目前, 些较新的数据防火墙产品已经具备了诸如立体式防御和阻挡应用层DDoS攻击,高 服务器负载均衡,数据加速和SSL卸载,多租户、灵活的数据过滤等先进的防护功能。然而,为了将防火墙的能力发挥到好致,企业还需要注意以下三个方面。
1、测试防火墙性能
不要只通过防火墙在默认状态下的性能表现来判断其优劣,因为现在很多数据托管的应用程序与服务都是基于SaaS和云计算的。诸如智能手机、平板等移动设备而产生的数据包,不仅要大流量管道才能满足网络的访问需要,而且必须在网络边缘给予审核。
对于网络安全设备来说,在处理上述不可预知的容量与流量并发的时候,会产生大量的网络延迟,并降低关键应用和服务的性能,今天的防火墙设备更是需要处理日益增多的数据流量。因此,这就与默认状态下的性能表现会有很大差别,也有必要为了确保制定的安全策略与防火墙进行较佳适配,而不定期进行防火墙的性能测试。
2、检查加密流量
确保防火墙可以检查所有流量,包括加密的流量。虽然很多网络流量都是通过SSL(安全套接层,SecureSocketsLayer)和SSH(安全外壳协议,SecureShell)加密,来保障交互数据的安全,但实际上,对于攻击者来说,也会利用它们来加密恶意活动,并隐瞒与入侵系统的通信。据估计,在击中企业网络的所有流量中,有三分之以上的攻击流量是被加密的。
因此,如果没有种方法来解密流量的话,那么你的防火墙面对攻击者的威胁将是盲目的,而且可能会在加密流量面前栽跟头。虽然目前些新式防火墙已经能够解密和检查加密流量,但大量运行着的传统防火墙并不具备这个功能。而如果你的防火墙属于后者,那么就有必要在SSL流量抵达之前给予拦截。并且,现在些IT服务供应商可提供代理服务器