关于元组的下一代防火墙

　　IT专业人士负责的周边防御不尽人意。

　　例子: 所有形状和大小的因特网流量都是通过端口 80传输。也就是说，端口80必须一直保持打开状态。一些不怀好意的人也知道这一点。所以端口80就变成了他们私人恶意软件的公用通道。这些装满恶意代码的“卡车”沿着道路通行的方向通过检查站。

　　有希望

　　我想向你介绍下一代防火墙(NGFW). 防火墙的作用是基于应用来过滤数据包。这里继续我的类比,载满恶意代码的卡车不再能沿着道路通行的方向通过检查站。

　　NGFW包含的其他特点:

　　· 执行公司的规定: NGFW能够按照要求控制用户访问网站和在线应用。

　　· SSL 代理服务器: NGFWs能够解密、检查和重建加密的SSL连接。这就消除用加密方法隐藏恶意软件的可能。

　　· IDS/IPS: NGFWs在不需要单独的IDS/IPS设备的地方已包含深度数据包检查。

　　· 便利的活动目录: 许多NGFWs能够基于个人用户配置文件或组授权使用。

　　· 过滤恶意软件: NGFWs提供了签名、以信誉为本的过滤以阻止恶意应用程序。

　　供应商

　　Palo Alto Networks 是第一家提供NGFW的公司。Palo Alto Networks 的NGFW 要求的有关信息，请查看白皮书 (上边的幻灯片)。 梭子鱼网络, 瞻博网络, 和沃奇卫士 也提供NGFW方案。

　　N元组?

　　我已经阅读了几乎所有有关NGFW元组的帖子。

　　N-元组 是一个属性集。并且，在防火墙存在的情况下,这些属性是用来定义访问要求的。N是一个占位符，代表列表中的属性量。例如,一个5元组 “防火墙允许规则” 应包括:

　　· 网络源地址

　　· 源端口 (典型地: 任一个)

　　· 目的IP地址

　　· 目的端口(80 或 443)

　　· 目的地协议 (典型地为TCP)

　　所以正检查的数据包的这些属性都是正确的，则防火墙将允许它通过。

　　扩展5元组

　　在计算出所要的元组后，我认为我已经“准备好了”。然后我读了一些关于“扩展5元组”的文章。扩展一个元组。确实有意义吗?

　　让我们看看它是否有意义。

　　如上所述，第一代防火墙规则采用5个属性集或者5元组。那足以执行状态端口和协议检查、网络地址转换和虚拟专用网络技术。

　　一个5元组规则集对NGFW是不够的。下一代防火墙需要额外的属性，如应用类型、用户身份，以便让其像广告中所说的那样工作。为理解其原因，最后一次考虑端口80的那个类比。

　　如果发现装有恶意代码的卡车持有非法牌照，则该卡车不允许去任何地方。上述情况也适用于恶意代码。如果其车牌——“应用类型”属性——不正确，则会阻止该恶意代码继续前进。

　　这个额外的属性或元组就是“5-元组的扩展”。

　　忏悔时刻: 我还没有找到一个防火墙元组数的明确解释。但是，现在有一篇又一篇的文章提及到元组。所以我投入研究了。如果我的解释是错误的, 我希望对防火墙和数据库有充分理解的管理员能帮助我脱离困境。

　　调查显示

　　Ponomen 机构刚为SourceFire公司完成了 NGFW的调查 。该信息图表 ( 部分显示如下) 提供了一些有趣的数据，特别是使NGFW引起人们的兴趣的原因以及回答者的百分比让人注意到其性能下降：

　　结语

　　恶意软件和反恶意软件的比赛正向着复杂化方向前进。