Neste generasjons brannmurer: Det handler om tuples

IT-fagfolk som er ansvarlige for omkretsforsvar er frustrerte.

Tilfelle: Internett-trafikk i alle former og størrelser krysser port 80. Betydning, port 80 forbli åpen. Skurkene vet dette. Så port 80 blir deres private malware-motorvei. Og lastebiler, full av feilkode, kjører rett forbi sjekkpunktet.

Det er håp

Jeg vil gjerne presentere Next Generation FireWalls (NGFW). Brannmurer designet for å filtrere pakker basert på applikasjoner . For å fortsette min analogi, kan ikke lastebilene lastet med malkode kjøre rett forbi kontrollpunktet, mer.

Andre funksjoner innlemmet i NGFWs:

  • Håndhev selskapets forskrifter : NGFWs kan kontrollere brukertilgang til nettsteder og online applikasjoner etter behov.
  • SSL Proxy : NGFWs er i stand til å dekryptere, inspisere og gjenopprette den krypterte SSL-tilkoblingen. Dette eliminerer kryptering som en metode for å skjule skadelig programvare.
  • IDS / IPS : NGFW har innarbeidet dyp pakkeinspeksjon - til det punktet hvor frittstående IDS / IPS-enheter ikke er påkrevd.
  • Active-Directory-vennlig : Mange NGFW-er er i stand til å godkjenne bruken av applikasjoner basert på individuelle brukerprofiler eller -grupper.
  • Malware-filtrering : NGFW-er gir signatur- og omdømmebasert filtrering for å blokkere ondsinnede applikasjoner som har et dårlig rykte.

Klikk for å forstørre

leverandører

Palo Alto Networks var det første selskapet som tilbyr en NGFW. For informasjon om NGFW-krav per Palo Alto Networks, vennligst sjekk ut denne hvitboken (over lysbildet). Barracuda Networks, Juniper Networks og WatchGuard tilbyr også NGFW-løsninger.

N-tuppel?

Omtrent hvert blogginnlegg jeg har lest om NGFW-er nevnte tupler . Jeg ante ikke hva de var. Forhåpentligvis gjør du det. Hvis ikke, her er hva jeg fant ut.

N-tuple er en samling attributter. Og når det gjelder brannmurer, blir disse attributtene brukt til å definere tilgangskrav. N er en plassholder som representerer antall attributter i listen. For eksempel kan en "5-tuple" brannmur tillate regel "inneholde:

  • Kilde IP-adresse
  • Kildeport (vanligvis: hvilken som helst)
  • Destinasjons IP-adresse
  • Destinasjonsport (80 eller 443)
  • Destinasjonsprotokoll (vanligvis TCP)

Så hvis pakken som inspiseres har alle de riktige attributtene, lar brannmuren passere.

Utvide 5-tupelen

Jeg trodde jeg var "god å gå" etter å ha funnet ut hva en tupel var. Så leste jeg noe om "utvide 5-tupelen". Utvid en tuple. Er det til og med fornuftig?

La oss se om det gjør det.

Som nevnt tidligere, bruker en første generasjons brannmurregel en samling av 5 attributter eller 5-tuple. Det er tilstrekkelig til å utføre tilstrekkelig inspeksjon av port og protokoll, nettverksadresseoversettelse og virtuell privat nettverksteknologi.

Et sett med 5 tupler er ikke tilstrekkelig for NGFW-er. Next Generation Firewalls trenger ytterligere attributter som applikasjonstype og brukeridentitet for å fungere som annonsert. For å forstå hvorfor, bør du vurdere port 80-analogien, en siste gang.

Hvis det blir oppdaget at lastebilen som har malcode har en ulovlig lisenskilt, kommer ikke lastebilen noe sted. Det samme gjelder feilkode. Hvis lisensskiltet - "applikasjonstype" -attributtet - er feil, blokkeres malkoden fra å fortsette.

Ytterligere attributter eller tuples er "utvide 5-tupelen".

Tilståelsestid : Jeg fant ikke en tydelig forklaring på hvordan tuples forholder seg til brannmurer. Men, artikkel etter artikkel nevnte tuples. Så jeg hoppet inn. Hvis forklaringen min er feil, håper jeg brannmuren og databaseadministratorene som bedre forstår vil kausjonere meg.

Undersøkelsen sier

Ponomen Institute har nettopp fullført en undersøkelse av NGFWs for SourceFire, Inc. Infografien (delvis vist nedenfor) gir flere interessante statistikker, spesielt hva som er interessen for NGFWs og prosentandelen av respondentene som merker resultatforringelse:

Siste tanker

Løpet mot raffinement mellom malware og antimalware fortsetter. Følg med.

© Copyright 2020 | mobilegn.com