Zeus Kerravala

防火墻通過整合獨立設(shè)備的功能，接受網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整以及集成外部數(shù)據(jù)源，以在其做出的決策中加入智能，從而持續(xù)發(fā)展成為網(wǎng)絡(luò)安全的主力。由于其中存在著大量的可能性，因此變得難以捉摸。

由于功能非常豐富，導(dǎo)致下一代防火墻難以被充分地熟練掌握，有些重要的功能有時在實踐中也會被忽略掉。

以下是IT專業(yè)人員應(yīng)關(guān)注的防火墻的新功能。

網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段指將單個物理網(wǎng)絡(luò)劃分為多個邏輯網(wǎng)絡(luò)，其中每個網(wǎng)段的行為就像在自己的物理網(wǎng)絡(luò)上運行一樣。每個分段中的流量無法流經(jīng)或是被另外一個分段看到。

如果發(fā)生黑客入侵，那么這樣可以大幅減少攻擊面。例如，醫(yī)院可以將其所有醫(yī)療設(shè)備放在一個網(wǎng)段，將患者記錄放在另一個網(wǎng)段。即使黑客入侵了沒有適當(dāng)安全保護措施的心臟泵，也無法訪問患者的個人信息。

值得關(guān)注的是，許多相互連接的設(shè)備使用的都是較舊的操作系統(tǒng)，其在本質(zhì)上是不安全的，因為它可以充當(dāng)攻擊者的切入點，因此物聯(lián)網(wǎng)及其分布特性的增長推動了對網(wǎng)絡(luò)分段的需求。

優(yōu)化策略

防火墻策略和規(guī)則是防火墻運行的引擎。大多數(shù)安全專業(yè)人員都害怕刪除較舊的策略，因為他們不知道這些策略是何時或因何原因被實施的。隨之而來的后果是，規(guī)則不斷增加，卻沒有人會想去刪減這些策略。一些企業(yè)表示，他們已經(jīng)制訂了數(shù)百萬條防火墻規(guī)則。事實是，規(guī)則太多會增加復(fù)雜性，并可能導(dǎo)致規(guī)則之間相互沖突，隨之而來的是要花費大量的時間和精力進行管理和排除故障。

策略優(yōu)化主要是將老的安全策略規(guī)則轉(zhuǎn)化為基于應(yīng)用程序的規(guī)則，這些規(guī)則可以根據(jù)正在使用的應(yīng)用程序允許或拒絕流量。通過減少攻擊面可以提高整體安全性，提供可見性也可讓應(yīng)用程序能夠被安全地訪問。由于策略優(yōu)化可識別基于端口的規(guī)則，因此可以將它們轉(zhuǎn)換為基于應(yīng)用程序的白名單規(guī)則，或?qū)?yīng)用程序從基于端口的規(guī)則添加到現(xiàn)有的基于應(yīng)用程序的規(guī)則，而不會影響應(yīng)用程序的可用性。此外，它們還可以識別基于應(yīng)用程序的超額配置規(guī)則。策略優(yōu)化可幫助確定優(yōu)先遷移哪些基于端口的規(guī)則，確定允許哪些應(yīng)用程序不使用基于應(yīng)用程序的規(guī)則，以及分析規(guī)則使用特征（例如點擊次數(shù)），對特定規(guī)則的使用頻率與所有應(yīng)用規(guī)則的使用頻率進行比較。

將基于端口的規(guī)則轉(zhuǎn)換為基于應(yīng)用程序的規(guī)則可以改善安全狀況，因為企業(yè)可以將他們想要的列入白名單并拒絕其他的應(yīng)用程序。這樣一來，可以消除網(wǎng)絡(luò)中不需要的流量和潛在的惡意流量。

憑證防盜

過去，工作人員只能從企業(yè)辦公室訪問公司的應(yīng)用程序。如今，他們可以從辦公室、家里、機場以及其他任何地方訪問老的應(yīng)用程序、SaaS應(yīng)用程序和其他云服務(wù)。這使得黑客更容易竊取憑據(jù)。據(jù)《Verizon數(shù)據(jù)泄露調(diào)查報告》顯示，與黑客相關(guān)的數(shù)據(jù)泄露事件中，81%的事件出現(xiàn)了密碼被竊取和/或采取了弱密碼。

防止憑證被盜的措施可阻止員工在Facebook和Twitter等網(wǎng)站上使用企業(yè)憑證。即便是被批準的應(yīng)用程序，使用企業(yè)憑證訪問它們也會使企業(yè)面臨風(fēng)險。

憑證防盜的工作原理是掃描提交給網(wǎng)站的用戶名和密碼，然后將提交的內(nèi)容與官方的企業(yè)憑證列表進行比較。企業(yè)可以根據(jù)網(wǎng)站的URL類別選擇允許或是不允許向哪些網(wǎng)站提交企業(yè)憑證。

當(dāng)防火墻檢測到用戶試圖將憑證提交到受限類別的站點時，就會顯示阻止響應(yīng)頁面，以阻止用戶提交憑證?；蛘撸鼈儠@示一個繼續(xù)頁面，并警告用戶不要將憑證提交給某些URL類別中的站點，但是其仍會允許用戶繼續(xù)提交憑證。安全專業(yè)人員可以自定義那些阻止頁面，以便讓用戶知曉即使在合法的非釣魚網(wǎng)站上也不要重復(fù)使用企業(yè)憑證。

DNS安全性

綜合使用機器學(xué)習(xí)、分析和自動化可以有效阻止利用域名系統(tǒng)（DNS）的攻擊。在許多企業(yè)中，DNS服務(wù)器是不安全的，非常容易受到攻擊，這些攻擊會將用戶重新定向到會進行釣魚攻擊和竊取數(shù)據(jù)的惡意網(wǎng)站。黑客在基于DNS的攻擊中有著很高的成功率，因為安全團隊幾乎不了解攻擊者是如何使用服務(wù)來維持對受感染設(shè)備的控制。一些獨立的DNS安全服務(wù)雖然有一定的效果，但是缺乏足夠的數(shù)據(jù)以識別所有的攻擊。

將DNS安全性集成到防火墻中后，機器學(xué)習(xí)可以分析大量的網(wǎng)絡(luò)數(shù)據(jù)，從而不再需要獨立的分析工具。 集成到防火墻中的DNS安全性可以通過自動化和實時分析來預(yù)測和阻止惡意域。隨著惡意域數(shù)量的增加，機器學(xué)習(xí)可以迅速發(fā)現(xiàn)它們并確保它們不會成為隱患。

DNS隧道可通過將數(shù)據(jù)隱藏在DNS請求中來繞開防火墻進行數(shù)據(jù)傳輸。集成的DNS安全性不僅可以使用機器學(xué)習(xí)分析來應(yīng)對來自DNS隧道的威脅，還可以找到惡意軟件的命令與控制服務(wù)器。由于是建立在基于簽名的系統(tǒng)之上，因此集成的DNS安全性可以識別高級隧道并自動關(guān)閉DNS隧道攻擊。

動態(tài)用戶群組

該功能可以創(chuàng)建能夠自動修復(fù)人工異?；顒拥牟呗?。不過基本前提是，群組中的用戶角色意味著他們的網(wǎng)絡(luò)行為應(yīng)當(dāng)彼此相似。例如，如果一個工作人員受到釣魚攻擊并且安裝了奇怪的應(yīng)用程序，那么這名用戶就會顯得與眾不同，也就意味著可能受到了攻擊。

從以往經(jīng)驗看，隔離一組用戶非常耗時，因為必須了解該群組的每個成員并分別執(zhí)行不同的策略。對于動態(tài)用戶群組來說，當(dāng)防火墻發(fā)現(xiàn)異常時，它們會創(chuàng)建策略以反制該異常行為并將其從用戶群組中剔除。整個群組會自動更新，不需手動創(chuàng)建和提交策略。取代手動工作操作的是，群組中的所有人員將會立即自動收到相同的策略更新。該功能與防火墻的集成使得防火墻能夠?qū)⒂脩羧航M的策略分發(fā)給所有有需要的其他基礎(chǔ)設(shè)施，包括其他的防火墻、日志收集器和應(yīng)用程序。

如今防火墻已經(jīng)成為了網(wǎng)絡(luò)安全的基礎(chǔ)并且還將繼續(xù)下去。它們是企業(yè)的第一道安全防線，可以在黑客入侵企業(yè)網(wǎng)絡(luò)之前擋住許多攻擊。最大限度地利用防火墻的價值意味著需要啟用許多高級功能，雖然其中一些功能已在防火墻中存在了多年時間，但是由于各種原因一直沒有被啟用。

本文作者Zeus Kerravala為市場研究公司ZK Research的創(chuàng)始人兼首席分析師。

原文網(wǎng)址

https：//www.networkworld.com/article/3519854/4-firewall-features-it-pros-should-know-about-but-probably-dont.html？nsdr=true