免费热线:400-655-8606
当前位置:首页 >最新动态

新一代防火墙必须做到的13件事

发布者:ITGO-IT购 时间:2019-08-08

IT的快速发展已改变网络边界的面貌。数据和用户无处不在。设备的激增已超过大部分组织能够跟上的速度。同时,IT团队正在采用云、大数据分析和自动化来加速新应用的交付,从而推动业务发展。与此同时,访问应用越来越容易。这使得网络变得非常复杂,并带来巨大的业务风险。组织必须在不降低业务速度的同时,将风险降至最低。

网络安全并没有跟上网络攻击的进化速度,使其得以继续对业务造成破坏。在安全防护方面的支出仿佛无穷无尽,而降低风险的效果并不明显。部署分散、非集成的工具和技术会将您的企业暴露在威胁之中。未针对自动化而设计的安全工具需要分析人员在操作之前,手动将诸多来自互不相关来源的分析整合在一起。我们需要一种全新的方法。

该方法利用新一代防火墙平台作为高效的网络安全策略的基石。利用以防御为中心的架构,安全团队能够轻松采用最佳实践以避免攻击得逞、利用自动化和分析减少手动工作、替换松散的端点产品并部署紧密集成的创新成果,从而增强并简化安全防护。

本白皮书说明了从防火墙到“新一代防火墙”的发展过程,并着重说明了为保护网络和业务的安全,新一代防火墙(NGFW)必须做到的十三件重要的事情。

1识别用户并启用适当的访问权

问题:

员工、客户和合作伙伴连接到网络中不同的信息存储库,互联网同理。这些人员和他们的很多设备代表着您的网络用户。对于您的组织风险状况而言,重要的是您可以识别出IP地址后的用户,并根据他们所使用的设备掌握其固有的风险,尤其是在安全策略已被规避或网络中引入了新的威胁时。此外,用户需要不断变换物理位置,并使用不同的设备、操作系统和应用版本来访问自己需要的数据。IP地址子网只映射到物理位置,而不是单个用户,意味着如果用户移动了位置,即使仍然在办公室中,策略也无法跟踪到。

新一代防火墙.png

解决问题

用户和组信息必须直接集成到用于保护现代组织的技术平台中。您的新一代防火墙必须能够从多种来源获取用户身份,包括VPN、WLAN访问控制器、目录服务器、电子邮件服务器和强制网络门户。了解谁在使用网络中的应用,以及谁可能在转移威胁或传输文件,从而强化安全策略并缩短事件响应时间。防火墙必须启用策略,在出站或入站方向上基于用户或用户组安全启用应用;例如,只允许IT部门使用SSH、telnet和FTP等工具。基于用户的策略不论用户身处何地(总部、分支机构还是家中),使用何种设备,都将始终适用于用户。但是,用户身份的问题不仅限于为策略报告分类用户。

2防止企业凭证的窃取和滥用

问题

用户及其凭证是组织安全基础架构中最薄弱的环节之一。根据Verizon 的“2017年数据泄露调查报告”,在报告涵盖的12个月期间,81%与黑客活动相关的数据泄露利用了遭窃的密码和/或弱密码。随着将被盗凭证作为工具集的一部分,攻击者成功入侵的几率提升,而被捕获的风险降低。为避免凭证遭窃,大部分组织依赖的是对员工的教育,而这种教育本质上容易发生人为错误。通常技术产品依赖于识别已知的网络钓鱼站点和过滤电子邮件。但是,有时可以绕过这些方法 - 检查已知的恶意站点会漏掉新产生的恶意站点,同时攻击者可以在社交媒体上发送链接,从而规避电子邮件过滤技术。攻击者可以利用网络钓鱼、恶意软件、社交工程或暴力破解轻松窃取凭证,甚至可以从黑市购买凭证。攻击者利用这些凭证获取对网络的访问权、进行横向移动并提升其权限从而对应用和数据进行未经授权的访问。

新一代防火墙2.jpg

解决问题

组织应该寻找一款能够通过基于机器学习的分析识别窃取凭证的网站的防火墙。如果分析将站点识别为恶意站点,应该更新防火墙并阻截该站点。不过,总是会有新的、从未见过的网络钓鱼站点被视为“未知”。新一代防火墙必须让您能够阻截向未知站点提交公司凭证。防火墙必须还能让您通过实施多重身份验证(MFA)以避免攻击者滥用遭窃的凭证,从而保护敏感数据和应用。通过与常见的MFA供应商集成,防火墙能够保护包含敏感数据的应用,包括旧有应用在内。

3安全地启用所有应用和控制功能

问题

越来越多的应用(例如即时消息应用、点对点文件共享或 VoIP)能够在非标准端口或跳转端口中使用。此外,用户正在通过不同的设备和位置访问包括软件即服务(SaaS)应用在内的各种类型的应用。其中一些应用经过了批准,一些应用可以接受,而其他的应用未经批准,而用户越来越精通这些操作,能够通过RDP和SSH等协议,强迫应用在非标准端口中运行。此外,新应用为用户提供了丰富的功能集,这虽然能够有助于确保用户忠诚度,但也可能代表了不同的风险状况。例如,WebEx®是一个非常重要的业务工具,而使用WebEx桌面共享从外部源控制员工的桌面可能会违反内部规定或法规。Gmail®和Google Drive是另外一个好例子。在用户登录到Gmail(策略允许)之后,他们可以轻松切换到YouTube®或Google Photo(策略不允许)。安全管理员希望完全控制这些应用的使用,并设置策略以允许或控制某些类型的应用和应用功能,同时拒绝其他应用。

新一代防火墙3.jpg

解决问题

您的新一代防火墙必须能够在默认情况下,在所有端口中随时按照应用分类流量,同时研究每个应用使用的通用端口时不应为您增加负担。防火墙必须提供有关应用使用情况的完整可视性,并提供理解和控制其使用的能力(参见图 3)。例如,防火墙应理解应用功能(如音频流、远程访问和发布文档)的使用情况,同时能够对使用情况实施细粒度控制,例如上传与下载权限、聊天与文件传输等。这必须持续进行。“一次性”流量分类的概念未作为选项提供,因为它忽视了这些通用应用共享会话并支持多个功能的事实。如果在会话中引入了不同功能或特点,防火墙必须再次执行策略检查。不断地执行状态跟踪以了解每个应用可能支持的功能和相关的不同风险,这是新一代防火墙必须做到的事情。

4弥补危险的策略漏洞

问题

旧有的防火墙根据端口和IP地址允许和阻截流量。这种方法并不合适,因为基于端口的规则同时允许良性和恶意应用经过防火墙。应用可以利用SSL和SSH或使用众所周知的开放端口(如80和443)在端口间跳转,从而穿过基于端口的防火墙。随着时间的推移,客户在防火墙中积累了数以千计的基于端口的规则,并且经常将这些规则原样迁移到新一代防火墙中。这些规则留下了危险的策略漏洞。客户意识到他们必须迁移到基于应用的规则以实现高效的安全防护,但这需要大量的手动操作,并且由于网络安全技能的不足,大多数组织都没有资源来进行这种操作。这成为了可能导致业务中断的高安全风险。事实上,根据Gartner的研究表明,到2023年,99%的防火墙漏洞将由防火墙配置不当引起,而非防火墙自身的缺陷。

解决问题

在评估您的新一代防火墙时,请寻找能够降低规则和策略管理复杂程度的新一代防火墙。首先,防火墙会向您展示网络中正在运行的应用,将其映射到旧有规则,从而帮助替换旧有规则。新一代防火墙应该能帮助您的安全团队轻松地将旧有规则替换为直观、基于应用的策略。因为基于App-ID的规则易于创建、理解且易于随着业务需求的发展进行修改,因此可以最大限度地减少配置错误,从而避免您受到数据泄露的攻击。这些策略增强了安全防护,并显著缩短了管理时间。

5保证加密流量的安全

问题

现在大部分企业的Web流量都经过了加密,攻击者利用这种加密隐藏威胁,避开安全防护设备。这意味着即使企业拥有成熟、全面的安全防护措施,但如果不监控加密流量,仍然有可能遭到入侵。此外,SSH几乎得到了普遍的使用,最终用户能够轻松进行配置来隐藏与工作无关的活动。

新一代防火墙4.jpg

解决问题

解密SSL和SSH是基本的安全功能。要研究的关键元素包括:对所有端口入站和出站的流量进行识别和解密;对解密进行策略控制;以及在上万个同时SSL连接上执行解密所需的硬件和软件元素,并且可预测性能。但是,您的新一代防火墙必须足够灵活,以能够轻松地根据策略解密特定类型的加密流量(如未分类网站的HTTPS),同时对于其他类型(如已知金融服务组织的Web流量)则遵守隐私标准进行保留。新一代防火墙应该将安全性和负载平衡应用于跨多个安全设备堆栈的解密流,以进行额外的实施。这无需专用的SSL卸载器,同时降低了网络的复杂性并使得解密更加容易操作。请阅读使用解密的原因、方法和适用情况,了解有关这一重要功能的详细总览。

北方翱翔信息工程技术(北京)有限公司(简称:北方翱翔www.northsoar.com成立于2011年,是一家专注云计算、智网络、智安全领域的解决方案服务、产品销售服务和专业技术服务的一站式云IT服务企业。集合 思科代理  思科金牌代理 思科交换机总代理 华为代理。北方翱翔经营理念: 在追求全体员工物质和精神这两方面幸福的同时,为客户提供优质的服务,实现客户价值提升;提高企业价值,为社会的进步和发展做出贡献。
ITwww.360itgo.com是北方翱翔旗下一站式IT产品和服务B2B电商平台,商城产品包括云计算、云存储、云服务、云应用、网络设备、服务器、存储、虚拟化、安全产品、IT服务等,提供从咨询、采购、实施、运维到升级的全生命周期的一站式服务,IT购自建智能化仓储,现有自营库存超10000SKU,品类齐全、运转高效,确保能够完成当天99%的订单发货,凭借成熟的行业经验、独特的高增值专业服务和精细化的互联网电商运营模式,力求打造企业级IT服务的新标杆,给客户带来方便快捷,安全可靠的购买体验.


相关推荐