部署下一代防火墙时应考虑的事项

供应商选择、吞吐量和功能配置只是刷新防火墙时需要解决的一些问题

在过去的十年中,防火墙在企业中已经变得无处不在,但是新的、多样的访问方法与日益复杂的攻击相结合,迫使网络运营商和安全专家不断地评估他们的防御。

根据Gartner研究员Adam Hils的说法,通常防火墙的更新周期是五年,这让组织有机会定期评估什么样的防火墙和什么样的特性最适合他们的需求。

+更多关于网络世界足球竞猜app软件:什么是防火墙?+

那么,在部署下一代防火墙时,应该考虑哪些主要因素呢?吞吐量、部署标准以及配置实现等选择都很重要。

下一代对传统防火墙

也许第一个问题是,为什么需要下一代防火墙(NGFW),而不是可能更便宜的上一代版本。根据Palo Alto Networks的白皮书,传统的、基于端口的、有状态的防火墙被认为是“有远见的”。“他们可以看到事物的大致形状,但却无法看到正在发生的事情的更细微的细节。NGFWs包含了大量的新特性和功能,允许它们在更精细的层次上检查流量。一些功能包括:

-入侵预防系统(IPS):这些系统检查网络数据包签名,并使用先进的异常检测功能,不仅识别,而且阻止威胁。

-深包检查(DPI):这项技术不只是检查封包头,还可以在流量封包通过NGFW的“检查点”时,在流量封包中搜索并阻止已知的威胁。

-SSL检验当前位置此技术检查加密通信以阻止已知的威胁,即使它们是加密的。

NGFW的许多特性都可以单独购买,比如IPS、DPI和SSL检查。NGFW将这些功能集成到一个单独的系统中。

nw下一代防火墙信息 特里·哈斯/ IDG

创建安全策略

当与供应商就NGFW部署进行协商时,最初的对话之一将围绕组织的安全态势展开。任何技术都无法取代评估环境和确定需要保护的最重要的业务关键资产的优先级的关键工作。这个对话可能涉及多个部门,从IT到网络和安全服务,再到人力资源和执行领导层。

Gartner的研究人员Hils说:“基本上,组织需要弄清楚,如果他们还不知道,他们的数据的珍珠在哪里,并制定一个保护它的计划。”组织通常收集这些需求并与多个供应商联系以获得报价。

大多数防火墙仍然部署在数据中心的外围,但是根据客户是否采用了微区隔和网络虚拟化,也可以在数据中心内部署防火墙。2020欧洲杯预赛

近年来,防火墙供应商允许客户选择共享被阻止的威胁,本质上是安全保护的众包。防火墙软件可以从供应商定期更新,以确保它具有针对所有最新威胁和漏洞的最新保护。

供应商选择

一旦你接受了NGFW的理念,并且对安全需求有了一定的了解,下一步就是评估提供NGFWs的厂商的饱和市场。高德纳(Gartner)最新发布的《魔力象限》(Magic Quadrant)将帕洛阿尔托网络公司(Palo Alto Networks)、Fortinet和Check Point软件技术公司列为下一代防火墙市场的领军企业。Gartner将思科(Cisco)和华为(Huawei)列为市场挑战者,思科拥有强大的NGFW产品线。

其他公司如Forcepoint,是一家中等规模的纯游戏安全供应商,它不仅提供NGFW,还提供网络和电子邮件安全平台。Sophos、Juniper Networks、Barracuda Networks、WatchGuard、Sangfor、Hillstone、SonicWall、AhnLab、Stormshield和新成立的H3C集团也在NGFW市场上展开竞争。

防火墙成本分析

在购买防火墙时,防火墙硬件的初始资本费用并不是惟一需要考虑的费用。防火墙运行与硬件捆绑在一起的复杂软件系统。大多数企业防火墙安装需要多个硬件部件和一个中央管理系统来控制它们,这些硬件部件可以是软件,也可以是硬件和软件的组合。其他费用包括安装、持续维护、支持和更新。

在基础设施设备上运行测试的NSS Labs表示,很难将防火墙产品与其他产品进行比较,因为供应商提供不同级别的网络吞吐量。一个包含五个防火墙和一个中央管理系统的系统的初始购买价格在3万美元到71.5万美元之间,平均约为20万美元。

测量吞吐量

NSS还警告说,供应商公布的最大吞吐量与测试和真实场景中的吞吐量之间可能存在差异。NSS发现,防火墙的测试吞吐量可能比某些供应商宣传的低80%,因此它建议在购买之前在您的环境中测试系统。

部署防火墙时的主要决策之一是需要多大的硬件盒。网络连接的吞吐量是影响这一决策的主要因素。网络的设置会影响防火墙必须能够处理的吞吐量。阿拉米达县教育办公室的Ryan Choate最近将帕洛阿尔托防火墙的5050版本升级为7080版本,支持高达200gbps的吞吐量。

为什么会有这样的增长?在新系统之前,县里十多个学区都管理着自己的网络连接和防火墙。经过重新设计,教育办公室成为全县集中的资源。现在,所有的进出流量都要经过中央教育办公室的防火墙。防火墙控制器——一种集中管理防火墙硬件部署的软件——允许根据网络中的特定用户或站点执行粒度策略。防火墙不仅可以知道哪些威胁被阻止了,还可以不断地更新最新的漏洞。

“有大量的威胁和风险,其中一个价值不只是内容过滤系统,而是一个完整的防火墙,是我们看到所有这些威胁的一天,一个小时,甚至一分钟,”Choate说。“我们没有隐藏自己,我们是一个公共实体,我们是一个相当大的目标。凭良心说,我不可能不运行环境中的防火墙。”

加入网络世界社区足球竞猜app软件脸谱网LinkedIn对最重要的话题发表评论。

版权©2017足球竞彩网下载

工资调查:结果在