企业需要带有入侵防御系统及应用可见的下一代防火墙

第一代防火墙的日子屈指可数了,因为企业开始对这些网络安全设备的需求更多而不仅仅是标准端口和协议保护。

许多厂商和分析师谈论的下一代防火墙,设备都集成了传统防火墙性能以及其他网络安全性能,特别是应用层入侵防御系统(IPS)功能。

在最近的研究报告中,Gartner的分析师John Pescatore和Greg Young估计,目前所有企业互联网连接中的1%是被下一代防火墙保护。他们认为,到2014年,这个比例将上升到35%,其中所有新防火墙销售的60%都会是下一代产品。

定义下一代防火墙

许多厂商吹嘘他们的防火墙是下一代产品,但并不是所有的下一代防火墙都是一样的。该技术的定义有所不同,但大多数专家认为,在一个单一的设备中,多个网络安全功能的深层整合是必要的。

Forrester Research的高级分析师John Kindervag说,他将下一代防火墙视为统一威胁管理(UTM)。

下一代防火墙是网关设备,在决定是否允许通过一个端口时,它查看的不仅仅是第三层结构的包。它关注第三层至第七层并获取应用层可以理解的数据包,这使得它能够做出许多更复杂的决定。把这个决定做成功的关键是在于查看数据包一次,而不是将它从一个设备的功能传递到另一个。

“许多产品必须在防火墙打开数据包。如果数据包允许,它将重组包并将其传递到IPS,那么它的查看是在第七层而不是第三层,”Kindervag说。 “所有这些我们遇到的技术问题中,下一代防火墙模糊了UTM、防火墙和IPS之间的区别。它可以在一个简单的CPU,在一个时钟周期,单一路径或流内完成,所以有较低的时延。这具有成本效益,并且可能会逐渐取代多台设备。它拥有应用意识和用户身份意识,因此它可以提供更多的威胁信息预报。”

下一代防火墙可以整合网络安全操作

网络安全设备整合是John Shaffer决定从Juniper网络防火墙变更为Palo Alto网络防火墙的重要因素。Greenhill和Company合资财务咨询公司的全球系统和技术总监Shaffer说,他一向喜欢Juniper的防火墙,因为他们的易用性和VPN功能。但是,Juniper吹捧的作为下一代的IPS功能对他来说还不够稳固。

“我一直在寻找来自不同厂商的不同工具以对付恶意软件和间谍程序,这可能是拥有针对他们特定模块的任何供应商,”Shaffer说。“Tipping Point有它的模块,Blue Coat有它的模块。所以你需要拥有所有这些不同的模块并分开管理。这会变得有一些复杂。我们所关注的是能够阻止邮件。如何阻止它,从遵守的角度,还是从进入公司的角度?标准防火墙不这样做,因此你需要些别的东西。”

“为像我们一样拥有相当小的IT部门【少于10名工作人员】,找一个可以将那些功能整合到一个单一单元的供应商,实在是很大的问题,”Shaffer继续说,“因为有大量的工作需要保持这些东西工作和稳定。”

他决定在他的网络部署Palo Alto公司的防火墙,因为该公司提供IPS功能和应用可见性。他说,其实市场上也存在一些独立的IPS模块,他们可能会有比Palo Alto防火墙更好的性能,但是这些模块可能不会被充分利用,因为他的资源有限。一个IT管理员分别管理防火墙,网页过滤网关和IPS模块,就不会有足够时间优化这三个模块,但他能最有效的利用Palo Alto的IPS功能,因为在一个模块中管理IPS和基本防火墙会更容易。

“Palo Alto的应用可见性给你提供了更加深入的了解,有关什么在运行和哪种类型的应用程序在运行,”Shaffer说。“但是你不能100%保证你不会使其它的东西通过。如果你有旅游的人,你就不能保证人们不会从外网获得一些东西,然后将其带入(公司网络)。我想要不断尽最大可能的阻止更多威胁,但我认为这很微妙。如果你阻止过多,那你需要工作的事情可能就会被阻止。”

Kindervag说Plao Alto是市场上比较成功的下一代防火墙供应商之一,因为他的启动产品是相对较新。作为一个新的供应商意味着他不会有很多的遗留代码需要处理。它的硬件和软件是专为下一代功能打造。更多老牌厂商需要处理旧的代码库和旧的硬件架构,而且他们也不会从头开始研究新产品。

提防下一代防火墙噱头

一些较为传统的防火墙厂商正在逐步走向下一代设备,Kindervag说。

“Juniper网络公司,通过移动到JunOS,将有机会创造一些有意义的变化,”他说。“我不知道他们是否仍旧这样做。他们从ScreenOS到JunOS的过渡……尚未完成。”

在此期间,企业应当警惕厂商声称他们是生产下一代防火墙。每个人都有自己的定义,企业可能会发现他们的标准超过了一些供应商的。

“我认为目前很难通过市场炒作来降低影响,”Kindervag说。“你需要关注以下事情:查看硬件架构。转到下面的发动机罩,问是否有足够快的处理器来几乎实时处理这些所有通过第七层的数据包?因为我们不想让延迟来破坏应用程序,如VoIP。”

如果一个防火墙供应商使用的是传统服务器风格的硬件,他们拥有通用处理器,企业应该怀疑供应商能否得到所需的计算能力以查看来自多个层次的数据包,并执行所需的分析来完成企业寻找的所有下一代功能。

“另一件你需要关注的事是软件有多简练,”Kindervag说。“如果很难配置并难以管理,而且似乎是旧式产品,那它很有可能就是旧的。如果你需要做除了屏幕上命令行之外的很多事情,它很有可能是相当麻烦的旧代码,因为不会有人再创建这种接口的代码了。”

作者:Shamus McGillicuddy?? 译者:王波?? 来源:TechTarget中国
英文原稿 http://searchnetworking.techtarget.com/news/article/0,289142,sid7_gci1372865,00.html

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

*

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>