下一代福彩三d字谜是一个市场术语,因此对这种设备没有一个单一的清晰定义。您还将看到统一威胁管理(UTM)一词,它描述了本质上相同的事物。

下面,我’已汇总了下一代福彩三d字谜通常包含的功能的购物清单,因此您可以了解这些选项,并确保与您的客户端网络相关的功能已被您的设备覆盖’re looking at.

首先,关于基本福彩三d字谜的几句话

从最基本的角度来看’稍后将解释所有术语)福彩三d字谜是 有状态的 可以应用的设备 网络层访问控制 到通过它的数据包。它也可以做到 网络地址解读 (NAT)。基本福彩三d字谜最重要但仍被忽略的功能之一是它必须包括大量的 测井.

  • 有状态的 在这种情况下,意味着福彩三d字谜保留通过它的每个活动会话的表。如果允许我与Internet上的网站建立出站连接,则状态表会知道它应该允许从同一站点返回的入站数据包。但是,在我的会话结束并且福彩三d字谜不再期望这些入站数据包之后,它将阻止它们。
  • 网络层访问控制 是简单的规则,可基于数据包头中的信息来允许或拒绝流量。此信息可能包括IP地址,协议或端口号。
  • 网络地址解读 是一个非常容易理解的概念。至少,我想从Internet隐藏内部专用地址。因此,当将数据包转发到Internet时,福彩三d字谜需要用可以在Internet上路由的公共地址替换专用地址。在许多情况下,我还希望内部资源可以公开访问,这再次意味着我需要创建一个映射规则,将内部资源与公共IP地址相关联。
  • 记录中 有点微妙。福彩三d字谜应该能够记录有关每个成功会话的信息。在大多数情况下,您还需要通过福彩三d字谜记录有关会话失败的信息。您可能还需要有关福彩三d字谜已完成的所有NAT转换以及对福彩三d字谜完成的所有管理活动的信息。理想情况下,应将此信息发送到中央服务器,以便您可以对其进行排序并查找有趣的模式,这些模式可能表明发生了不良情况。

基本福彩三d字谜上常见的另一个功能是 高可用性。这涉及将第二个福彩三d字谜配置为在第一个福彩三d字谜出现故障时自动接管。要做到这一点而不会删除活动会话,重要的是,辅助设备应具有有关该会话的所有状态信息。

在大多数情况下, 故障转移模式 处于活动待机状态:辅助设备没有’t传递数据包,直到主设备出现故障。然后,它接管了所有处理。在某些情况下,可以建立双活故障转移模型,其中两个福彩三d字谜以某种方式共享流量负载。但是,这些主动-主动故障转移模型的构建和管理总是要复杂得多。

福彩三d字谜引发SD-WAN

照片: 埃里克·卡斯特罗 在Flickr上

下一代福彩三d字谜的主要功能

下一代福彩三d字谜(NGFW)具有基本福彩三d字谜的所有功能以及我在下面讨论的一些或全部其他功能。

需要注意的是,并非所有NGFW供应商都提供所有这些功能,有时这些功能的名称也不同。对于某些功能,某些供应商需要昂贵的附加许可证。有时功能是使用云服务交付的,而不是在福彩三d字谜内部完成的。

对于许可的订阅功能,了解许可到期后会发生什么特别重要。您喜欢的福彩三d字谜会停止工作吗?它仍然可以工作但不能执行特定功能吗?

地理位置

地理位置是将IP地址与物理位置相关联的能力。您可以指定整个国家/地区,而不是指定随时间变化的IP地址范围。

我经常使用地理位置来限制我知道该公司没有合法业务的国家/地区的访问权限(咳嗽,朝鲜)。但是,您也可以使用地理位置来创建特殊的NAT规则,该规则将所有北美流量发送到一台Web服务器,并将所有欧洲流量发送到另一台。

由于IP地址分配的更改非常频繁,因此地理位置定位需要间歇性更新才能保持最新状态。

IDS /入侵防御系统

入侵检测或防御系统 查看通过福彩三d字谜的数据包的内容,并尝试发现类似攻击的内容。在大多数情况下,IDS / IPS设备使用签名来检测已知攻击。他们还寻找通用类型的攻击,这些攻击的签名依赖性较小。

由于不断出现新的攻击,因此,除非定期更新其签名,否则IDS / IPS设备会随着时间的流逝而变得越来越有用。这通常需要供应商的订阅服务。

防病毒/反恶意软件

上传或下载文件时,它们会通过福彩三d字谜,并且可以进行基本检查。在大多数情况下,这将是基于签名的分析,查看校验和并在文件内部扫描以查找过去在已知恶意软件中看到的字节模式。显然,此功能要求不对文件进行加密,并且福彩三d字谜具有一组最近更新的签名。

实际上,在福彩三d字谜处进行简单的恶意软件扫描并不是十分有效,因为’如此容易通过加密隐藏恶意软件。通常,您可以在目标计算机上进行更好的防病毒扫描。

沙盒

更好的恶意软件扫描形式称为沙箱。本质上,这是运行常见目标操作系统(例如Windows)的虚拟机(VM)。福彩三d字谜拦截文件下载并将其发送到“引爆”的沙盒VM,这意味着VM尝试像运行目标计算机一样运行文件。然后,沙盒会查找常见的恶意行为类型,例如连接到命令和控制(C&C) networks.

分析文件后,将安全删除虚拟机并创建一个新的虚拟机。

沙盒网络基础结构安全隔离

照片: 德尔文塔尔 在Flickr上

在某些情况下,沙箱是位于网络边缘的单独的物理箱。在其他情况下,它是一种云服务。将沙箱放置在福彩三d字谜内的效率往往较低,因为沙箱需要大量的内存和CPU资源才能运行。

对于许多沙盒部署模型,福彩三d字谜会保留文件,直到云服务表明它是干净的之后才将文件交付给最终用户。这会导致小的延迟。

沙箱比基于签名的恶意软件检测要有效得多,因为它可以捕获以前看不见的新恶意软件种类,并且可以很好地抵抗加密下载。它’不过,它仍然不完美。

恶意软件编写者在检测代码何时在沙箱中解压缩时变得越来越好。另外,有时恶意软件试图针对特定操作系统中的特定漏洞。只有在沙箱恰好正在运行目标易受攻击的操作系统时,防御才起作用。

Web代理和URL检查

下一代福彩三d字谜通常包含的另一个有用功能是URL检查器或完整的Web代理服务。

Web代理位于加密的HTTPS会话的中间。对于Web浏览计算机,它假装为Web服务器。对于Web服务器,它假装为浏览器。通过这种方式,代理可以双向解密HTTPS会话,并准确查看正在发生的情况,从而有望检测到任何恶意活动。

URL检查服务没有’实际解密会话。它只是拉出网站信息,并检查已知的不良站点或可疑站点的大型数据库,以查看该特定站点是否正常。

通常,两种服务都将提供对各种内容类型的检测,而不仅仅是恶意软件。例如,它们可用于对成人网站,游戏,视频流等实施适当的使用策略。

URL检查器和Web代理都可以是云服务,也可以在现场使用单独的物理箱。而且有些运营模型甚至不包括福彩三d字谜。例如,常见的Web代理云服务模型涉及Web浏览器直接与云服务通信。

随着越来越多的网络流量被加密,如果不解密Web代理,管理网络流量变得越来越困难。因此,这是安全基础架构中非常有用的一部分。但是,它没有’不需要成为福彩三d字谜的一部分。

Web代理有用的另一种方法是为经常访问的网站缓存内容。如果有几个人在一个公共网站上访问相同的内容,则代理可以在首次访问该内容时下载并保留该内容。然后,每个随后的查看器都会获取缓存的版本,因为它是本地的,因此速度更快。

缓存还使该流量保持Internet链接之外的状态,从而减少了总体拥塞。仅当代理位于网络内部而不是云服务中时,此方法才有效。而且,由于代理服务器往往价格昂贵,因此实际上只有在较大的站点才具有成本效益。

NGFW中间福彩三d字谜中的Web代理

反向代理

反向代理与代理类似,不同之处在于,反向代理位于Web服务器的前面,并针对许多浏览器提供保护,而不是坐在Web浏览器的前面并使其免受许多网站的攻击。反向代理保存Web服务器的SSL证书,并从该服务器上分担SSL工作。

反向代理的主要好处之一是它可以位于相对不安全的Web服务器前,并确保攻击者可以’不要直接打它。反向代理还可以帮助减轻某些类型的拒绝服务攻击,这种服务模型在反向代理是云服务时特别有效。

Web应用福彩三d字谜

Web应用程序福彩三d字谜(WAF)是反向代理的更高级版本。实际上,我还没有看到下一代福彩三d字谜内置的WAF实施的很好,但是没有理由 ’t be done.
WAF强制执行良好的HTTP和HTTPS行为。通常用于解密HTTPS数据包,并将其作为标准HTTP流量转发到网络服务器。 WAF持有Web服务器的SSL证书。这样,WAF就能完全检查每个数据包的内容。

WAF通常会查找诸如对输入字段的缓冲区溢出攻击未遂,SQL注入攻击,跨站点脚本编写等问题。它还尝试检测利用Web服务器软件中已知漏洞的任何尝试。

负载均衡

一些下一代福彩三d字谜包含负载平衡器功能。我已经将它用于数据中心和远程分支机构的实施。

在数据中心,能够将负载分散到DMZ上的多个Web服务器上很有用。通常,这可以通过分立的负载平衡器设备来完成,但是将反向代理和WAF功能与负载平衡器结合在一起是很有意义的,因为它们是互补的,尤其是对于HTTPS流量。但是,如果您有大量的Web流量,则将福彩三d字谜与其他功能分开是更有意义的。出于管理原因,也可以有不同的逻辑控制点。

在分支机构,我使用了福彩三d字谜上的负载平衡器功能来自动将流量重定向到其他数据中心的辅助备份服务器。另外,如果我针对不同的分支机构调整优先级,则可以让其中一半使用一台服务器,另一半使用另一台服务器。然后,如果这些服务器中的任何一个发生故障,其余的服务器将自动接管所有分支机构。

负载均衡器NGFW下一代福彩三d字谜

罗布·布鲁尔 在Flickr上

威胁情报

威胁情报是定期从云服务下载的动态信息。然后,动态信息将用于帮助检测和阻止恶意行为。

不幸的是,威胁情报源中包含的确切信息种类可能千差万别。在某些情况下,它包括已知垃圾邮件发送者和已知命令与控制服务器之类的IP地址。在其他情况下,它可能包括特定的危害指标,可用于帮助检测恶意软件。

行为分析

行为分析意味着试图通过恶意应用程序执行意外操作来发现它们。例如,Web服务器不应’不能建立到未知IP地址的出站连接。

该术语还用于描述沙箱如何根据可疑操作(例如尝试修改Windows注册表或故意尝试在分配的内存末尾进行写入)来检测恶意软件。
行为分析是安全性中的一种新兴趋势,它可能需要大量CPU和内存资源才能充分监视应用程序的行为。

中央管理

福彩三d字谜管理有两个方面,有些供应商将这些功能分为单独的中央应用程序。第一个是配置管理,包括在大量设备上管理和推出策略的能力。第二是安全监控。

配置管理是一个棘手的问题。如果您有很多福彩三d字谜,则根据本地要求,它们的配置之间可能会有重要的区别。至少,差异将包括接口和IP地址之类的基本网络配置。但是,如果在不同站点上有外部可访问的资源(服务器),则您可能还需要在每台设备上使用不同的福彩三d字谜规则。

同时,您可能仍希望针对下一代功能(例如要使用的IDS / IPS签名和Web代理设置)进行集中协调的策略。您可以在每个福彩三d字谜上手动创建策略,但是’集中创建策略并将其推送到所有设备要容易得多。当您具有涉及两个必须具有相同配置才能正常工作的福彩三d字谜的活动/备用配置时,中央管理尤其重要。

中心中央管理NGFW

安德鲁·福格 在Flickr上

您可以使用福彩三d字谜供应商提供的软件对中央安全性进行监控,也可以使用单独的安全事件管理(SIEM)控制台进行处理。或者您可以同时使用。我实际上喜欢同时使用这两种方法,因为供应商软件通常可以提供有关特定安全警报的更好的详细信息,并且只需很少的工作即可提供有用的信息。

中央管理控制台的另一个真正有用的功能是协调新规则的自动更新,包括安全情报源数据以及新的IDS / IPS签名。安全是一个高度动态的领域。新威胁不断出现,如果您可以下载并推出新的策略和规则,它将使生活变得更加轻松。

而且,如果您可以下载并推出策略和规则,则可以对福彩三d字谜设备进行软件/固件更新。一些下一代福彩三d字谜没有’似乎经常创建固件更新,而其他人则一年创建几次。由于重要的安全错误确实会出现在福彩三d字谜中,因此我希望继续关注这些新版本的发行说明。当我有很多福彩三d字谜时,我希望能够自动执行这些更新。

下一代福彩三d字谜供应商

当心营销废话,这在NGFW市场中似乎特别密集。

例如,一个供应商会告诉您’这是一个问题,另一个供应商的NGFW功能在与基本福彩三d字谜相同的硬件上的单独虚拟机中“运行”,而不是直接集成到主要福彩三d字谜代码中。我可以’请注意,只要适当调整尺寸,这不会造成什么影响,因此不会造成性能问题。

一些供应商批评其他供应商要么使用云服务,要么不使用云服务进行某些类型的分析。同样,如果性能不佳’受到影响,你不应该’t care.

您可以查看研究报告(例如Gartner的报告),以获得有关最佳下一代福彩三d字谜供应商的建议。研究公司在提供现有和新兴产品的最新分析方面做得很好。

我目前最喜欢的福彩三d字谜供应商(排名不分先后)是Cisco,Palo Alto和Fortinet。我已经在网络中使用了所有这些产品,有时并排使用。实际上,我非常喜欢将多个安全产品一起使用的想法,因为它们各自具有不同的优点和缺点。希望,一个错过另一个的人能够抓住。

我喜欢 思科ASA福彩三d字谜,尤其是自从SourceFire产品线的收购和整合以来。它们提供了许多功能。

思科最大的缺点是基本设备的灵活性和强大功能可能导致经验不足的管理员之间产生混淆。它’不知不觉就可以用脚射击自己。通常,大约有10种不同的方式来完成相同的基本任务。但是,没有经验的管理员可以通过使用ASDM GUI界面而不是更灵活,更强大的CLI来很大程度上缓解这些问题。而且我认为用于SourceFire组件的FireSight中央管理系统非常好。

帕洛阿尔托 具有更紧密的集成方法。它们在其主要的福彩三d字谜代码中包含了下一代福彩三d字谜功能,从原则上讲,它可以提供性能上的好处。帕洛阿尔托的中央管理系统非常出色。

我对Palo Alto的最大抱怨是,他们倾向于过多地关注非正统协议的实现,这是恶意行为的标志。但是,黑客可以而且经常在标准平台上实施攻击。相反,许多大型软件供应商已实施了完全损坏的协议,因此需要在福彩三d字谜上进行精心设计的变通办法。

帕洛阿尔托还是此处讨论的三种中最昂贵的福彩三d字谜。

福汀‘最大的优点是,它提供了范围广泛的可靠的下一代福彩三d字谜功能,并且具有惊人的性价比。它们在众多平台上提供(大多数)相同的功能。

它们的底端福彩三d字谜适用于远程分支机构的低速Internet连接,而它们的高端数据中心福彩三d字谜则提供了一些最佳的吞吐量和延迟性能。需要权衡的是,其中某些功能(例如IDS / IPS)比Cisco或Palo Alto设备上的相应功能不够灵活和健壮。而且,Fortinet中央管理系统远不如Cisco或Palo Alto的复杂。

我知道所有这些供应商都会强烈反对我所描述的我认为自己的弱点的方式。我以前曾直接向供应商提出过所有这些问题,并遭到了严厉的反驳,在所有情况下都完全无法完全解决我的担忧。

但是我要说的是它们都很出色,因此我强烈建议所有这些产品。请记住,没有任何产品是完美的,即使是最好的产品在某些环境下也完全不适合。

成为某人的工作

最后,请记住,福彩三d字谜只是一种工具。您可以’只需将其打开然后走开-您必须积极地对其进行监视。如果它捕获并阻止了某种攻击,那就太好了。

但是您还需要担心警告和警报。请记住,当福彩三d字谜阻止来自网络内部的不良事件时,可能表明内部设备已受到威胁。

如果您确实打算使用下一代福彩三d字谜的功能,请计划让某人至少每天查看一次来自福彩三d字谜的所有最新警报。此人应跟进每个警报,并确定它是否代表真正的担忧,并采取适当措施纠正问题的根本原因。

使用误报来逐步调整规则也是一个好主意,以便针对客户的环境对其进行优化。由于许多组织无法提供具有福彩三d字谜专业知识的专职资源,因此他们经常寻求托管服务提供商来满足要求。