过去几十年的防火墙主要是互联网的出口监护人。现在厂商竞相建立所谓的“下一代防火墙”“感知应用程序”,因为他们可以监视和控制访问基于应用程序使用。
此外,越来越多的功能被挤进许多防火墙,入侵预防系统(IPS)、网页过滤、VPN、预防数据丢失,恶意软件过滤,甚至军事沙箱,试图揭示零日攻击。当涉及到独立ip,它可能被称为“下一代ip”由于其应用程序控制,如IBM 5000 xg网络安全保护,或者是McAfee NS-Series。
(安全:你正在看吗?]
这都是比赛的一部分,在防火墙/ ip包的供应商努力保持领先他们也推动更高的吞吐量满足需要,一种加速的需要为数据中心,经历了虚拟化,使得更高的带宽在2020欧洲杯预赛防火墙的必要性。
生锈的阿吉
厂商渴望“竖起大拇指”影响力的Gartner咨询公司或竞争击败竞争对手在技术评估的测试中,例如那些由NSS实验室或Neohapsis实验室完成。但最后,都是赢得买家的批准,如生锈的阿吉,谁是信息安全工程师的夏洛特北卡罗来纳州,这使得使用广泛的防火墙。
说:“防火墙已经进化,阿吉,当涉及到函数和速度在防火墙和IPS,“我总是寻找更多。”
数据中心虚拟化、移动设备使用的增加和城市的前景采用“自备设备”(BYOD)政策的原因是一些阿吉保持打开新的可能性来保护数据在各种政府机构。城市的消防和警察部门已经开始使用平板电脑和智能手机和BYOD移民政策现在正在考虑,他指出。
城市员工使用移动设备利用思科AnyConnect客户建立VPN-type连接回城市的思科防火墙,据阿吉。连同其他思科防火墙和独立的思科ip,这座城市还利用检查防火墙和独立的IPS警戒线交通指向关键服务器、数据中心、互联网接入和无线网络。2020欧洲杯预赛
但是多供应商的防火墙/ ip的网络并不止于此。这个城市也有下一代防火墙的帕洛阿尔托网络监控员工使用的应用程序。另外,城市使用F5网络应用程序防火墙寻找攻击流量对Web服务器。阿吉说,夏洛特市集中的日志管理与LogRhythm这些安全设备的安全信息和事件管理。
“我们的防火墙把成千上万的日志每天LogRhythm,“阿吉说,她还说市政府也有时接受联邦来源的饲料相关的安全警报。集中防火墙和IPS日志源,随着服务器日志,帮助城市安保人员确定从一个单点的网络安全问题,可能涉及的攻击和员工网络使用问题,最好由人力资源或管理。
找到这样一个广泛的供应商的防火墙在一个组织可能是例外,而不是规律。Gartner分析师Greg年轻,在Gartner安全和风险管理峰会6月,Gartner认为大多数组织说在一个单一的供应商。当说到下一代防火墙(NGFW), Gartner一直强烈主张,据估计,只有不到8%的组织使用NGFW今天,尽管这一数字预计将在五年内爬远高于30%。
年轻还指出,这是明显的,SSL VPN是完全转移到SSL VPN防火墙和消失是分开独立的盒子。
防火墙和IPS,事实上,似乎可以几乎任何地方生活。该安全无线局域网就是一个例子,它基本上是一个无线访问点和开关设备集成到一个统一威胁管理支持防火墙和IPS的能力。根据Fortinet营销副总裁约翰·麦迪森,它是受欢迎的在零售业连锁商店,这是一个划算的办法无线覆盖和安全相结合。
连锁餐厅玩偶盒最近部署650 FortiWiFi-60CS结合无线接入设备,防火墙/ IPS数以百计的连锁餐厅的位置。吉姆•Antoshak主任那里,说年长的无线点玩偶盒餐馆现在可以退休了,,该装置将无线和安全的一个紧凑的组合。
一个论点吗?
一个辩论围绕着两个主要问题:是一种多用途防火墙/ IPS作为有效的作为一个独立的设备?交换机或路由器的安全模块呢?
惠普、思科和杜松,为防火墙和入侵预防工作提供安全模块厂商的交换机和路由器。但罗伯·格里尔,副总裁和总经理为企业安全产品在惠普TippingPoint,入侵预防时表示,主要部署惠普认为是专用的,独立的电器。这是通常被认为是最好的方法惠普下一代感知应用程序的IPS在性能方面和细粒度的控制,他说。
高级主管迈克•尼尔森表示,思科网络安全和产品营销的绝大多数思科在防火墙和销售“诱导多能性”是“专用安全设备。“ASA 5585 - x系列在其自适应安全设备被描述为拥有40 gbps防火墙的吞吐量Nielsen说可以被推到80 gbps IPS,其中包括一个应用程序控制特性。这是主要的元素,让它被称为“下一代防火墙,”据Gartner的定义。
副总裁Jason Brvenik安全战略在技术研究小组,在Sourcefire,认为“专用设备给你自由作为一个组织应对最新发展的威胁。”
弗雷德伤害。检查的产品营销主管说,客户要求高吞吐量和低延迟通常决定在专用功能。但他指出,群业务客户经常发现多用防火墙网关和统一威胁管理设备足够了。检查,还为“下一代”争夺冠军,最近增加了一个“威胁模拟叶片“作为一个防火墙模块。它可以安全地“爆炸”文件在沙箱,试图揭示零日攻击。它解决了类似的问题,帕洛阿尔托在下一代防火墙的野火军事。
沙箱的想法也在迎头赶上。McAfee刚刚收购了防火墙/ VPN / IPS供应商Stonesoft以及ValidEdge沙盒技术。
NSS实验室分析Iben Rodriguez说测试防火墙和IPS表明可以清楚地有性能和效率的缺点在防火墙运行多个安全服务。Neohapsis实验室的研究主管Scott behren总结一个常识性的方法的问题:“如果我是买家,我需要问,“这束与我的企业需求是什么?”
在犹他州的韦伯县政府,马特•莫滕森是奥格登的信息安全官,防火墙/ IPS吞吐量需求不超过10 gbps,戴尔SonicWall网络安全设备和多功能E8500模型与IPS, URL过滤和反病毒被一个好正确的适合使用的中档支持网络县的1200名员工,虽然计划升级到更强大的为9400人。县还维护几个思科研究,包括思科ASA 5505防火墙致力于与更广阔的世界联系的执法,例如电信窃听数据。
一些有价值的用途其防火墙应用程序控制块Skype或有时Java在某些情况下,是为了安全起见。莫滕森也使用其带宽节流。
geo IP过滤,“我也不允许用户去某些地方,如东欧、南美或者中国,“Mortensen说,指出犹他州县没有业务需要,并阻塞它出于安全原因。县也入站geo ip过滤。莫滕森还设立了出口的防火墙过滤看僵尸网络活动的迹象。
因特网的世界现在认为是如此危险,即使是最开放的大学觉得他们被迫取缔。去年4月这是麻省理工学院的决定作为整体的一部分修改安全策略后,一枚假炸弹威胁。
“今天,在麻省理工学院的网络系统受到成千上万的未授权的连接全球每天从几乎每一个国家,因此,麻省理工学院看到每天超过10受损用户帐户,”麻省理工学院的备忘录的学术委员会表示,今年4月,解释麻省理工学院开始块基于防火墙流量来自麻省理工学院的网络基础设施。
将防火墙和IPS将来不足吗?
防火墙和IPS证明多才多艺,不仅是硬件设备,软件,有时特别设计,推动安全到虚拟桌面和服务器环境基于VMware,微软HyperV, Red Hat内核虚拟机(KVM)或开源Xen hypervisor(最近CitrixLinux基金会捐赠)。VMware -一些防火墙厂商的失望,自己也跳了过去几年的基于软件的虚拟防火墙控制自己的。
检验点的伤害也承认,“虚拟化是创建一个新的挑战。我们看到的是他们需要更多的防火墙,”止点21000年和61000年代表检查点但是大力支持的网络。VMware本身”VCloud网络和安全”,可用于建立基于vm的防火墙。
所有这些引发了一个问题他负责防火墙和IPS这些天,副总裁Jason Brvenik指出Sourcefire Sourcefire技术研究小组的安全战略。
虚拟防火墙和IPS基于机器的方法
沃奇卫士技术就在上个月介绍hyper - v支持其XTMv统一威胁管理平台,为例。卡里姆Toubba,瞻博网络产品和战略的副总裁,是坚决地宣称“防火墙现在必须是一个虚拟的形式因素,它可以不再是那个盒子,“注意杜松的方法支持KVM和VMware。“周长已经成为弹性,在私有云环境中,我们预计防火墙是有弹性的。”
尼尔森说,思科ASA 1000 - v云防火墙。
今年春天Sourcefire,运送了第一批下一代防火墙称为火力,也开发了一种方法来过滤从Xen hypervisor交通,KPM和VMware工作负载环境,Brvenik说。但他承认会有性能挑战与更传统的“诱导多能性”相比。
帕洛阿尔托网络,克里斯•王说,这是越来越常见的客户同时使用其物理和虚拟的下一代防火墙。
但NSS实验室分析师John Pirc警告说,基于管理程序的防火墙和IPS总体仍然被认为是相当新,一个问题是,防火墙/ IPS供应商并不总是支持多个虚拟化平台。NSS实验室今年可能virtual-machine-based安全测试实验室。
然而,看来,虚拟防火墙构成整个防火墙市场不到5%的今天,根据Gartner。Young说虚拟防火墙趋向于复杂化的情况下,如果只是因为“边界”争吵是否他们将由网络运营管理组或服务器操作组。“有谁拥有的复杂性在这个虚拟版本,”他指出。
云计算的兴起的企业发送数据和处理它的网络云服务提供商,无论是平台即服务,即软件即服务,也质疑的未来防火墙和IPS。今天,几乎是没有与你合作在服务如亚马逊和你做什么前提,年轻的说。今天,防火墙和IPS很大程度上仍是前提。
与此同时,的出现软件定义网络和使用CloudStack和OpenStack安全行业正在被监视。
Toubba承认,“这是一个颠覆性的转变,但说,Juniper相信基于软件的防火墙,其他安全服务,可以适应SDN和云技术。
创始人兼首席技术官Simon Crosby启动Bromium——谁也在XenSource创始人兼首席技术官Citrix收购——嘲笑这个想法,传统的防火墙和IPS(或“下一代”)就是答案。他说公共云技术和OpenStack的力量推动断裂点。
安全行业在很大程度上是“破产”和供应商“谎言”。
西蒙-克罗斯比
安全行业在很大程度上是“破产”和供应商“撒谎,”克罗斯比声明,警告“任何声称它可以检测到攻击者是致命的缺陷。虚拟机安全”他宣称一个更好的方法是通过CPU-based保护和“硬件隔离”,利用内置英特尔和ARM芯片安全功能的小说。Bromium vSentry虚拟化安全内就像一个VM虚拟机隔离,然后针对Windows“扔掉”攻击代码。
这些新想法是否着火仍有待观察。
SDN,即将到来的技术,并不意味着物理交换机要走开,说Gartner的年轻,这仍然不成熟的网络将意味着新方法编排通过控制器应用程序和自动化服务链接。然而,问题是,它肯定会影响今天完成了防火墙和在这一点上确实看起来并不SDN坚实的安全模型。“当前SDN安全机制实际上是不存在的,”杨说。
艾伦·梅斯默是资深编辑网络世界,IDG出版物和网站,在那里她涵盖了新足球竞猜app软件闻和信息安全相关的技术发展趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com。