传统的港口企业防火墙,现在看起来不像守卫,更像是通过经常打开端口80和443赛车的互联网应用程序,正在慢慢失去新一代Brawny,快速,智能防火墙。
清理防火墙规则基础的最佳实践|常见问题:你应该了解下一代防火墙的了解
所谓的下一代防火墙(NGFW)描述了一个企业防火墙/ VPN,它有肌肉有效地执行入侵防盗扫描流量,以及对通过它移动的应用程序的认识,以便根据允许的身份实施策略 -基于应用的应用。它应该有大脑使用诸如Internet信誉分析等信息,以帮助恶意软件过滤或与Active Directory集成。
但NGFW过渡真正抵达需要多长时间?
启动帕洛阿尔托网络被视为第一个供应商在2007年的多用途应用程序感知安全设备的线路上举行了NGFW的地幔,今天有超过2,200名客户。供应商Fortinet,思科,检查点,麦克菲和梭子生物网络等一直在扩展或重新制作防火墙产品,并适合图像。此外,IPS供应商sourcefire.已表示,它将有一个应用程序感知防火墙与明年有IPS。但是,据Gartner在过去的几年里吹捧了NGFW,尽管如此,今天对这些先进防火墙的实际使用仍然很低。
“今天我们认为,今天不到1%的互联是使用NGFW的,”Gartner分析师Greg Young说。但他预测2014年的数字将达到35%。
但是ngfw - 不是很好科学术语但不仅仅是纯粹的营销 - 仍然令人不安。几个供应商尚未有任何独立的第三方实验室测试所谓的NGFW产品。ICSA实验室正在讨论各种产品的可能的NGFW测试,陷入困难,但部分挑战是宣誓明确定义NGFW是什么。Gartner拥有自己的装备定义,承认“一些供应商有应用程序控制,其中一些在IP中更先进,”年轻,加入,“大多数企业防火墙供应商处于此早期阶段。帕洛阿尔托将建立的供应商拖到其中。“
术语问题是由统一威胁管理(UTM)的统一威胁管理(UTM)更加困惑,该短语由IDC分析师Charles Kolodgy表示UTM.与NGFW大致相同。但Gartner认为UTM应适用于小型企业使用的安全设备,而NGFW应该是企业,定义为1,000名员工。
但是,尽管发生了这种成语的冲突和使用假定的NGFW只有一个小型安装的基础,但安全供应商似乎识别出对综合多功能企业安全设备的需求可能会上升。
“市场趋势正在朝着这种方向发展,”Fortinet产品营销副总裁Patrick Bedwell说,上周宣布FortiGate-5001B安全刀片为其5000系列设备系列,可达到高达40Gbps,跳过以前的8Gbps产品限制。“遗留防火墙无法跟上。焦点需要在应用程序控制上,因为威胁正在变得更加复杂。”
FortiGate防火墙/ VPN安全刀片是应用程序 - 感知约1,300个应用程序,并可以在具有应用程序的用户行为上建立颗粒控制,以及时间框架限制和带宽管理。
其他供应商也在NGFW方案上。McAfee考虑了它去年6月到于其企业防火墙诉的更改.8升级到已成为NGFW。
“我们重新工作了应用引擎,以便我们可以检测并充分检查1000多个应用程序,”产品营销,网络防御总监Greg Brown说。“我们使发动机可扩展,每周都有应用更新。”
McAfee Enterprise防火墙v。8达到10Gbps。但要掌握更高的速度,McAfee与Crossbeam Systems合作,能够在其平台上达到40Gbps。McAfee正在努力在自己的设备上获得更高的速度。
所有的IT - 所有的防火墙都真正有IPS功能,作为独立IPS有效吗?布朗承认这很难知道,而且没有任何独立的测试已经完成,但“意图是有效的工作作为独立IPS。”
与主要针对IP网络范围的“常规防火墙”相比,布朗说,在应用程序控制中的NGFW方式的方式为大多数客户提供了一种新技术。
使用例如集成Microsoft Active Directory(例如,在授权应用程序中设置用户组的功能)有吸引力。但到目前为止,大多数McAfee客户都在尝试高级防火墙,并在一些应用程序,并非全部,看看有什么影响政策控制。
健身中心连锁24小时健身,在美国和国外维护400多个俱乐部,正在给Palo Alto网络的应用程序感知防火墙它在去年夏天部署了它的锻炼。
IT行动和安全高级总监Justin Kwong表示,在切换到Palo Alto的综合架构方面,他的工作人员不仅是一种成本的理由,而且他的员工正在更好地了解了使用基于信誉的过滤等功能发生的事情的更好信息。
该公司正在利用Palo Alto与Active Directory的集成,为员工的应用程序设置策略控制,但使用是“不是那种粒度,”Kwong说,注意到有关应用程序控制的学习曲线。此外,Kwong并不相信他的组织,尚未将完全迁移到NGFW模型,因为网络或数据中心的所有部分可能不存在应用程序感知控件。雷竞技电脑网站
IDC分析师Kolodgy表示,要预期基于应用程序的控件的看法,请建议,“使用它在有限使用中,直到您对此感到满意,然后扩展其使用,这正是如何转换到的IDIPS.。“
此外,虽然NGFW代表了安全合并,但郭光保留了一些关于这一点的保留。Kwong表示,除了Palo Alto IPS功能之外,他还计划继续使用开源IPS作为“第二组眼睛”。“我永远不会在一个盒子里巩固一下一箱,”Kwong说:“我永远不会完全依赖一个供应商。”
关于用户甚至在防火墙后面时,任何NGFW安全如何适用的问题呢?如用笔记本电脑旅行或使用移动设备?
“我们可以扩展到未在网络上的用户的机器上,”Palo Alto Networks产品营销总监Chris King说。Palo Alto已经拥有一个VPN客户端,可以将用户流量拖回客户的NGFW点,但明年早些时候Palo Alto将提供它所谓的全球化的智能VPN客户端,该客户知道用户在世界中的位置,并将指导客户端最近的网关。“管理网关列表的网关的层次结构,客户知道最近的网关是哪里,”国王说。他补充说,这种能力能够实现一些水平的数据损失预防。
PALO ALTO还看到了SSL检查的能力,因为它的包装是一个大量的,它根据共享用户的桌面证书的可信环境开辟了入站和出境流量。“我们打开它以确保它是允许的应用程序,然后重新加密,”King说。