网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　业内专家指出，由于众多因素，当前多数在线的防火墙设备并未发挥最大效能，形同鸡肋。下一代防火墙应该有两个标准，Gartner提出的属于技术上的定义，但站在用户角度来看，解决上一代问题的，才可以称之为下一代。下一代防火墙同样是一款边界安全设备，更加强调人参与其中，且必须具备精准、智能、高效的特点。

　　-------------------------------------------------------------------------------

　　随着国家建设网络强国战略的出台，我国信息安全产业已再次迎来蓬勃发展的春天。业内分析人士指出，在快步增长的中国信息安全市场中，安全硬件市场长期占据半壁江山，而扼守网络边界的防火墙产品则是安全硬件市场中的顶梁柱。

　　无独有偶，近日一项针对三百家企业用户的调研数据显示，超过89%的企业在进行信息安全建设时，首选防火墙设备。

　　"进不来、拿不走、读不懂是传统安全建设的基本原则，让攻击者进不来，是需考虑的首要问题"，一位软件企业CIO表示，防火墙犹如企业网络的守门员，几乎成为安全建设的必选项。

三问防火墙用户引深思

　　据悉，防火墙产品起源于90年代初，迄今为止已历经数代演进。根据《信息安全技术防火墙技术要求和测试评价方法》（我国防火墙技术的国家标准，GB/T 20281-2006）中的定义，在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了流经防火墙的数据，保证了内部网络和DMZ区的安全。

　　然而，部署了防火墙真的安全吗？换言之，防火墙真的能够将攻击者拒之门外吗？业内专家指出，由于众多因素，当前多数在线的防火墙设备并未发挥最大效能，形同鸡肋。

　　您是否还能记得防火墙的管理员账号和口令？

　　您是否会使用防火墙建立一条访问控制策略？

　　当网络出现异常时您是否能利用防火墙分析？

　　三个问题看出防火墙用户当前窘境

　　"三分技术，七分管理，是安全建设不变的铁律，不仅仅是防火墙，安全产品部署了一大堆，安全运维则始终难以落地，是国内用户的共性问题"，一位长期从事防火墙项目实施的技术人员称，在所实施过的项目中，75%以上的用户在项目竣工一个月后便很少登陆防火墙设备，80%的在线设备仅配置了一条"anyanyany permit all"（防火墙中表示放通所有流量）的策略，更多的IT管理者在网络出现异常问题后首先想到的是呼叫救火队员（安全服务商）。

　　"安全犹如踢足球，若不能将防线上提，对方前锋则始终有机会直接面对门将，球门失守在所难免"，专家表示，长期以来，由于从不进行安全管理，缺乏有效的安全配置，防火墙非但没有发挥隔离器、限制器、分析器应有的作用，反倒成为了虚弱的"最后一道防线"。

用户需要什么？精准--让安全少出错

　　由于防火墙是不同网络安全域的唯一信息出入口，其通常部署于网络的"咽喉"位置，对于用户而言可谓利弊共生。利的方面是可对流经的所有数据进行检查和控制，而弊则体现于一旦误配置、误拦截则极易引发网络访问中断。

　　据了解，一般的IT管理者将网络的可用性看的更重，宁铤威胁侵入之险，也不愿接受网络中断的用户绝非少数。因此全通的访问控制策略、仅做告警不做拦截的攻击防御规则在现有防火墙配置中广泛流行，更有甚者根本不开启安全功能，使防火墙形同虚设。

　　研究表明，传统防火墙在配置访问控制策略时，常使用TCP协议端口标识需控制的流量，对于用户而言，控制一种流量则需首先确定该流量使用的端口号，无形中增加了误配置风险，用户常因拦截了错误的端口号，或封堵了其它应用复用的端口，造成计划外的业务中断。此外，传统基于签名的威胁识别技术误报率较高已是不争的事实，同样是合法流量被防火墙误拦截的主因之一。

　　"首先，我们在下一代防火墙中嵌入了多年的研究成果，中国最大的应用识别库，这个识别库中包含了超过3100种的互联网应用以及700多种移动互联网应用，用户要控制一种流量时不需要再配置端口号，直接在我们的列表中选择应用名称或功能即可。对于威胁的识别和查杀，我们首创了防火墙产品病毒云查杀技术，利用云端更加丰富的资源、更快的响应速度，使病毒、恶意程序、恶意网址等威胁的识别准确度提升了近10倍"，网康科技产品市场经理熊瑛说。