经过几十年的演变,互联网早已从一个基于学术和军事的专用网络演变为全球重要的信息基础设施,渗透到各个社会领域并产生巨大的影响。但是伴随的是网络威胁提及安全威胁日益高级和复杂,传统的安全产品“老三样”在应对不断变化的混合型安全威胁,处理丰富的互联网应用时,已经显得力不从心。
这是一个应用程序越来越丰富的时代。很多BT下载可以隐藏在IPTV协议里面。无论是游戏、视频对话还是下载,都需要做出判断之后再做进一步管理。黑客之所以能够攻击用户,都是利用了防火墙开放的端口,躲过防火墙的监测,直接针对目标应用程序。他们想出复杂的攻击方法,能够绕过传统防火墙。以前的防火墙采用的方式更多是阻断,就像是一座墙,有墙里墙外之分。基于应用层的攻击无疑是翻“墙”而过。据统计,目前70%的攻击是发生在应用层,而不是网络层。
下一代防火墙建设不是简单地根据模式而是按照整体行为来判断是否要进行阻断。例如,如果想控制流媒体不要占用太多流量,在进行识别之后再确定是进行阻断还是监测带宽,而后管理员可以根据公司的情况进行配置。然而,在传统方式下,这种情况是无法识别的。大多数公司都有多条链路。所以,当第一条链路出问题的时候就会自动切换到另一条链路。当然,下一代防火墙应该支持无线链路,通过无线3G也可以进入。
下一代防火墙建设应当是将WEB和邮件安全网关、入侵检测、应用安全防护以及流量管理等智能融合于一体,便于企业统一实施管理,不管信息管理人员身处何地,在家中、分支机构还是区域业务总部或是数据中心都可随时远程进行管理工作。
基于应用层的攻击,web安全无疑是重中之重。由于黑客针对Web应用的攻击手段和技术日趋高明、隐蔽,致使大多Web应用处在高风险环境下开展。网站遭受攻击将直接冲破企业应用的安全底线,损害企业的社会形象,导致客户流失。
虽说IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出已知的网络攻击,达到对web攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的web攻击,IDS和IPS同样不能有效的防护。