下一代防火墙,满足这一代人的网络威胁环境。
传统的有状态检查防火墙及其基于端口和协议的控制,限制了对当代基于web的网络环境的可见性。由于Web 2.0的爆炸性流行,数以千计的基于Web的业务和消费者应用程序和攻击主要是通过应用程序层发起的。有状态检查防火墙无法区分哪些应用程序通过http和https的端口80和443传递。攻击者已经能够熟练地使用低速度的技术进行有针对性的攻击,从而避开入侵防御系统(IPS)。
下一代防火墙的作用
真正的下一代防火墙执行深层包检查,以识别第7层的应用程序流量,执行单个检查,将防火墙、入侵预防和额外的安全功能集成到一个高性能设备中。应用程序智能与用户身份信息相结合,为允许检测当前基于web的攻击的高粒度防火墙访问规则提供了环境。企业可以加强安全和可接受的使用政策以对企业有意义的方式,与“没有人可以使用Facebook”或“我们必须让每个人都使用Facebook”等非黑即白的政策形成对比。
这是一个快速增长的市场,创建于2007年,当时帕洛阿尔托网络公司(Palo Alto Networks)出现在市场上,它的功能和特性集体现了现在所谓的新一代防火墙的特点。大多数其他防火墙和统一威胁管理供应商已经引入或至少正在开发网络安全产品,这些产品在集成的高性能设备中提供细粒度的应用程序和用户控制。
“IPS应该已合并防火墙更快,” Greg Young的,Gartner的研究副总裁说。“IPS太快了超过十亿$ 1和承担了它自己的生命;没有人整合帕洛阿尔托[Networks的下一代防火墙]改变了游戏规则,和现任防火墙厂商已被迫做出反应,以满足这种威胁。”
根据英菲尼迪研究和TechNavio Insights的一份联合报告,2010年,下一代防火墙的使用率在整个防火墙设备的5%到10%之间,并有望在未来几年获得可观的市场份额。Gartner预测,到2014年底,新一代防火墙将占已安装防火墙基础的35%,占所有防火墙购买的60%。
也读过防火墙的审计工具
为了简化规则集和设备管理]
在某些情况下,企业在其现有的网络防火墙的部署前下一代和IPS得到应用层和用户ID过滤的好处,而不批发淘汰并更换。在其他情况下,他们把它自己的防火墙后面和IPS,看看有什么是可以通过。
“他们看它作为一种辅助,”丽莎菲弗,咨询公司核心竞争力的总裁。“他们要么需要申请额外的粒度或使用下一代来,如果出现通过预计不会作为一个全面的检查。”
但这是现在的例外,杨说。今天,95%的新一代购买都是防火墙的替代品,因为新技术已经证明了它的价值,供应商的选择范围也扩大了。
驾驶次世代防火墙市场:整合和成本来先
基于应用程序的控制和安全提供了flash和cool因素,但业务情况通常依赖于将几个安全产品合并为一个集成平台所带来的节约和减少的管理开销,该平台可以满足高要求的企业网络的需要。
“很明显,我们可以巩固了很多,我们正在寻找的技术,”大卫Rahbany,在海恩天体集团企业IT基础设施的主任。海恩购买并部署了Fortinet的下一代设备时,它巩固了其分布式站点和企业数据中心从基于Internet的VPN的多协议标签交换(MPLS)网络之间的连接。雷竞技电脑网站
“司机确实与MPLS部署相关的成本。‘我们可以集中我们的网关安全边界上屈指可数的网站,对于其下一代产品更适合我们的需求。’Rahbany还列举了更好的管理控制相对较小的IT员工。
对于周边设备来说,结束一个正常的更新周期是考虑替换的合理时间,但是如果节省和好处是有说服力的,那么可以考虑非周期的次世代部署。例如,帕洛阿尔托网络公司(Palo Alto Networks)的客户24小时健身公司(24-Hour Fitness)有一年的时间可以冲销其现有防火墙的折旧,但该公司发现,尽早购买所节省下来的资金,远远抵消了损失的折旧。
It运营与安全主管Jason Kwong表示:“以较低的成本,将防火墙、恶意软件检测、网络过滤、威胁管理等所有功能结合起来,是比较明智的做法。”“理由并不难。”
但是,尽管整合和节省成本是最重要的,应用程序意识和控制(Gartner的Young称之为“sizzle”)也是一个关键的驱动因素。下一代设备使企业能够创建反映现代基于Web的IT业务环境的策略和规则,包括业务和个人使用Web 2.0的不断增长。同样重要的是,可以使用该技术来监视和强制遵守这些策略。它还提供了识别数千个单独应用程序的能力,并建立规则来管理哪些应用程序是允许的,以及在什么情况下由谁来管理。
因此,例如,对等网络应用程序可能被禁止,但Skype的可能被授权谁拥有合法业务需要的用户(请参阅Skype:这对公司安全吗吗?)所有用户都可以使用Facebook,但可能会被禁止访问该网站的应用程序。
从安全角度看,与传统防火墙、独立ip和其他安全产品(如URL过滤)的组合相比,新一代设备提供了更强的过滤和威胁检测功能。如果设备在防火墙上执行深度包检查,它可以更有效地减少对授权应用程序和用户的流量,并通过关注仍然通过的内容来简化对潜在攻击的检测。单通道预先检查允许产品关联和分析各种安全引擎。
NSS实验室的总裁兼首席执行官Rick Moy说:“从很多方面来看,这是对更好的ip的呼吁,它需要了解协议和应用程序。”“现在,防火墙必须更多地了解这些应用程序,因为它必须与ip一起工作,为ip提供上下文以完成其工作。”
例如,Moy说,防火墙可以告诉IPS模块正在使用的应用程序是Skype,而IPS可以专注于检测已知的Skype攻击,而不是对每个包应用它的数千个签名。
“另一面,以使能是我是否能够限制可透过网络,从而控制攻击的途径申请的数量,”克里斯·王,产品营销的帕洛阿尔托网络总监。
这种集成的方法比使用单独的设备更容易跟踪潜在安全事件的来源,并且有效地减少了与ip相关的假阳性和假阴性。
“我们已经减轻风险提供访问这些应用程序,并获得更深入地了解谁使用的是什么,以及如何年代,” Rahbany说。“我们有管理监督,我们所缺少的。我们正处在一个更好的位置来预测威胁和管理带宽和应用。”
评估下一代工具:寻找什么
下一代防火墙是复杂的产品,和供应商声称的能力令人印象深刻的阵列。确定设备如何很好地满足您的需求,就需要了解您的企业的要求,并有大量的研究和测试。
看看引擎盖下。各个厂商都会宣称自己有一个特殊的酱做的是巫术,他们说,他们做的这么好,但下一代需要复杂的软件和硬件工程根本不存在,直到几年前。按住供应商的脚火,让他们解释他们的软件和硬件架构,以及如何实现必要的加工,检验,关联和分析。咨询以及第三方评论和分析。
要问的问题包括:
箱子里的各种引擎实际上只通过了一次检查吗?
是否在防火墙上进行检查,它可以有效地预过滤流量并为ip和其他集成工具提供上下文?
(也看到网络安全七宗罪]
防火墙和ip是真正集成在一起的,还是简单地打包在同一个盒子里?
该产品是在标准硬件上运行还是作为专用设备运行?IT的总体趋势是使用标准的硬件,但是次世代需要特定用途的设备来满足企业环境中的需求。
他们是建立了真正的新产品,还是仅仅采用了现有的防火墙和IPS技术?除了Palo Alto外,大多数供应商都有现有的防火墙和IPS引擎,并且现在正尝试将应用程序控制和其他特性与现有工具集成在一起,Young说。“它们没有完全集成,因此模块之间的通信非常复杂,”他说。“这是非常低效的。”
检查它的性能。所有这些能力都是有代价的。与传统的网络防火墙不同,新一代的设备(如独立的ip)是“电线上的突起”,可能会阻塞生产流量的流动。打开所有安全特性的每秒吞吐量连接必须在尽可能接近真实生产环境的情况下仔细评估和测试。
在您的供应商和测试中特别要解决的一个问题是下一代防火墙如何处理加密的流量。防火墙可以拦截、解密和重新加密SSL/TLS、SSH和VPN流量吗?如果可以,性能会受到什么影响?确定生产环境的实际需求并进行相应的测试。在哪里以及如何使用下一代防火墙是评估性能时需要考虑的一个重要因素。金融交易、股票交易等等都是对性能极其敏感的。在创建适当的规则集并决定启用哪些安全服务时,请权衡您要保护的资产和系统的临界性。例如,NSS实验室的Moy说,统一威胁管理当启用IPS时,(UTM)性能通常会下降60%,从10Gbps降至3或4Gbps,当打开防病毒功能时,性能甚至会更大幅度地下降,降至300至400Mbps。
他说:“我对在防火墙上打开[防病毒]持怀疑态度。”“在数据中心前面,可能不是,但可能雷竞技电脑网站在周边。”
越来越复杂的规则也会影响性能,所以要在测试中考虑到这一点。
“更深层次的政策,更多的感觉产生了影响,”核心竞争力的菲弗说。“当你在额外的检查层,它会越来越慢。”
市场上有很多高端产品执行加载和安全性测试。这些都是昂贵的,但值得投资,如果你要做大量的网络设备和网络安全产品内部测试。如果没有,有第三方测试供应商,他们中的许多人使用这些工具。
“试点赫克出来,”广说。“我已经经历了很多防火墙,以及外的盒子,我们需要调整很多参数之前,我们到了合适的性能水平。从我与以前的防火墙的经验,我总是发现性能不完全匹配权利要求书“。
大约应用控制的现实。你是一个供应商的确认吹走在此之前,他们已经在他们的图书馆那么多万人的应用,考虑你的申请的政策和做法。了解你的公司的员工正在使用合法的商业目的,这很可能在将来使用,谁在使用它们以及如何使用它们的应用程序。有了这些信息,您可以创建安全和适当的使用政策,并在他们的监督和加强围绕这些应用程序政策的能力评估下一代防火墙产品。