IT專業(yè)人員應(yīng)了解的五大防火墻功能

Zeus Kerravala

防火墻通過整合獨(dú)立設(shè)備的功能，接受網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整以及集成外部數(shù)據(jù)源，以在其做出的決策中加入智能，從而持續(xù)發(fā)展成為網(wǎng)絡(luò)安全的主力。由于其中存在著大量的可能性，因此變得難以捉摸。

由于功能非常豐富，導(dǎo)致下一代防火墻難以被充分地熟練掌握，有些重要的功能有時(shí)在實(shí)踐中也會(huì)被忽略掉。

以下是IT專業(yè)人員應(yīng)關(guān)注的防火墻的新功能。

網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段指將單個(gè)物理網(wǎng)絡(luò)劃分為多個(gè)邏輯網(wǎng)絡(luò)，其中每個(gè)網(wǎng)段的行為就像在自己的物理網(wǎng)絡(luò)上運(yùn)行一樣。每個(gè)分段中的流量無法流經(jīng)或是被另外一個(gè)分段看到。

如果發(fā)生黑客入侵，那么這樣可以大幅減少攻擊面。例如，醫(yī)院可以將其所有醫(yī)療設(shè)備放在一個(gè)網(wǎng)段，將患者記錄放在另一個(gè)網(wǎng)段。即使黑客入侵了沒有適當(dāng)安全保護(hù)措施的心臟泵，也無法訪問患者的個(gè)人信息。

值得關(guān)注的是，許多相互連接的設(shè)備使用的都是較舊的操作系統(tǒng)，其在本質(zhì)上是不安全的，因?yàn)樗梢猿洚?dāng)攻擊者的切入點(diǎn)，因此物聯(lián)網(wǎng)及其分布特性的增長(zhǎng)推動(dòng)了對(duì)網(wǎng)絡(luò)分段的需求。

優(yōu)化策略

防火墻策略和規(guī)則是防火墻運(yùn)行的引擎。大多數(shù)安全專業(yè)人員都害怕刪除較舊的策略，因?yàn)樗麄儾恢肋@些策略是何時(shí)或因何原因被實(shí)施的。隨之而來的后果是，規(guī)則不斷增加，卻沒有人會(huì)想去刪減這些策略。一些企業(yè)表示，他們已經(jīng)制訂了數(shù)百萬條防火墻規(guī)則。事實(shí)是，規(guī)則太多會(huì)增加復(fù)雜性，并可能導(dǎo)致規(guī)則之間相互沖突，隨之而來的是要花費(fèi)大量的時(shí)間和精力進(jìn)行管理和排除故障。

策略優(yōu)化主要是將老的安全策略規(guī)則轉(zhuǎn)化為基于應(yīng)用程序的規(guī)則，這些規(guī)則可以根據(jù)正在使用的應(yīng)用程序允許或拒絕流量。通過減少攻擊面可以提高整體安全性，提供可見性也可讓應(yīng)用程序能夠被安全地訪問。由于策略優(yōu)化可識(shí)別基于端口的規(guī)則，因此可以將它們轉(zhuǎn)換為基于應(yīng)用程序的白名單規(guī)則，或?qū)?yīng)用程序從基于端口的規(guī)則添加到現(xiàn)有的基于應(yīng)用程序的規(guī)則，而不會(huì)影響應(yīng)用程序的可用性。此外，它們還可以識(shí)別基于應(yīng)用程序的超額配置規(guī)則。策略優(yōu)化可幫助確定優(yōu)先遷移哪些基于端口的規(guī)則，確定允許哪些應(yīng)用程序不使用基于應(yīng)用程序的規(guī)則，以及分析規(guī)則使用特征（例如點(diǎn)擊次數(shù)），對(duì)特定規(guī)則的使用頻率與所有應(yīng)用規(guī)則的使用頻率進(jìn)行比較。

將基于端口的規(guī)則轉(zhuǎn)換為基于應(yīng)用程序的規(guī)則可以改善安全狀況，因?yàn)槠髽I(yè)可以將他們想要的列入白名單并拒絕其他的應(yīng)用程序。這樣一來，可以消除網(wǎng)絡(luò)中不需要的流量和潛在的惡意流量。

憑證防盜

過去，工作人員只能從企業(yè)辦公室訪問公司的應(yīng)用程序。如今，他們可以從辦公室、家里、機(jī)場(chǎng)以及其他任何地方訪問老的應(yīng)用程序、SaaS應(yīng)用程序和其他云服務(wù)。這使得黑客更容易竊取憑據(jù)。據(jù)《Verizon數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，與黑客相關(guān)的數(shù)據(jù)泄露事件中，81%的事件出現(xiàn)了密碼被竊取和/或采取了弱密碼。

防止憑證被盜的措施可阻止員工在Facebook和Twitter等網(wǎng)站上使用企業(yè)憑證。即便是被批準(zhǔn)的應(yīng)用程序，使用企業(yè)憑證訪問它們也會(huì)使企業(yè)面臨風(fēng)險(xiǎn)。

憑證防盜的工作原理是掃描提交給網(wǎng)站的用戶名和密碼，然后將提交的內(nèi)容與官方的企業(yè)憑證列表進(jìn)行比較。企業(yè)可以根據(jù)網(wǎng)站的URL類別選擇允許或是不允許向哪些網(wǎng)站提交企業(yè)憑證。

當(dāng)防火墻檢測(cè)到用戶試圖將憑證提交到受限類別的站點(diǎn)時(shí)，就會(huì)顯示阻止響應(yīng)頁(yè)面，以阻止用戶提交憑證。或者，它們會(huì)顯示一個(gè)繼續(xù)頁(yè)面，并警告用戶不要將憑證提交給某些URL類別中的站點(diǎn)，但是其仍會(huì)允許用戶繼續(xù)提交憑證。安全專業(yè)人員可以自定義那些阻止頁(yè)面，以便讓用戶知曉即使在合法的非釣魚網(wǎng)站上也不要重復(fù)使用企業(yè)憑證。

DNS安全性

綜合使用機(jī)器學(xué)習(xí)、分析和自動(dòng)化可以有效阻止利用域名系統(tǒng)（DNS）的攻擊。在許多企業(yè)中，DNS服務(wù)器是不安全的，非常容易受到攻擊，這些攻擊會(huì)將用戶重新定向到會(huì)進(jìn)行釣魚攻擊和竊取數(shù)據(jù)的惡意網(wǎng)站。黑客在基于DNS的攻擊中有著很高的成功率，因?yàn)榘踩珗F(tuán)隊(duì)幾乎不了解攻擊者是如何使用服務(wù)來維持對(duì)受感染設(shè)備的控制。一些獨(dú)立的DNS安全服務(wù)雖然有一定的效果，但是缺乏足夠的數(shù)據(jù)以識(shí)別所有的攻擊。

將DNS安全性集成到防火墻中后，機(jī)器學(xué)習(xí)可以分析大量的網(wǎng)絡(luò)數(shù)據(jù)，從而不再需要獨(dú)立的分析工具。 集成到防火墻中的DNS安全性可以通過自動(dòng)化和實(shí)時(shí)分析來預(yù)測(cè)和阻止惡意域。隨著惡意域數(shù)量的增加，機(jī)器學(xué)習(xí)可以迅速發(fā)現(xiàn)它們并確保它們不會(huì)成為隱患。

DNS隧道可通過將數(shù)據(jù)隱藏在DNS請(qǐng)求中來繞開防火墻進(jìn)行數(shù)據(jù)傳輸。集成的DNS安全性不僅可以使用機(jī)器學(xué)習(xí)分析來應(yīng)對(duì)來自DNS隧道的威脅，還可以找到惡意軟件的命令與控制服務(wù)器。由于是建立在基于簽名的系統(tǒng)之上，因此集成的DNS安全性可以識(shí)別高級(jí)隧道并自動(dòng)關(guān)閉DNS隧道攻擊。

動(dòng)態(tài)用戶群組

該功能可以創(chuàng)建能夠自動(dòng)修復(fù)人工異常活動(dòng)的策略。不過基本前提是，群組中的用戶角色意味著他們的網(wǎng)絡(luò)行為應(yīng)當(dāng)彼此相似。例如，如果一個(gè)工作人員受到釣魚攻擊并且安裝了奇怪的應(yīng)用程序，那么這名用戶就會(huì)顯得與眾不同，也就意味著可能受到了攻擊。

從以往經(jīng)驗(yàn)看，隔離一組用戶非常耗時(shí)，因?yàn)楸仨毩私庠撊航M的每個(gè)成員并分別執(zhí)行不同的策略。對(duì)于動(dòng)態(tài)用戶群組來說，當(dāng)防火墻發(fā)現(xiàn)異常時(shí)，它們會(huì)創(chuàng)建策略以反制該異常行為并將其從用戶群組中剔除。整個(gè)群組會(huì)自動(dòng)更新，不需手動(dòng)創(chuàng)建和提交策略。取代手動(dòng)工作操作的是，群組中的所有人員將會(huì)立即自動(dòng)收到相同的策略更新。該功能與防火墻的集成使得防火墻能夠?qū)⒂脩羧航M的策略分發(fā)給所有有需要的其他基礎(chǔ)設(shè)施，包括其他的防火墻、日志收集器和應(yīng)用程序。

如今防火墻已經(jīng)成為了網(wǎng)絡(luò)安全的基礎(chǔ)并且還將繼續(xù)下去。它們是企業(yè)的第一道安全防線，可以在黑客入侵企業(yè)網(wǎng)絡(luò)之前擋住許多攻擊。最大限度地利用防火墻的價(jià)值意味著需要啟用許多高級(jí)功能，雖然其中一些功能已在防火墻中存在了多年時(shí)間，但是由于各種原因一直沒有被啟用。

本文作者Zeus Kerravala為市場(chǎng)研究公司ZK Research的創(chuàng)始人兼首席分析師。

原文網(wǎng)址

https：//www.networkworld.com/article/3519854/4-firewall-features-it-pros-should-know-about-but-probably-dont.html？nsdr=true