隨著網(wǎng)絡(luò)的發(fā)展�,防火墻也進行著發(fā)展和演變。但網(wǎng)絡(luò)應(yīng)用不斷豐富,大量應(yīng)用會建立在HTTP等基礎(chǔ)協(xié)議之上��,或者端口號隨機產(chǎn)生,或者采用諸如SSL的加密方式來隱藏內(nèi)容����。因此對應(yīng)用的識別和管控成為安全管理新的需求��。
面對新的挑戰(zhàn)����,世界著名的分析機構(gòu)Gartner提出下一代防火墻的標準中有一條認為,下一代防火墻應(yīng)該具備應(yīng)用識別功能���,能夠識別應(yīng)用和在應(yīng)用層上執(zhí)行獨立于端口和協(xié)議���,而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全策略�����,例如網(wǎng)絡(luò)中允許使用QQ��,但不能使用QQ游戲或QQ郵箱等細分應(yīng)用��。
目前�����,國內(nèi)大多數(shù)的廠商紛紛推出了自己的下一代防火墻,應(yīng)用識別功能得到很大的重視�,但是應(yīng)用識別怎樣做才能更符合用戶的需求呢?前不久���,國內(nèi)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)廠商山石網(wǎng)科在其下一代防火墻的應(yīng)用安全功能方面進行了一次重要的升級��,引發(fā)廣泛關(guān)注�,其中具備“應(yīng)用風險提示”的應(yīng)用識別功能的亮點尤為突出�����,下面我們來扒一扒山石網(wǎng)科的應(yīng)用識別與管控有什么與眾不同��?
精細化的應(yīng)用識別
首當其沖的是����,山石網(wǎng)科增加了可精確識別應(yīng)用類型,目前山石網(wǎng)科下一代防火墻可識別的應(yīng)用數(shù)量包括1300余種����,其中包括200多種移動應(yīng)用。在精細化角度�,本次升級可以做到進一步的劃分,以QQ為例��,目前可識別QQ旋風�、QQ游戲、QQ文件傳輸?shù)?6個QQ類應(yīng)用�����。百度類應(yīng)用���,目前可識別22個�����,如百度新聞����、百度音樂�����、百度文庫等���,其中對Android平臺及iOS平臺的應(yīng)用可精確區(qū)分�����,可以幫助管理員更加靈活管理�����。
應(yīng)用風險等級提示與多維度展示
山石網(wǎng)科下一代防火墻���,依據(jù)各應(yīng)用的技術(shù)原理�����,如是否易逃逸���、是否大量消耗帶寬、是否能傳輸文件����、是否存在已知漏洞等等,直接向用戶展示各應(yīng)用的“應(yīng)用風險等級”及“應(yīng)用潛在風險提示”這兩個信息�,通過劃分1-5個不同數(shù)字等級,分別代表應(yīng)用蘊含的風險等級��,數(shù)字越大����,風險越高����,可以使用戶更直觀的了解某個網(wǎng)絡(luò)應(yīng)用可能帶來的安全隱患��,從而制定更具針對性的安全策略�,保障網(wǎng)絡(luò)安全���。
同時�����,山石網(wǎng)科下一代防火墻從多個維度提供了針對“每一個應(yīng)用”的詳盡信息��,包括應(yīng)用的屬性分類�、風險等級判定���、所用技術(shù)���、基本信息介紹以及潛在風險提示等等,詳盡的信息可以為管理員實施管控策略提供具有價值的參考�����。
精細化應(yīng)用篩選與靈活策略部署
有了如此詳盡的信息,怎樣更好利用呢�����?山石網(wǎng)科下一代防火墻提供了六大分類項�,用戶可以自由排列組合,篩選出所需管理的應(yīng)用類型���。
舉個例子���,如果想篩選出高風險等級的通訊類應(yīng)用,那么就可以在類別項選擇“通訊”����,之后在“風險等級項”選擇5,即相當于選擇了通訊軟件中風險等級為5的所有應(yīng)用軟件���,然后便可以根據(jù)需要設(shè)定策略了�����。再比如����,如果想篩選出所有具有文件傳輸功能的應(yīng)用,那么只需要在“特征”一欄中選擇“能夠傳輸文件”����,即可篩選出所有具有文件傳輸功能的應(yīng)用,不論是何種類別��。
應(yīng)用識別的目的是進行應(yīng)用管控�����,在精細分類的基礎(chǔ)上���,山石網(wǎng)科下一代防火墻提供了多種控制手段,幫助用戶實現(xiàn)應(yīng)用管控��,包括訪問控制�、會話數(shù)限制、可用時間限制����、流量管控等,最終實現(xiàn)對網(wǎng)絡(luò)中的各種應(yīng)用的管理����。
