科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道关注防火墙技术新动向 2

关注防火墙技术新动向 2

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

防火墙已经是目前最成熟的网络安全技术,也是市场上最常见的网络安全产品。现有的防火墙架构是一种粗颗粒度的访问控制,把整个内部网络当作一个逻辑单元来处理。

作者:51CTO.COM 2007年10月20日

关键字: Linux 防火墙 规则配置 微软 强制访问控制

  • 评论
  • 分享微博
  • 分享邮件
    这个道理用户懂,可路由器和交换机已经买了千兆的,怎么办?怎么办,买千兆防火墙!挑不挑NP或ASIC或X86,是你的事。其实,把安全问题放在千兆出口来解决,本身就不是一种理想的选择。能在计算机上解决的,不要交给网络;能在10M口上解决的,不要交给100M;能在100M口上解决的不要交给 1000M;如果你还打算把安全问题交给10000M口上去解决,那基本上就是不解决。

  2、向内看,别老向外看

  来自网络外部的安全问题当然存在。黑客也罢,敌对势力也罢,外部威胁还在。但是现在90%的安全问题在内部,重点在内部,不在外部。病毒发作,往往是内部传染的。扫描,往往是内部的主机干的。要解决内部的问题,现在的防火墙架构形同虚设。一个只防外不管内的防火墙,怎么管内部的安全问题。再说,防火墙也管不着不经过防火墙的流量。

  现有的防火墙架构是一种粗颗粒度的访问控制,把整个内部网络当作一个逻辑单元来处理。这种粗颗粒度的访问控制机制不能满足高安全性的要求,不能解决内网的安全问题,因此我们需要细颗粒度的访问控制机制。细颗粒度的访问控制机制未来会很吃香。提高精度,总是好事。

  要说向内看,思科的网络访问控制(NAC)和微软的网络访问保护(NAP),都在向内看。最近注意到华为也开始向内看。无论是微软还是思科,尽管有各自的算盘,但在向内看这个问题上,倒是达成一致共识。分布式防火墙,全网安全,网格防火墙(Grid Firewall),这三样也是典型的向内看的安全架构。

  无论是思科还是其它的公司,都从去年的SARS事件中得到启发。如果网络的某个主机不安全,在没有有效办法去解决的前提下,最好的办法就是隔离。思科说,我从交换机上将其隔离。分布式防火墙说,我在每一个分布式防火墙上把这个IP和MAC给封了。总之,给隔离了。

  向内看肯定是一个趋势。细颗粒度的访问控制到底细到什么程度,目前还没有明确的说法。如果能对每一个用户,每一个IP,每一个MAC地址,都进行访问控制,可以肯定这是目前最细颗粒度的访问控制。这样的网络,是一个强制访问控制网络。听听,这个名词,强制访问控制网络(MACNET),一听就知道是安全的。如果你的网络,每一个用户都有防火墙,每一个IP都有防火墙,每一个MAC地址都有防火墙,你的内网一定相当安全。  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章