/位置感知特性,可以根据流量的源、目的 IP 地址来分析流量的位置(如:国家、地区、城市等),包括流量的源位置、目的位置。

  NGFW 内置了网络地址与地理位置的数据信息,并通过可自定义的位置及位置集合,将其集成到一体化的策略中,为防火墙管理员提供基于地理位置的安全策略、限流策略、路由策略、认证策略、审计策略配置,基于地理位置的流量、威胁统计和报表。

本文链接:http://shawntierney.com/fangwenkongzhi/508.html