WEB开发网
开发学院网络安全防火墙 关注防火墙技术新动向 阅读

关注防火墙技术新动向

 2007-09-15 12:47:10 来源:WEB开发网   
核心提示: 这个道理用户懂,可路由器和交换机已经买了千兆的,关注防火墙技术新动向(2),怎么办?怎么办,买千兆防火墙!挑不挑NP或ASIC或X86,我在每一个分布式防火墙上把这个IP和MAC给封了,总之,是你的事,其实

这个道理用户懂,可路由器和交换机已经买了千兆的,怎么办?怎么办,买千兆防火墙!挑不挑NP或ASIC或X86,是你的事。其实,把安全问题放在千兆出口来解决,本身就不是一种理想的选择。能在计算机上解决的,不要交给网络;能在10M口上解决的,不要交给100M;能在100M口上解决的不要交给 1000M;如果你还打算把安全问题交给10000M口上去解决,那基本上就是不解决。

2、向内看,别老向外看

来自网络外部的安全问题当然存在。黑客也罢,敌对势力也罢,外部威胁还在。但是现在90%的安全问题在内部,重点在内部,不在外部。病毒发作,往往是内部传染的。扫描,往往是内部的主机干的。要解决内部的问题,现在的防火墙架构形同虚设。一个只防外不管内的防火墙,怎么管内部的安全问题。再说,防火墙也管不着不经过防火墙的流量。

现有的防火墙架构是一种粗颗粒度的访问控制,把整个内部网络当作一个逻辑单元来处理。这种粗颗粒度的访问控制机制不能满足高安全性的要求,不能解决内网的安全问题,因此我们需要细颗粒度的访问控制机制。细颗粒度的访问控制机制未来会很吃香。提高精度,总是好事。

要说向内看,思科的网络访问控制(NAC)和微软的网络访问保护(NAP),都在向内看。最近注意到华为也开始向内看。无论是微软还是思科,尽管有各自的算盘,但在向内看这个问题上,倒是达成一致共识。分布式防火墙,全网安全,网格防火墙(Grid Firewall),这三样也是典型的向内看的安全架构。

无论是思科还是其它的公司,都从去年的SARS事件中得到启发。如果网络的某个主机不安全,在没有有效办法去解决的前提下,最好的办法就是隔离。思科说,我从交换机上将其隔离。分布式防火墙说,我在每一个分布式防火墙上把这个IP和MAC给封了。总之,给隔离了。

上一页  1 2 3 4 5  下一页

Tags:关注 防火墙 技术

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接