(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性,同时也是一个前提。因为只有防火墙作为内、外部网络之间通信的唯一通道,才可以更加全面、有效地保护企业网内部网络不受侵害。
防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
(二)只有符合安全策略的数据流才能通过防火墙
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。
原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。
(三)防火墙自身应具有非常强的抗攻击免疫力
防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。
它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
(四)应用层防火墙具备更细致的防护能力
自从Gartner提出下一代防火墙概念以来,信息安全行业越来越认识到应用层攻击成为当下取代传统攻击,最大程度危害用户的信息安全,而传统防火墙由于不具备区分端口和应用的能力,以至于传统防火墙仅仅只能防御传统的攻击,基于应用层的攻击则毫无办法。
从2011年开始,国内厂家通过多年的技术积累,开始推出下一代防火墙,下一代防火墙具备应用层分析的能力,能够基于不同的应用特征,实现应用层的攻击过滤,在具备传统防火墙、IPS、防毒等功能的同时,还能够对用户和内容进行识别管理,兼具了应用层的高性能和智能联动两大特性,能够更好的针对应用层攻击进行防护。
(五)数据库防火墙针对数据库恶意攻击的阻断能力
虚拟补丁技术:针对CVE公布的数据库漏洞,提供漏洞特征检测技术。
高危访问控制技术:提供对数据库用户的登录、操作行为,提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。
SQL注入禁止技术:提供SQL注入特征库。
返回行超标禁止技术:提供对敏感表的返回行数控制。
SQL黑名单技术:提供对非法SQL的语法抽象描述。
(责任编辑:Anny)
