标签： 防火墙

　　随着虚拟化基础设施的发展，众多企业感到在这些环境中，需要利用并扩展现有的物理网络安全工具来提供更大的可视性和功能性。虚拟防火墙是当今可用的主要的虚拟安全产品之一，也有很多选择性；Check Point有VPN-1防火墙的虚拟版本（VE），思科提供的虚拟网关产品仿真ASA防火墙。Juniper拥有更具特色的虚拟网关（the vGW line），来源于其Altor Networks收购项目，Cat

　　长期以来，作为网络服务的使用方的网络企业一直处于弱势地位。互联网企业经常抱怨遇到这样的情况，浏览器主页被篡改且无法恢复、浏览网页存在异常、网站无法访问……尤其是近年来互联网产业一直保持着高速发展，激烈的行业竞争迫使互联网企业谋求多元化的发展道路，这样一来业务领域重叠所造成的矛盾和冲突就不可避免。目前互联网行业的相关法律法规在某些方面的空白及模糊之处被有心之徒利用来DDOS打击同行对手，白热化的

　　【eNet硅谷动力网络安全频道】防火墙具有很好的保护作用，其历来都是保护计算机用户安全的重要组成部分。在网络安全威胁产生的初期，来自防火墙的保护可能远大于来自杀毒软件的保护。你可以将防火墙配置成许多不同保护级别来保护你的计算机。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。

　　随着网络安全威胁的不断变革，传统的防火墙已经相对处在一个比较尴尬的位置，必须进行升级。比如加入运用"云安全"技术，以及与"行为分析"技术结合等等，必将加强对于计算机用户的保护。所以应对当前与未来新一代的网络安全威胁，传统的防火墙必须再一次升级为"下一代防火墙".
...

　　这几天在几个门户网站看到不少关于安全产品漏洞的文章，简单说几句吧：

　　国内某前5名的防火墙在某测评中因安全问题被Pass
　　某哥们曾经扫描到国内某前3名的防火墙的默认密码，然后直接开了FTP
　　瑞星溢出漏洞、误删文件
　　金山毒霸溢出漏洞、误删文件
　　Kaspersky溢出漏洞、误删文件
　　McAfee误删文件
　　Symantec Norton溢出漏洞
　　……

　　NSS Labs最近测试了6个网络防火墙以评估安全弱点。除了一个防火墙之外，其余的防火墙都有容易受到“TCP Split Handshake Attack”（TCP分离握手攻击）攻击的安全漏洞。这个安全漏洞能够让攻击者远程欺骗防火墙以为防火墙后面的一个IP连接是可信赖的。

　　NSS Labs总裁里克·莫伊（Rick Moy）称，如果防火墙认为你在内部，它对你采用的安全政策就是一个内部的安全政策。你可以扫描查看机器在什么地方。然后，一个攻击者能够在网络中到处跑，因为防火墙错误地认为这个IP地址是来自防火墙后面的可信赖的IP地址。
...

　　据可靠信息渠道，当前国内的天融信、启明、绿盟、网神、深信服等内资安全厂商，只有启明算真正具备MIPS多核芯片防火墙（启明收购联想，两家都有多核，联想基于RMI，启明基于Cavium），而且从成熟度上讲，联想由于比较早的做rmi多核，目前成熟度要远远高于启明做的Cavium多核demo产品。

　　华系的不用说，Cavium和RMI多核都做，用于交换机、路由器、安全、无线等多个数通领域。

　　2010年5月12日，SonicWALL公司日前推出业内首个能够以 40 Gbps的性能检测和控制应用、防御入侵以及封阻恶意软件而不损害网络性能的下一代安全平台Project SuperMassive，标志着该公司19年发展史上一个最重要的里程碑。

　　Project SuperMassive的主要组件包括：SonicWALL的大规模可扩展下一代网络安全平台（Massively Scalable Next-Generation Network Security Platform）架构、SonicWALL的下一代防火墙（Next-Generation Firewall）技术以及SonicWALL拥有专利的免重组深度数据包检查（Reassembly-Free Deep Packet Inspection/RF-DPI）引擎。Project SuperMassive拥有10倍于目前最快速技术的卓越性能，为应用可视化和控制带来了革命性影响，能够保护世界上最高性能的网络不受所有类型恶意软件的侵扰。企业和组织一直被迫在性能和安全之间进行选择，这种情况至今没有改变，这是因为现有的安全架构无法适应庞大的网络通信量，而富媒体的爆炸以及受恶意软件困扰的社交媒体应用的增多则加剧了这一矛盾。
...

　　美国的《网络世界》（Network World）杂志最近对Juniper公司的SRX 5800进行了全面的测试。测试结果表明，SRX 5800的防火墙处理速度可以达到137G，可以称得上世界上最快的防火墙，同时也发现其IPS（Intrusion Prevention System）功能存在严重缺陷。其实，SRX 5800并不只是一个防火墙，它还是一个路由器，运行JUNOS，Juniper将其称为“Secure Service Gateway”。SRX 5800有14个插槽，测试用的机器插有2个RE（Routing Engine）卡，4个IO卡（每个IO卡可带有4个10GE或40个GE接口），和8个双CPU的SPC（Security Processing Card）。

　　下面是测试结果摘要：

　　- SRX 5800的最高数据处理速度可以达到137G

网闸主要用于安全性要求极高的领域，例如对政府网络，工业控制系统的保护等等。显然，由于把安全性放在首位，这样就会有更加严格的安全规则和更多地限制，因此可以应用的范围也较防火墙少一些，主要用那些对安全性要求较高的环境下。

　　反病毒是信息安全体系中非常特殊的领域，由于其对抗的密度和强度，对资源、对基础依赖的程度远高于其他多数安全领域，因此是多数安全厂商不愿意半路杀入的原因。就连Cisco这样的巨无霸企业在推出自防御网络中也是与trendmacro（趋势）携手，而微软则采用直接购买其他反病毒企业的方法。
　　
　　正因如此，无论是国内的传统防火墙厂商，抑或是新兴的UTM（统一威胁管理厂商）为了即扩展反病毒能力，又不承担庞大的病毒引擎研发分析成本，都在其安全产品中不约而同的嵌入了来自于第三方反病毒厂商的引擎；前者多以新型防火墙为主营业务，后者则以新兴UTM架构为主打，市场上一时间风生水起，一片叫好之声；甚至就连长久以来被人所指责的“网络病毒检测过滤性能瓶颈”也随着ASIC专用芯片、多核NP等硬件技术的应用而号称“已经解决”。
...

　　进入Web2.0时代，各种基于Web的网络攻击层出不穷，传统防火墙已无力招架，更具针对性、能防御各种攻击的下一代防火墙应运而生。近日，企业网安解决方案的领先供应商Secure Computing，正式宣布对身份识别解决方案供应商Securify进行收购。通过此次收购，Secure Computing将能够为用户提供具备应用检测和用户感知访问等多重功能的下一代防火墙产品。下一代防火墙市场，即将展开新一轮的市场抢位战。

　　Web2.0威胁使传统防火墙过时

　　与上一代网站相比，Web2.0网站最大的特点便是开放性和交互性，用户只需简单操作便能在Web2.0中创作内容。这在给普通用户带来便利的同时，也为黑客的恶意攻击开启了方便之门。
...

可能很多朋友都像我这样几个人合租一条ADSL的线路上网，现在电信和网通都不允许ADSL Modem打开路由功能了，所以就有了在ADSL Modem后面添加一个宽带路由实现多人上网的方案。

但是，这样子有些朋友要在内网发布自己的WEB站点就不是很方便了，很多朋友都在用花生壳之类的动态解析软件，但是那个是针对动态IP的，而到了内网就……有时候自己做了页面，向朋友show一下都不方便；或者有人在用BT疯狂下载电影，把大家拖累的百度这样的简洁页面都打不开。其实，宽带路由可以帮我们实现一些“整改”措施的。OK,Let’s go! 让我们一起榨干宽带路由的最后一滴油水！