下一代防火墙,满足这一代的网络和威胁环境。
传统的状态检测防火墙,与他们的端口 - 和协议为基础的控制,具有可见性有限的融入当代基于Web的网络格局。由于Web 2.0的迅速普及,成千上万的基于Web的业务和消费者应用程序和攻击主要是通过应用层发起。状态检测防火墙无法区分应用程序是通过HTTP和HTTPS传递了什么端口80和443攻击者有熟练地在躲避入侵防御系统(IPS),有针对性的攻击使用低和慢的技术。
什么下一代防火墙待办事项
真正的下一代防火墙进行深度包检测,以确定应用程序流量的第7层,执行单一检验合格,集成了防火墙,入侵防御和额外的安全功能,在一个单一的高性能设备。应用智能,以用户的身份信息相结合,提供高度精细的防火墙访问规则,允许对检测的当代基于Web的攻击范围内。企业可以执行安全和可接受使用策略的方式,为企业有意义,而相比之下,像“没有人可以使用Facebook”或黑色和白色的政策,“我们必须让大家的人使用Facebook。”
这是一个快速增长的市场,创造了在帕洛阿尔托网络在2007年的一幕出现了与能力和功能集表征现在被称为下一代防火墙。其他大多数防火墙和统一威胁管理厂商都推出了,或者至少开发,提供集成,高性能设备精细的应用程序和用户控制网络安全产品。
Gartner研究副总裁Greg Young说:“IPS应该更早地与防火墙结合起来。”“知识产权投资迅速膨胀,超过了10亿美元,并有了自己的生命;没有人在积分。帕洛阿尔托(网络的下一代防火墙)改变了游戏规则,而现有的防火墙供应商被迫做出反应,以应对这种威胁。”
下一代防火墙采用率为5%,而在2010年的总防火墙设备的10%之间,根据英菲尼迪的研究和TechNavio见解的联合报告,并有望在未来几年内获得显著的市场份额。Gartner的预测,下一代防火墙将包含所安装的防火墙基础的35%到2014年底将占所有防火墙购买的60%。
[此外读到防火墙审计工具
用于简化规则集和设备管理]
在某些情况下,企业在其现有的网络防火墙和ip前部署下一代,以获得应用程序层和用户id过滤的好处,而不需要进行大规模的拆解和替换。在其他情况下,他们把它放在防火墙和ip后面,看看有什么通过。
咨询公司Core Competence的总裁丽莎•菲弗(Lisa Phifer)表示:“他们将其视为一种附属物。”“他们要么想应用额外的粒度,要么用next-gen来检查是否发生了意料之外的事情。”
但杨说,这就是现在的例外。如今,95%的次世代购买的是防火墙的替换,新的技术已经证明了它的价值和选择供应商不断的扩大。
推动下一代防火墙市场:整合和成本第一
基于应用的控制和安全提供了闪光灯和冷静的因素,但商业案例经常依赖于储蓄并降低管理费用来与整合多种安全产品于一体的综合平台,满足高要求的企业网络需求。
Hain Celestial Group企业It基础设施主管David Rahbany表示:“很明显,我们可以整合我们正在研究的许多技术。”Hain购买并部署了Fortinet的下一代设备,当时它将其分布站点和企业数据中心之间的连接从基于internet的VPN整合到一个多协议标签交换(MPLS)网络。2020欧洲杯预赛
“驱动因素实际上是与MPLS部署相关的成本。“我们可以将我们的网关安全范围集中在少数几个站点上,以便下一代产品更好地满足我们的需求。”Rahbany also cited better management control for a relatively small IT staff.
一个正常的更新周期为外围设备到底是要看看更换逻辑的时间,但情况下可以对非周期下一代部署进行,如果储蓄和好处是引人注目。例如,24小时健身,Palo Alto Networks的客户,有一年留在折旧注销其现有的防火墙,却发现购买宜早不宜迟节省超过抵消失去的贬值。
“这是智慧的结合everythingfirewall,恶意软件检测,网页过滤,威胁managementat更低的成本,”贾森广,IT运营和安全主管说。“的理由并不难。”
但是,尽管整合和节约成本是最重要的,应用感知和控制(什么Gartner的年轻人口中的“嘶嘶”)是一个关键的驱动程序,以及。下一代设备使企业创建反映了现代的基于Web的IT业务环境的政策和规则,包括越来越多地使用Web 2.0的为企业和个人使用。正如显著,该技术可用于监视和强制遵守这些政策。它还提供了识别数以千计的个别应用程序的建立不仅管理被允许规则的能力,但在什么情况下,由谁来。
因此,举例来说,点对点应用程序可能会被禁止,但Skype可能会被授权给有合法业务需求的用户(参见Skype的:它是安全的业务?)。所有用户可能被允许使用Facebook,但可能会无法访问该网站的应用程序阻止。
从安全角度来看,下一代产品可以提供更强大的过滤和威胁检测比传统的防火墙,IPS的独立和其他安全产品,如URL过滤的组合。如果设备在防火墙上进行深度包检测,它可以更有效地专注于什么仍然得到通过减少流量授权的应用程序和用户,潜在的攻击简化检测。单行程检查前面允许产品关联和分析各种安全引擎。
“在许多方面,这是一个更好的IPS这是了解协议和应用的一个电话,说:”里克·莫伊,NSS实验室总裁兼首席执行官说。“现在的当务之急是防火墙更多地了解应用,因为它必须与IPS一起工作,提供上下文IPS能够完成任务。”
例如,莫伊说,防火墙可以告诉IPS模块所使用的应用的Skype,而IPS可以专注于检测已知攻击的Skype,而不是将其所有的数千人签名的对每个数据包。
“实施的另一面是,我是否可以限制能够渗透网络的应用程序的数量,从而控制攻击的途径,”Palo Alto Networks产品营销主管Chris King说。
这种集成方法可以更容易地跟踪潜在的安全事件的产生源比单独的设备,并有效地降低了误报和与IPS相关的假阴性。
Rahbany说:“我们在提供对这些应用程序的访问方面降低了风险,并更好地了解了谁在使用什么以及如何使用。”“我们有我们所缺乏的管理监督。我们能够更好地预测威胁,管理带宽和应用程序。”
评估下一代工具:寻找什么
下一代防火墙是一种复杂的产品,供应商们声称拥有一系列令人印象深刻的功能。确定一个设备在多大程度上满足您的需求需要了解您的企业的需求,以及大量的研究和测试。
看看引擎盖下面。所有的供应商都会声称他们有一种特殊的“巫术”,他们说他们做得很好,但是次世代需要复杂的软件和硬件工程,这在几年前还不存在。坚持供应商的立场,让他们解释他们的软件和硬件架构,以及如何完成所需的处理、检查、关联和分析。同时咨询第三方评审和分析。
要问的问题包括:
有没有实际上只有一个通道被框中的各种发动机杠杆检查?
被检查发生的防火墙,它可以有效的预过滤流量和IPS等综合工具提供上下文吗?
[也可查看网络安全的七宗罪]
是防火墙和IPS真正整合,或者干脆装在同一个盒子?
该产品是否在标准硬件或作为专用设备上运行?在IT总的发展趋势是采用标准的硬件,但下一代需要专用设备,能够满足在企业环境的需求。
他们有没有真正建立新产品或只是适应现有的防火墙和IPS技术?大多数供应商,与帕洛阿尔托外,已经现有的防火墙和IPS引擎,并正在试图整合应用控制等多种功能与他们现有的工具Young说。“他们不是完全集成,让他们有模块间通信的这个头发钉扎,”他说。“这是非常低效的。”
检查它的性能。所有这些功能是有代价的。不同于传统的网络防火墙,下一代的设备(像独立IPS)是能够堵塞的生产流量的流动的“在导线凸点”。每secondthroughput连接的所有安全功能开启onmust进行仔细的评估,并在测试尽可能接近真实世界的生产环境越好。
特别是与供应商的地址,并在测试的一个问题是下一代防火墙程序如何处理加密流量。可以将防火墙拦截,解密和重新加密SSL / TLS,SSH和VPN流量,而且,如果这样做,代价是什么性能?确定相应的生产环境和测试现实的要求。何处以及如何使用下一代防火墙在性能评估要考虑的一个重要因素。金融交易,股票交易,等等,都是极其性能敏感的。称量创建适当的规则集,并决定要启用的安全服务时,您要保护的资产和系统的关键性。例如说,NSS Labs的莫伊统一威胁管理(UTM)性能通常通过从10Gbps的60%至3或4Gbps的下降时启用IPS,并且有一个更急剧减少,至300〜400Mbps的,当防病毒功能被导通。
“我很怀疑开启[杀毒]在防火墙上,”他说。“在数据中心的前方,大概不会,但也2020欧洲杯预赛许在周边。”
越来越多的复杂的规则也会影响性能,所以该因素将您的测试。
“政策越深入,你就越能感受到影响,”核心竞争力的菲弗说。“当你进行额外的检查时,速度会越来越慢。”
目前市场上的一些高端产品执行负载和安全性测试。这是昂贵的,但值得投资,如果你打算做大量的网络设备及内部网络安全产品测试。如果不是,有第三方测试供应商,其中许多人利用这些工具。
邝民彬说:“飞行员可以从这里飞出去。”“我已经处理了许多防火墙,开箱即用之前,我们需要调优许多参数,才能达到正确的性能水平。从我以前使用防火墙的经验来看,我总是发现性能并不完全符合要求。”
大约应用控制的现实。你是一个供应商的确认吹走在此之前,他们已经在他们的图书馆那么多万人的应用,考虑你的申请的政策和做法。了解你的公司的员工正在使用合法的商业目的,这很可能在将来使用,谁在使用它们以及如何使用它们的应用程序。有了这些信息,您可以创建安全和适当的使用政策,并在他们的监督和加强围绕这些应用程序政策的能力评估下一代防火墙产品。