用PowerQUICCTM III MPC8572E設(shè)計防火墻/ VPN(07-100)
狀態(tài)監(jiān)測防火墻/IPSec VPN安全網(wǎng)關(guān)一直是大多數(shù)企業(yè)最主要的網(wǎng)絡(luò)安全設(shè)備。防火墻/VPN是外圍設(shè)備防御設(shè)備,通常部署在企業(yè)內(nèi)部網(wǎng)絡(luò)與開放式互聯(lián)網(wǎng)連接的地方。防火墻的主要目的是阻止惡意流量進入或離開企業(yè)內(nèi)部網(wǎng)絡(luò),而IPSec VPN的目的則是在開放互聯(lián)網(wǎng)的兩個站點之間提供安全通信。
盡管防火墻/VPN安全網(wǎng)關(guān)非常重要,但近年來90%的攻擊都是應(yīng)用程序的漏洞。傳統(tǒng)的狀態(tài)監(jiān)測防火墻在很大程度上基于數(shù)據(jù)包報頭信息與接入控制列表(ACL)的匹配,這對防御此類攻擊并不是很有效。
入侵檢測系統(tǒng)(IDS)可以發(fā)現(xiàn)應(yīng)用層攻擊,因此有些企業(yè)部署IDS來監(jiān)控重要網(wǎng)絡(luò)的流量。但僅僅是檢測還不夠,檢測到攻擊后終止這些攻擊同樣重要。目前的趨勢是把IDS演進成一個入侵防御系統(tǒng)(IPS),該系統(tǒng)能檢測下一級并終止檢測到的攻擊,包括應(yīng)用攻擊。
在有些情況下,企業(yè)網(wǎng)絡(luò)中部署特定應(yīng)用的防病毒、防垃圾郵件和內(nèi)容過濾設(shè)備是為了完善防火墻/VPN。
這種趨勢的一個不好的結(jié)果是網(wǎng)絡(luò)安全設(shè)備的急劇膨脹,從而提高了成本和管理復(fù)雜性,需要購買和操作的設(shè)備過多。有些IT經(jīng)理尋找具有通用威脅管理(UTM)系統(tǒng)或集成服務(wù)路由器(ISR)的簡單解決方案,把多種聯(lián)網(wǎng)和安全功能(如路由、防火墻、IPSec、IDS/IPS、防病毒、防垃圾郵件和內(nèi)容過濾)集中到一臺設(shè)備上。
評論