用PowerQUICCTM III MPC8572E設(shè)計(jì)防火墻/ VPN(07-100)

　　狀態(tài)監(jiān)測防火墻/IPSec VPN安全網(wǎng)關(guān)一直是大多數(shù)企業(yè)最主要的網(wǎng)絡(luò)安全設(shè)備。防火墻/VPN是外圍設(shè)備防御設(shè)備，通常部署在企業(yè)內(nèi)部網(wǎng)絡(luò)與開放式互聯(lián)網(wǎng)連接的地方。防火墻的主要目的是阻止惡意流量進(jìn)入或離開企業(yè)內(nèi)部網(wǎng)絡(luò)，而IPSec VPN的目的則是在開放互聯(lián)網(wǎng)的兩個站點(diǎn)之間提供安全通信。
　　
　　盡管防火墻/VPN安全網(wǎng)關(guān)非常重要，但近年來90%的攻擊都是應(yīng)用程序的漏洞。傳統(tǒng)的狀態(tài)監(jiān)測防火墻在很大程度上基于數(shù)據(jù)包報(bào)頭信息與接入控制列表(ACL)的匹配，這對防御此類攻擊并不是很有效。

　　入侵檢測系統(tǒng)(IDS)可以發(fā)現(xiàn)應(yīng)用層攻擊，因此有些企業(yè)部署IDS來監(jiān)控重要網(wǎng)絡(luò)的流量。但僅僅是檢測還不夠，檢測到攻擊后終止這些攻擊同樣重要。目前的趨勢是把IDS演進(jìn)成一個入侵防御系統(tǒng)(IPS)，該系統(tǒng)能檢測下一級并終止檢測到的攻擊，包括應(yīng)用攻擊。

　　在有些情況下，企業(yè)網(wǎng)絡(luò)中部署特定應(yīng)用的防病毒、防垃圾郵件和內(nèi)容過濾設(shè)備是為了完善防火墻/VPN。

　　這種趨勢的一個不好的結(jié)果是網(wǎng)絡(luò)安全設(shè)備的急劇膨脹，從而提高了成本和管理復(fù)雜性，需要購買和操作的設(shè)備過多。有些IT經(jīng)理尋找具有通用威脅管理(UTM)系統(tǒng)或集成服務(wù)路由器(ISR)的簡單解決方案，把多種聯(lián)網(wǎng)和安全功能(如路由、防火墻、IPSec、IDS/IPS、防病毒、防垃圾郵件和內(nèi)容過濾)集中到一臺設(shè)備上。