从防火墙到数据中心的“火箱”雷竞技电脑网站

当防火墙承担数据中心中的服务器对服务器的保护时，它们可以获得访问控制、入侵防御和其他功能雷竞技电脑网站

有个足球雷竞技app |

企业正在转向应用防火墙和带有IPS的下一代防火墙，以确保数据中心服务器和虚拟服务器之间的安全。

防火墙illustraion

仁慈医疗中心的安全愿望清单远非典型。巴尔的摩医疗保健提供商希望确保用户只访问他们需要的服务和服务器，其数据中心服务器保持安全和无问题。然而，它还没有找到合适的技术组合。

网络访问控制(NAC)设备ConSentry网络处理用户访问控制部分，但这项技术并没有给Mercy Medical提供一种它想要的额外的服务器级安全性。（比较网络访问控制产品.）“我们希望将数据中心的服务器彼此隔离，”该中心的高级IT总监马克•雷恩说。雷竞技电脑网站组织需要这种分离，因为它将其数据中心服务器开放给处理某些管理和维护职责的第三方供应商。“我们希望他们只访问一个服务器或应用程序，而不能看到或与任何其他服务器交谈。就好像我们需要NAC，但是在服务器层面。”

这不是一种奢侈。“现在服务器是主要的攻击点，这意味着服务器也是一个很好的起点，”Opus One的高级合伙人、Network World产品测试人员Joel Snyder说。有个足球雷竞技app“由于各组织拥有不同类型的数据中心——Unix风格、Windows和旧主机雷竞技电脑网站的混合——旧系统可能没有打补丁或受到严密保护，因此会出现问题，并成为其他服务器的攻击载体。”

对于那些在数据中心边缘设置安全防护的企业来说，这可能是一个特别严峻的问题。雷竞技电脑网站如果攻击到达服务器，并通过不受保护的高速服务器对服务器连接，企业很快就会受到威胁。当这些服务器存在于虚拟化环境中时，就不用考虑遇到的问题了。

看到相关的故事:如何隔离虚拟服务器

“我们的大多数服务器都是安装在刀片机箱中的虚拟服务器。当您开始查看这些虚拟服务器如何通过管理程序相互通信或混合时，这是一个棘手的问题。在这一点上，可用的工具集并不是很好，”Rein说。

作为服务器隔离问题的部分解决方案，Mercy Medical选择了PA-4000系列应用程序防火墙帕洛阿尔托网络．“ConSentry负责终端用户，但Palo Alto更以服务器和应用程序为中心。它允许我们微调外包商在特定服务器上可以做什么。

NAC-like服务器防火墙

不像传统的防火墙依赖端口号来区分流量，帕洛阿尔托的设备很像NAC，它可以看到第7层。它通过基于应用程序和用户角色过滤流量微软的活动目录，当更多的应用程序运行在港口80的单一高速公路上时，这个策略变得有用。

然而，该供应商还没有集成一些高端功能，而用户，如Mercy Medical的Rein，希望有一天它能提供更好的服务器级保护。这些服务包括入侵防御系统(IPS)和数据泄漏预防服务。

帕洛阿尔托的首席技术官Nir Zuk也认为这些功能很重要，并表示公司正在开发这些功能。“你希望防火墙发挥IPS功能，确保人们不会黑进服务器。你还需要确保它能查找从数据中心泄露出来的数据，比如社会安全号码，”他补充说，速度是一个普遍的问题。雷竞技电脑网站“目前还没有人具备数据中心所需的速度。”

这两位firewall-IPS

专家说，以服务器为中心的防火墙至少需要以10Gbps的速度运行才能支持典型的性能水平。此类防火墙还需要支持丰富的每服务器策略，以确保安全流量(如备份)得到快速跟踪，并检查和丢弃恶意流量。此外，管理——斯奈德说这可能是一场“彻底的噩梦”——肯定很容易。

“很多防火墙公司都有集中管理，但在一个数据中心控制几十个防火墙和数百条规则的能力是很少见的，”Snyder说。雷竞技电脑网站“在这种情况下，我会使用更弱的防火墙和更好的管理工具。”

防火墙厂商检查软件，思科和瞻博网络正在努力解决IPS、管理和其他问题。虽然它们可能不像帕洛阿尔托设备那样具有高水平的应用程序和用户意识，但数据中心的性能和可伸缩性是重点。然而，这些供应商警告说，这种功能可能会带来许多企业无法接受的性能影响。(更多关于IPS如何影响防火墙速度的信息，请参阅《网络世界》有个足球雷竞技app统一威胁管理产品的明确选择测试.）

思科高级产品经理汤姆•拉塞尔(Tom Russell)表示，希望将数据中心服务器分开的用户必须选择一个不仅速度非常快，而且具有健壮的管理、策略和虚拟化能力的防火墙。供应商最近在ASA-5580上推出了一个这样的例子，这是一个防火墙vpn产品，吞吐量为20Gbps，支持多达10,000个远程用户、75,000个策略和每秒150,000个连接。

拉塞尔说，入侵防御不是这种级别防火墙的重点。集成的ips防火墙在不超过1Gbps的速度下工作得最好，他指出，需要更好性能的企业倾向于使用独立的防火墙和ips。

Juniper产品营销经理乔恩•云(Jon Yun)对此表示赞同。“在服务器-服务器场景中，根据性能，集成IPS产品将是理想的。但如果有一个巨大的数据中心或服务提供商类型的雷竞技电脑网站网络，那么专用的盒子可能更适合。”“现在，我们(使用NetScreen-5400)的吞吐量是30Gbps。如果你部署了这样的防火墙，然后将其虚拟化，使其在后端支持10个不同的服务器，它仍然会给你相当大的容量和吞吐量。”

Check Point正在努力确保它的软件能够得到最好的利用英特尔的多核芯片技术。目标是在添加IPS等功能的同时保持高性能。Check Point VPN-1线路的产品营销经理Bill Jensen说:“我们希望加快应用感知和智能的整个想法。”如果你买一台5000美元的服务器IBM或戴尔它有几个英特尔多核芯片，你打开我们防火墙软件的70%的应用程序检查，你仍然会运行大约2Gbps，这是非常高的。”

另一方面，服务器对服务器防火墙不需要太多的IPS马力，Jensen说，因为它们可以专门针对单个服务器流量进行优化(相对于需要检查进入企业的所有内容的外围防火墙)。他说:“一旦你进入数据中心的各个机架，你可以打开较低水平的检查，性能就会上升得更高。”雷竞技电脑网站

预算之争

用户说，除了性能影响，预算也可能成为障碍。肯塔基州路易斯维尔的浸信会医疗系统，uses Cisco PIX firewalls at its perimeter and is rolling out stand-alone IBM-ISS IPS boxes at the edge of its data center. While per-server, NAC-like protection is the ideal, "we have to do more edge-based protection, where there's more bang for our buck," says Tom Taylor, Baptist Healthcare's corporate manager for client/server infrastructure.

汤姆·泰勒