IT專業人員應了解的五大防火墻功能

2020-03-16 03:35:58 計算機世界 2020年8期

Zeus Kerravala

防火墻通過整合獨立設備的功能,接受網絡結構調整以及集成外部數據源,以在其做出的決策中加入智能,從而持續發展成為網絡安全的主力。由于其中存在著大量的可能性,因此變得難以捉摸。

由于功能非常豐富,導致下一代防火墻難以被充分地熟練掌握,有些重要的功能有時在實踐中也會被忽略掉。

以下是IT專業人員應關注的防火墻的新功能。

網絡分段

網絡分段指將單個物理網絡劃分為多個邏輯網絡,其中每個網段的行為就像在自己的物理網絡上運行一樣。每個分段中的流量無法流經或是被另外一個分段看到。

如果發生黑客入侵,那么這樣可以大幅減少攻擊面。例如,醫院可以將其所有醫療設備放在一個網段,將患者記錄放在另一個網段。即使黑客入侵了沒有適當安全保護措施的心臟泵,也無法訪問患者的個人信息。

值得關注的是,許多相互連接的設備使用的都是較舊的操作系統,其在本質上是不安全的,因為它可以充當攻擊者的切入點,因此物聯網及其分布特性的增長推動了對網絡分段的需求。

優化策略

防火墻策略和規則是防火墻運行的引擎。大多數安全專業人員都害怕刪除較舊的策略,因為他們不知道這些策略是何時或因何原因被實施的。隨之而來的后果是,規則不斷增加,卻沒有人會想去刪減這些策略。一些企業表示,他們已經制訂了數百萬條防火墻規則。事實是,規則太多會增加復雜性,并可能導致規則之間相互沖突,隨之而來的是要花費大量的時間和精力進行管理和排除故障。

策略優化主要是將老的安全策略規則轉化為基于應用程序的規則,這些規則可以根據正在使用的應用程序允許或拒絕流量。通過減少攻擊面可以提高整體安全性,提供可見性也可讓應用程序能夠被安全地訪問。由于策略優化可識別基于端口的規則,因此可以將它們轉換為基于應用程序的白名單規則,或將應用程序從基于端口的規則添加到現有的基于應用程序的規則,而不會影響應用程序的可用性。此外,它們還可以識別基于應用程序的超額配置規則。策略優化可幫助確定優先遷移哪些基于端口的規則,確定允許哪些應用程序不使用基于應用程序的規則,以及分析規則使用特征(例如點擊次數),對特定規則的使用頻率與所有應用規則的使用頻率進行比較。

將基于端口的規則轉換為基于應用程序的規則可以改善安全狀況,因為企業可以將他們想要的列入白名單并拒絕其他的應用程序。這樣一來,可以消除網絡中不需要的流量和潛在的惡意流量。

憑證防盜

過去,工作人員只能從企業辦公室訪問公司的應用程序。如今,他們可以從辦公室、家里、機場以及其他任何地方訪問老的應用程序、SaaS應用程序和其他云服務。這使得黑客更容易竊取憑據。據《Verizon數據泄露調查報告》顯示,與黑客相關的數據泄露事件中,81%的事件出現了密碼被竊取和/或采取了弱密碼。

防止憑證被盜的措施可阻止員工在Facebook和Twitter等網站上使用企業憑證。即便是被批準的應用程序,使用企業憑證訪問它們也會使企業面臨風險。

憑證防盜的工作原理是掃描提交給網站的用戶名和密碼,然后將提交的內容與官方的企業憑證列表進行比較。企業可以根據網站的URL類別選擇允許或是不允許向哪些網站提交企業憑證。

當防火墻檢測到用戶試圖將憑證提交到受限類別的站點時,就會顯示阻止響應頁面,以阻止用戶提交憑證?;蛘?,它們會顯示一個繼續頁面,并警告用戶不要將憑證提交給某些URL類別中的站點,但是其仍會允許用戶繼續提交憑證。安全專業人員可以自定義那些阻止頁面,以便讓用戶知曉即使在合法的非釣魚網站上也不要重復使用企業憑證。

DNS安全性

綜合使用機器學習、分析和自動化可以有效阻止利用域名系統(DNS)的攻擊。在許多企業中,DNS服務器是不安全的,非常容易受到攻擊,這些攻擊會將用戶重新定向到會進行釣魚攻擊和竊取數據的惡意網站。黑客在基于DNS的攻擊中有著很高的成功率,因為安全團隊幾乎不了解攻擊者是如何使用服務來維持對受感染設備的控制。一些獨立的DNS安全服務雖然有一定的效果,但是缺乏足夠的數據以識別所有的攻擊。

將DNS安全性集成到防火墻中后,機器學習可以分析大量的網絡數據,從而不再需要獨立的分析工具。 集成到防火墻中的DNS安全性可以通過自動化和實時分析來預測和阻止惡意域。隨著惡意域數量的增加,機器學習可以迅速發現它們并確保它們不會成為隱患。

DNS隧道可通過將數據隱藏在DNS請求中來繞開防火墻進行數據傳輸。集成的DNS安全性不僅可以使用機器學習分析來應對來自DNS隧道的威脅,還可以找到惡意軟件的命令與控制服務器。由于是建立在基于簽名的系統之上,因此集成的DNS安全性可以識別高級隧道并自動關閉DNS隧道攻擊。

動態用戶群組

該功能可以創建能夠自動修復人工異?;顒拥牟呗?。不過基本前提是,群組中的用戶角色意味著他們的網絡行為應當彼此相似。例如,如果一個工作人員受到釣魚攻擊并且安裝了奇怪的應用程序,那么這名用戶就會顯得與眾不同,也就意味著可能受到了攻擊。

從以往經驗看,隔離一組用戶非常耗時,因為必須了解該群組的每個成員并分別執行不同的策略。對于動態用戶群組來說,當防火墻發現異常時,它們會創建策略以反制該異常行為并將其從用戶群組中剔除。整個群組會自動更新,不需手動創建和提交策略。取代手動工作操作的是,群組中的所有人員將會立即自動收到相同的策略更新。該功能與防火墻的集成使得防火墻能夠將用戶群組的策略分發給所有有需要的其他基礎設施,包括其他的防火墻、日志收集器和應用程序。

如今防火墻已經成為了網絡安全的基礎并且還將繼續下去。它們是企業的第一道安全防線,可以在黑客入侵企業網絡之前擋住許多攻擊。最大限度地利用防火墻的價值意味著需要啟用許多高級功能,雖然其中一些功能已在防火墻中存在了多年時間,但是由于各種原因一直沒有被啟用。

本文作者Zeus Kerravala為市場研究公司ZK Research的創始人兼首席分析師。

原文網址

https://www.networkworld.com/article/3519854/4-firewall-features-it-pros-should-know-about-but-probably-dont.html?nsdr=true

河北十一选五分析软件