IT专业人员应了解的五大防火墙功能
2020-03-16ZeusKerravala
Zeus Kerravala
防火墙通过整合独立设备的功能,接受网络结构调整以及集成外部数据源,以在其做出的决策中加入智能,从而持续发展成为网络安全的主力。由于其中存在着大量的可能性,因此变得难以捉摸。
由于功能非常丰富,导致下一代防火墙难以被充分地熟练掌握,有些重要的功能有时在实践中也会被忽略掉。
以下是IT专业人员应关注的防火墙的新功能。
网络分段
网络分段指将单个物理网络划分为多个逻辑网络,其中每个网段的行为就像在自己的物理网络上运行一样。每个分段中的流量无法流经或是被另外一个分段看到。
如果发生黑客入侵,那么这样可以大幅减少攻击面。例如,医院可以将其所有医疗设备放在一个网段,将患者记录放在另一个网段。即使黑客入侵了没有适当安全保护措施的心脏泵,也无法访问患者的个人信息。
值得关注的是,许多相互连接的设备使用的都是较旧的操作系统,其在本质上是不安全的,因为它可以充当攻击者的切入点,因此物联网及其分布特性的增长推动了对网络分段的需求。
优化策略
防火墙策略和规则是防火墙运行的引擎。大多数安全专业人员都害怕删除较旧的策略,因为他们不知道这些策略是何时或因何原因被实施的。随之而来的后果是,规则不断增加,却没有人会想去删减这些策略。一些企业表示,他们已经制订了数百万条防火墙规则。事实是,规则太多会增加复杂性,并可能导致规则之间相互冲突,随之而来的是要花费大量的时间和精力进行管理和排除故障。
策略优化主要是将老的安全策略规则转化为基于应用程序的规则,这些规则可以根据正在使用的应用程序允许或拒绝流量。通过减少攻击面可以提高整体安全性,提供可见性也可让应用程序能够被安全地访问。由于策略优化可识别基于端口的规则,因此可以将它们转换为基于应用程序的白名单规则,或将应用程序从基于端口的规则添加到现有的基于应用程序的規则,而不会影响应用程序的可用性。此外,它们还可以识别基于应用程序的超额配置规则。策略优化可帮助确定优先迁移哪些基于端口的规则,确定允许哪些应用程序不使用基于应用程序的规则,以及分析规则使用特征(例如点击次数),对特定规则的使用频率与所有应用规则的使用频率进行比较。
将基于端口的规则转换为基于应用程序的规则可以改善安全状况,因为企业可以将他们想要的列入白名单并拒绝其他的应用程序。这样一来,可以消除网络中不需要的流量和潜在的恶意流量。
凭证防盗
过去,工作人员只能从企业办公室访问公司的应用程序。如今,他们可以从办公室、家里、机场以及其他任何地方访问老的应用程序、SaaS应用程序和其他云服务。这使得黑客更容易窃取凭据。据《Verizon数据泄露调查报告》显示,与黑客相关的数据泄露事件中,81%的事件出现了密码被窃取和/或采取了弱密码。
防止凭证被盗的措施可阻止员工在Facebook和Twitter等网站上使用企业凭证。即便是被批准的应用程序,使用企业凭证访问它们也会使企业面临风险。
凭证防盗的工作原理是扫描提交给网站的用户名和密码,然后将提交的内容与官方的企业凭证列表进行比较。企业可以根据网站的URL类别选择允许或是不允许向哪些网站提交企业凭证。
当防火墙检测到用户试图将凭证提交到受限类别的站点时,就会显示阻止响应页面,以阻止用户提交凭证。或者,它们会显示一个继续页面,并警告用户不要将凭证提交给某些URL类别中的站点,但是其仍会允许用户继续提交凭证。安全专业人员可以自定义那些阻止页面,以便让用户知晓即使在合法的非钓鱼网站上也不要重复使用企业凭证。
DNS安全性
综合使用机器学习、分析和自动化可以有效阻止利用域名系统(DNS)的攻击。在许多企业中,DNS服务器是不安全的,非常容易受到攻击,这些攻击会将用户重新定向到会进行钓鱼攻击和窃取数据的恶意网站。黑客在基于DNS的攻击中有着很高的成功率,因为安全团队几乎不了解攻击者是如何使用服务来维持对受感染设备的控制。一些独立的DNS安全服务虽然有一定的效果,但是缺乏足够的数据以识别所有的攻击。
将DNS安全性集成到防火墙中后,机器学习可以分析大量的网络数据,从而不再需要独立的分析工具。 集成到防火墙中的DNS安全性可以通过自动化和实时分析来预测和阻止恶意域。随着恶意域数量的增加,机器学习可以迅速发现它们并确保它们不会成为隐患。
DNS隧道可通过将数据隐藏在DNS请求中来绕开防火墙进行数据传输。集成的DNS安全性不仅可以使用机器学习分析来应对来自DNS隧道的威胁,还可以找到恶意软件的命令与控制服务器。由于是建立在基于签名的系统之上,因此集成的DNS安全性可以识别高级隧道并自动关闭DNS隧道攻击。
动态用户群组
该功能可以创建能够自动修复人工异常活动的策略。不过基本前提是,群组中的用户角色意味着他们的网络行为应当彼此相似。例如,如果一个工作人员受到钓鱼攻击并且安装了奇怪的应用程序,那么这名用户就会显得与众不同,也就意味着可能受到了攻击。
从以往经验看,隔离一组用户非常耗时,因为必须了解该群组的每个成员并分别执行不同的策略。对于动态用户群组来说,当防火墙发现异常时,它们会创建策略以反制该异常行为并将其从用户群组中剔除。整个群组会自动更新,不需手动创建和提交策略。取代手动工作操作的是,群组中的所有人员将会立即自动收到相同的策略更新。该功能与防火墙的集成使得防火墙能够将用户群组的策略分发给所有有需要的其他基础设施,包括其他的防火墙、日志收集器和应用程序。
如今防火墙已经成为了网络安全的基础并且还将继续下去。它们是企业的第一道安全防线,可以在黑客入侵企业网络之前挡住许多攻击。最大限度地利用防火墙的价值意味着需要启用许多高级功能,虽然其中一些功能已在防火墙中存在了多年时间,但是由于各种原因一直没有被启用。
本文作者Zeus Kerravala为市场研究公司ZK Research的创始人兼首席分析师。
原文网址
https://www.networkworld.com/article/3519854/4-firewall-features-it-pros-should-know-about-but-probably-dont.html?nsdr=true