来源:中国电子政务网 更新时间:2007-07-17
曾被称为安全“老三样”之一的防火墙,是传统的网络安全产品,但目前其仍是信息安全架构最为必要和基础的设备。传统设备如何面对新形势下的安全威胁?防火墙必须从自身技术寻求突破。
防火墙不要被用作路由
传统硬件防火墙产品应用已非常广泛,网络性能与功能的矛盾是防火墙应用中越来越凸显的一个问题。
在亚太地区,防火墙已然更多地被作为路由设备而存在。防火墙原有的多项策略、报文的转发,各种拆包、组包和对包头的分析等功能,比路由器复杂得多,这么多的应用,一旦全部打开,自然会影响到防火墙的性能,从而影响到网络整体速度。这种状况一直困扰着防火墙厂商,并且影响到行业用户对防火墙的应用和信任,尤其是电信、金融、教育等高安全需求的行业,它们对防火墙本身的安全功能及防火墙在网络复杂情况下对速度的影响都提出很高的要求。
对亚太区各国重要行业网络边界安全状况的研究调查发现,各行业对防火墙的高级别需求增长很快。专家认为,这是因为用户对于现有的网络各种实时应用需求越来越多所致,例如VoIP、视频会议、网络教学等。企业网络应用越多所带来风险就越大,企业网络对基础安全的需求自然就越大。
然而调查数据显示,目前用户所应用的大部分防火墙不能真正实现网络的应用安全,大多数的安全行业用户也仅仅将防火墙用于路由和简单的安全策略的执行,“防火墙被当路由”的现象明显。
这样的情况并不完全在于用户的使用问题,现在一部分防火墙产品本身在技术和功能上的滞后也是一个原因。
Sidewinder为高安全而生
Sidewinder防火墙诞生在20年前,当时Secure Computing公司还是Honeywell公司的分支机构。Secure Computing应美国政府的要求为最早的互联网网络雏形提供安全方案,并专门为美国国防部进行安全应用方面的方案设计。这个方案要求架构不能被攻破,不使用补丁程序。这系列产品曾用于保护那些以达到美国政府计算机信任评估标准(Trusted Computing Systems Evaluation Criteria)的最高级别标准(A1)为目标的关键政府机构的计算机网络,并享有专利。
经过多年的演进,这款应用于政府和军队的产品逐步商用化。Sidewinder防火墙的高安全性主要源于它的强化操作系统平台—SecureOS。这是Secure Computing自行开发设计的专门作为全线网络安全产品的专有操作系统平台。Sidewinder以SecureOS专利技术作为系统平台,将操作系统和应用程序以及应用程序之间进行分离,实现了Unix和Type Enforcement的双重保护机制。Sidewinder防火墙还提供了业界最快速的达到网络第七层的纵深安全防护。其64 位架构,包括Intel双核技术的硬件平台,可以实现高性能和可扩展性。值得一提的是,Sidewinder防火墙在满足军事和重工业等尖端领域应用的高安全级别要求同时还易于使用,用户只须单击几下鼠标,就可以实现精细的控制。另外,随着VoIP解决方案在企业环境中应用变得日益广泛,Sidewinder防火墙借助深入的应用感知和控制功能为VoIP提供了基于应用层面的安全防护。
信誉评分体系摧毁安全威胁
目前,独特的Trusted Source技术作为信誉评分体系受到人们的关注。这个技术体系主要通过研究所有发送者之间的关系,进而确定发送者与接收者的邮件信息、发送频率以及流量等数据;根据分析结果积累,在未来的通信过程中,可以立即检测出相似邮件的发送行为所出现的偏差;对这种偏差进行社会行为属性的深入分析,进一步将他们网络特征与以往的经验进行数据挖掘分析,然后进行信誉打分;及时根据新的信誉打分体系库对分布在全球用户网络中的产品进行同步更新,从而在互联网威胁试图连接进入企业网络的初始阶段,利用Sidewinder防火墙等设备将它们阻挡在网络边界之外。
Secure Computing将Trusted Source这种信誉评分技术体系全面应用到其全线安全产品中。Sidewinder防火墙在整合了TrustedSource之后,可以为企业网络提供针对 IP、域和 URL 的信誉评分防护。部署在全球的7000多台网络安全设备构成强大的实时探测网络,当某一台Sidewinder防火墙发现某地区的网络异常时,就会通过TrustedSource进行实时数据分析。Trusted Source通过实时采样分析,将在最短的时间(一般小于10分钟),对分布在全球各地的网络安全设备进行同步更新,隔离或者暂时阻断类似可疑网络访问流量。
此外,Sidewinder防火墙已经开始支持IPv6联网互操作性,满足采用此新标准的客户使用需求。Sidewinder防火墙还凭借简单的 Power-It-On、部署功能、远程备份/恢复功能、集中日志和完善的运行状况/审核监视等功能,成为企业网络安全的最佳选择,尤其适合那些需要在员工下班后进行远程无人值守的网络管理的企业。
因此,Sidewinder防火墙可以第一时间切断企业网络与具有恶意信息的区域网络的连接,实现对僵尸网络、蠕虫、病毒、恶意网站下载、操作系统漏洞、DDoS等攻击的主动防御。
Sidewinder防火墙