过去几十年的防火墙主要是基于端口的互联网守护者。现在,供应商们正在竞相构建所谓的“下一代防火墙”,这种防火墙是“应用感知的”,因为它们可以根据应用的使用来监控和控制访问。
此外,越来越多的特性被添加到许多防火墙中,包括入侵防御系统(IPS)、网络过滤、VPN、数据丢失预防、恶意软件过滤,甚至一个试图发现零日攻击的威胁检测沙箱。当涉及到独立IPS时,由于其应用控制,它也可能被称为“下一代IPS”,例如IBM网络安全保护XGS 5000,或者是McAfee NS-Series.
(安全:你是如何被监视的?]
[Check Point、Juniper、Stonesoft在低端网络防火墙测试中大放光芒]
这都是防火墙/IPS厂商之间的竞争的一部分,他们试图保持领先,因为他们也在推动更高的吞吐量为了满足数据中心对速度的需求,这些数据中心已经进行了虚拟化,这使得雷竞技电脑网站防火墙需要更高的带宽。
生锈的阿吉
供应商们渴望有影响力的咨询公司高德纳(Gartner)的“赞”,或者在技术评估测试中击败竞争对手,比如NSS Labs或Neohapsis Labs所做的测试。但最终,这一切都是为了赢得买家的认可,比如北卡罗来纳州夏洛特市(City of Charlotte, n.c.)的信息安全工程师拉什蒂•阿吉(Rusty Agee),他使用了大量防火墙。
“防火墙已经进化了,”Agee说,当谈到防火墙和IPS的功能和速度时,“我一直在寻找更多。”
数据中心虚拟化、移动设备使用的增加以及城市采用“自带设备”(BYOD)政策的前景,是Agee对各种政府机构保护数据的新可能性保持开放态度的部分原因。他指出,该市的消防和警察部门已经开始使用平板电脑和智能手机,目前正在考虑BYOD移民政策。
据Agee称,使用移动设备的城市员工正在利用思科AnyConnect客户端建立一个vpn类型的连接,连接回城市的思科ASA防火墙。除了其他思科防火墙和独立的思科IPS,该市还利用Check Point防火墙和独立的IPS来封锁关键服务器、数据中心、互联网接入和城市无线网络的流量。雷竞技电脑网站
但是城市网络中的多供应商防火墙/IPS并没有止步于此。该市还有帕洛阿尔托网络下一代防火墙(Palo Alto Networks next Firewall),用于监控和控制员工使用应用程序。此外,该市使用F5网络应用程序防火墙来查找针对Web服务器的攻击流量。Agee表示,夏洛特市通过LogRhythm的安全信息和事件管理对这些安全设备进行了集中日志管理。
“我们的防火墙每天向LogRhythm倾倒数十万条日志,”Agee说,他补充说,市政府有时也会收到来自联邦来源的安全警报相关信息。将防火墙和IPS日志提要以及服务器日志集中起来,可以帮助城市安全人员从单个点确定哪些是可能涉及攻击的网络安全问题,哪些是由人力资源或管理部门更好地处理的员工Web使用问题。
在一个组织中找到如此广泛的供应商防火墙可能是一个例外,而不是规则。Gartner分析师Greg Young在今年6月举行的Gartner安全与风险管理峰会上表示,Gartner认为大多数企业都选择单一供应商。至于下一代防火墙(NGFW), Gartner一直在大力提倡。据估计,目前只有不到8%的企业在使用NGFW,不过这一数字预计将在五年内攀升至30%以上。
Young还指出,很明显,SSL VPN正完全进入防火墙,并作为独立的SSL VPN盒子逐渐消失。
事实上,防火墙和IPS似乎可以存在于几乎任何地方。一个例子是Fortinet安全无线局域网,它基本上是一个无线接入点和交换机,集成到一个统一的威胁管理设备中,支持防火墙和IPS功能。据Fortinet营销副总裁约翰·麦迪森说,这在连锁商店的零售中很受欢迎,因为这是一种将无线覆盖和安全结合起来的划算方式。
连锁餐厅玩偶盒最近在其数百家连锁餐厅部署了650台结合了无线接入和防火墙/IPS的FortiWiFi-60CS设备。那里的IT主管吉姆·安托萨克(Jim Antoshak)说,“小盒子”餐厅里老式的无线点现在可以退役了,而Fortinet设备将是无线和安全的紧密结合。
一个论点吗?
一个争论围绕着两个主要问题展开:多用途防火墙/IPS是否和独立设备一样有效?那么交换机或路由器中的安全模块呢?
与思科和瞻博一样,惠普也提供防火墙和入侵防御的安全模块,这些模块可以在供应商的交换机和路由器上工作。但惠普TippingPoint副总裁兼企业安全产品总经理罗布·格里尔(Rob Greer)表示,在入侵防御方面,惠普认为主要的部署是专用的、独立的设备。他指出,从性能和粒度控制方面来看,这通常被认为是惠普下一代应用感知IPS的最佳方法。
思科网络安全和产品营销高级主管迈克·尼尔森(Mike Nielsen)表示,思科销售的防火墙和IPS产品中,绝大多数都是“专用安全设备”。的ASA 5585 - x系列在其自适应安全设备系列中,防火墙的吞吐量为40Gbps,尼尔森表示,IPS的吞吐量可以推到80Gbps,其中包括应用控制功能。根据Gartner的定义,这是它被称为“下一代防火墙”的主要因素。
Sourcefire技术研究小组的安全策略副总裁杰森·布维尼克(Jason Brvenik)认为,“作为一个组织,专门的设备给了你应对最新不断演变的威胁的自由。”
Check Point的产品营销主管Fred Kost表示,要求高吞吐量和低延迟的客户通常会选择专用功能。但他指出,中小型企业客户往往发现多用途防火墙网关和统一的威胁管理设备就足够了。Check Point,也在争夺“下一代”的头衔,最近增加了一个“威胁模拟叶片作为防火墙模块。它可以安全地“爆炸”沙盒中的文件,尝试并发现零日攻击。它解决了帕洛阿尔托在其下一代防火墙中的野火威胁检测中遇到的类似问题。
沙盒理念正在流行起来。McAfee刚刚收购了防火墙/VPN/IPS供应商StonesoftValidEdge因为它的沙箱技术。
NSS实验室分析师Iben Rodriguez表示,防火墙和IPS的测试表明,在防火墙上运行多个安全服务显然存在性能和效率方面的缺陷。Neohapsis Labs的研究主管Scott Behrens总结了一个常用性的方法来解决这个问题:“如果我是买家,我需要问,“这个捆绑包是否符合我的企业需求?”
在犹他州的韦伯县政府,Matt Mortensen是Ogden的信息安全官员,防火墙/IPS的吞吐量需求不超过10Gbps,多用途的戴尔SonicWall网络安全设备E8500型号带有IPS,尽管索尼计划升级到功能更强大的SonicWall 9400,但URL过滤和反病毒功能一直是中档手机的最佳选择,以支持该县1200名员工使用的网络。该县还维护了一些思科ASAs,包括思科ASA 5505防火墙,专门用于与更广泛的执法世界的连接,如电信窃听数据。
SonicWall防火墙的一些有价值的用途是应用程序控制,在某些情况下出于安全原因屏蔽Skype或Java。Mortensen还使用SonicWall进行带宽节流。
“我也做地理IP过滤,不允许用户去某些地方,如东欧、南美或中国,”莫滕森说,并指出犹他州县没有业务需要这样做,并出于安全原因屏蔽了它。该县也进行入站地理ip过滤。莫滕森还设置了防火墙,对出口进行过滤,以观察僵尸网络活动的迹象。
互联网世界现在被认为是如此的危险,以至于即使是最开放的大学也觉得他们被迫进行打压。这是麻省理工学院(Massachusetts Institute of Technology)去年4月做出的决定,作为在假炸弹威胁之后全面修订安全策略的一部分。
“今天,麻省理工学院的网络系统每天受到来自全球几乎每个国家的数千次未经授权的连接,因此,麻省理工学院每天看到10多个被入侵的用户账户,”麻省理工学院在四月份给其学术委员会的备忘录中说,解释说麻省理工学院将开始基于防火墙基础设施阻断来自麻省理工学院外部网络的流量。
未来的防火墙和入侵防御系统会不够用吗?
防火墙和IPS已经被证明是万能的,不仅可以作为硬件设备使用,也可以作为软件使用,有时专门设计用于将安全性推进基于VMware、Microsoft HyperV和Red Hat的虚拟桌面和服务器环境内核虚拟机(KVM)或开源的Xen管理程序(Citrix最近使用的)捐赠给Linux基金会).令一些防火墙供应商沮丧的是,在过去几年里,VMware凭借自己的基于软件的虚拟化防火墙控制一跃而上。
Check Point的Kost承认:“虚拟化正在创造一个新的挑战。我们看到的是他们需要更多的防火墙,”注意到检查点21000和61000代表检查点推动支持基于vmware的网络。VMware本身有“VCloud网络和安全可以用来建立基于虚拟机的防火墙。
Sourcefire技术研究小组负责安全策略的副总裁Jason Brvenik指出,所有这些都提出了一个问题:如今谁负责防火墙和IPS ?
基于虚拟机的防火墙和IPS方法正在增长
例如,WatchGuard Technologies上个月刚刚在其XTMv统一威胁管理平台上引入了Hyper-V支持。Juniper网络产品和策略副总裁Karim Toubba坚定地宣称:“防火墙现在必须是一个虚拟的形式因素,它不再是一个盒子,”他指出,Juniper的方法支持KVM和VMware。“边界已经变得有弹性,在私有云环境中,我们希望防火墙是有弹性的。”
尼尔森表示,思科拥有ASA 1000-V云防火墙.
Brvenik说,Sourcefire在今年春天发布了它的第一个下一代防火墙,称为“火力”,它还开发了一种方法来过滤来自Xen、KPM和VMware工作负载环境的hypervisor流量。但他承认,与更传统的IPS相比,可能存在性能上的挑战。
帕洛阿尔托网络公司(Palo Alto Networks)的克里斯•金(Chris King)表示,客户同时使用其下一代物理防火墙和虚拟防火墙的情况越来越普遍。
但是NSS实验室的分析师John Pirc警告说,基于管理程序的防火墙和IPS被认为总体上还是相当新的,一个问题是防火墙/IPS供应商并不总是支持多个虚拟化平台。NSS实验室今年可能会在其实验室测试基于虚拟机的安全性。
然而,据Gartner的数据显示,虚拟防火墙目前在整个防火墙市场中所占的份额还不到5%。杨说,虚拟防火墙往往会使情况复杂化,如果只是因为“边界”的争吵,是由网络运营组还是服务器运营组管理。“在这个虚拟版本中,谁拥有什么是很复杂的,”他指出。
随着企业将数据及其处理发送到云服务提供商的网络中,无论是平台即服务、基础设施即服务还是软件即服务,基于云计算的兴起也对防火墙和IPS的未来提出了疑问。杨表示,如今,你在亚马逊(Amazon)等服务中所做的事情,以及你在实体店所做的事情,几乎没有什么合作可言。今天,防火墙和IPS在很大程度上仍然存在。
与此同时,出现了软件定义网络以及使用CloudStack和OpenStack也受到了安全行业的关注。
Toubba承认:“这是一种颠覆性的转变。”但Juniper认为,基于软件的防火墙和其他安全服务可以适用于SDN网络和云技术。
初创公司Bromium的创始人兼首席技术官西蒙•克罗斯比(Simon Crosby)嘲笑传统防火墙和IPS(或“下一代”任何东西)是解决方案的想法。克罗斯比在XenSource被Citrix收购之前也是该公司的创始人和首席技术官。他说,公共云技术和OpenStack是推动事物走向崩溃点的力量之一。
安全行业在很大程度上已经“破产”,供应商“撒谎”。
西蒙-克罗斯比
克罗斯比宣称,安全行业在很大程度上已经“破产”,供应商“撒谎”,并警告说,“任何声称可以检测到攻击者的东西都有致命的缺陷。”他声称,更好的虚拟机安全方法将通过基于cpu的保护和“硬件隔离”来实现,以一种新颖的方式利用英特尔和ARM芯片内置的安全功能。Bromium的vSentry虚拟化安全机制就像虚拟机中的虚拟机,隔离并“丢弃”针对Windows的攻击代码。
诸如此类的新想法是否能成功还有待观察。
SDNGartner的Young表示,这一即将到来的技术并不意味着物理交换机将会消失。他指出,这种仍然不成熟的网络形式将意味着新的方式来协调应用程序,并通过控制器实现服务链接的自动化。然而,问题是,它肯定会影响到今天防火墙的工作,在这一点上,似乎没有一个可靠的SDN安全模型。“目前的SDN安全机制实际上是不存在的,”Young说。
Ellen Messmer是国际数据集团(IDG)旗下出版物和网站N有个足球雷竞技appetwork World的高级编辑,主要报道与信息安全相关的新闻和技术趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com.