你的位置:首页 > 新闻动态 > 行业资讯

企业为什么需要第二代防火墙

2017-08-09 21:11:34      点击:

  随着信息技术的飞速发展和广泛应用,网络已经渗透到社会的各个领域,而带来的网络安全风险也与日俱增。现如今网络病毒肆虐,黑客攻击频繁,企业一旦遭到网络攻击,影响后果将十分严重。索尼影业被黑事件直接导致该公司亏损逾1亿美元国内某网游公司遭到网络攻击日损失高达300万元杭州某IT公司被黑客攻击损失超200万元等。

 

  由此可见传统的网络安全设备,如传统防火墙UTM均已远远不能满足用户对自身网络的安全防护诉求。具体原因如下:

一、基于端口的访问控制已失效 

  传统防火墙只能对网络流量进行基于端口的协议识别。而下一代网络中的大量应用可以直接复用同一标准协议的知名端口(如 80 端口已不再专属 HTTP,可被 P2P 使用)进行传输,或者直接承载在标准协议中(如 Web 视频直接承载在 HTTP 协议中)。因此,传统防火墙仅基于端口的控制方式已无法实现精确管控,比如,允许访问 80 端口的策略很可能会让不期望的非法流量(如 P2P)通过,甚至让黑客程序借此漏洞发动网络攻击,若完全禁止 80 端口则会殃及 Web 应用,导致正常的网页访问无法进行。 

二、基于IP地址的访问控制已不可靠

  传统防火墙通过 IP 地址对各安全区域进行访问控制,同时对威胁和应用来源进行跟踪审计。然而,在多网多终端接入的环境下,IP 地址分配具有极强的随机性和不唯一性,IP 地址本身对用户身份信息的传递已经越来越不具有代表性。进而,传统的通过 IP 地址来进行用户访问控制已不再完全有效。而对网络访问者真正身份的全面有效、深度广泛的鉴定识别,才是适应社会和网络发展的最有效手段。

三、对Web 攻击防护效果不佳

  应用安全防护体系不完善,只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对 Web 攻击威胁的防御能力,对Web 攻击防护效果不佳。缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于 web 网页上的 SQLXSS 漏洞,无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。

四、网络应用可见性差,存在法律风险

  一份来自于 IDC 的权威数据显示:80%以上的 IT 管理人员无法准确了解自己的网络。对网络管理来说,自己的网络就像一个黑盒子,里面都跑了些什么应用以及网络的状况根本不清楚,而管理员无法知道异常流量的类型、来源、具体流向、流量大小、持续的时间等,也无法有效规划网络资源的使用,导致网络管理处于无序状态。

结语:

  在企业的网络安全建设中,防火墙是重要的角色之一,如果企业想全面提高自身的网络安全防护能力,第二代防火墙设备在网络安全中的作用必不可少,这样才能把企业的安全风险降到最低,保护企业自身业务的安全与稳定运行。

  我们大连航远科技推出的网域ACF第二代防火墙不但可以提供基础网络安全功能,如状态监测、VPN、抗DDosNAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、WEB入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。可以为企业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。