用PowerQUICCTM III MPC8572E设计防火墙/ VPN(07-100)
—— 用PowerQUICCTM III MPC8572E设计防火墙/ VPN
状态监测防火墙/IPSec VPN安全网关一直是大多数企业最主要的网络安全设备。防火墙/VPN是外围设备防御设备,通常部署在企业内部网络与开放式互联网连接的地方。防火墙的主要目的是阻止恶意流量进入或离开企业内部网络,而IPSec VPN的目的则是在开放互联网的两个站点之间提供安全通信。
尽管防火墙/VPN安全网关非常重要,但近年来90%的攻击都是应用程序的漏洞。传统的状态监测防火墙在很大程度上基于数据包报头信息与接入控制列表(ACL)的匹配,这对防御此类攻击并不是很有效。
入侵检测系统(IDS)可以发现应用层攻击,因此有些企业部署IDS来监控重要网络的流量。但仅仅是检测还不够,检测到攻击后终止这些攻击同样重要。目前的趋势是把IDS演进成一个入侵防御系统(IPS),该系统能检测下一级并终止检测到的攻击,包括应用攻击。
在有些情况下,企业网络中部署特定应用的防病毒、防垃圾邮件和内容过滤设备是为了完善防火墙/VPN。
这种趋势的一个不好的结果是网络安全设备的急剧膨胀,从而提高了成本和管理复杂性,需要购买和操作的设备过多。有些IT经理寻找具有通用威胁管理(UTM)系统或集成服务路由器(ISR)的简单解决方案,把多种联网和安全功能(如路由、防火墙、IPSec、IDS/IPS、防病毒、防垃圾邮件和内容过滤)集中到一台设备上。
评论