企業防火墻:性能遠遠超過其安全功能
Scott Swenka是美國一家醫療保健公司的IT安全顧問,他是Sidewinder的長期用戶。Siderwinder是Secure Computing公司的防火墻產品,因Secure Computing 公司在2008年被McAfee公司收購而更名。Swenka表示,McAfee收購Secure Computing公司時他有點擔心,但是McAfee承諾會繼續支持Sidewinder。
“到現在為止,他們并沒有真正添加任何新功能,”Swenka表示,“管理界面以及命名標準跟原來一模一樣。”
McAfee上周發布了Firewall Enterprise 8,并在里面集成了該公司的全球威脅資訊服務。這個最新版本提升了Sidewinder應用層的檢查能力,并在防火墻中添加了信譽(reputation)功能,使其能夠利用地理位置來阻斷威脅。該防火墻作為設備出售,并且可以作為基于軟件的防火墻虛擬設備來使用。它能夠跟McAfee公司的ePolicy Orchestrator一起工作(ePolicy Orchestrator是該公司在管理和政策控制方面的旗艦級集中化管理控制臺)。
Swenka最大的擔心是McAfee公司會對現有產品添加太多的集成功能。他表示,在防火墻中集成動態目錄,使其變得“用戶感知(user aware)”的。雖然這一點是有益的,并且可以讓設備的功能更加強大,但若想在其中集成其他McAfee產品就會變得復雜,因為產品本身已經非常不錯了。
他說,“我想要的是防火墻性能,而當你往里面添加東西的時候它只會變得臃腫。”
剛開始的時候,防火墻功能非常基本,即使用防火墻規則庫對IP數據包進行掃描、識別出不需要的流量、決定能夠流入公司網絡的服務。IDC估計,有85%的企業目前都使用了防火墻。據IDC稱,這些防火墻設備已經被用來處理那些日漸泛濫的惡意代碼攻擊。
在收購Secure Computing公司之前,McAfee在防火墻業務方面就已經經營了很長時間。在2001年,當McAfee還被稱為Network Associates的時候,這家供應商就賣掉了其PGP加密產品以及Gauntlet防火墻產品生產線。PGP加密業務目前變成了PGP公司,而在上周McAfee公司的競爭對手Symantec公司宣布將收購PGP公司。而Gauntlet部分被Secure Computing公司收購之后,又被McAfee公司在2008年重新收購回來。
Spire Security公司的研究總監Pete Lindstrom指出,在某種程度上,防火墻市場已經變得大眾化。傳統的市場已經由網絡巨頭思科公司、Juniper網絡公司以及安全供應商Check Point Software Technologies公司占據了。他表示,許多供應商正在往路由器里添加安全功能,把它們變成統一威脅管理(UTM)設備。這個市場還包括幾個網絡安全設備供應商,它們是Fortinet公司、Sonicwall公司和WatchGuard Technologies公司。微軟也在兜售其互聯網安全和加速服務器(Internet Security and Acceleration Server)以及前端威脅管理網關(Forefront Threat Management Gateway)等產品。
Lindstrom指出,很難對主流的防火墻產品進行評估,因為大多數的防火墻都含有相同的功能。
“供應商需要有人理解擴展功能的技術細節,因為幾乎所有的防火墻都有擴展功能,”Lindstrom表示,“我認為防火墻的性能比其他的需求更重要,因為上網的人不希望網絡瓶頸。”
Swenka表示,他了解到像防火墻這樣的基本安全設備對于企業來說歸結起來就是錢的問題。比如,像思科這樣的網絡巨頭可以利用它的市場份額以折扣價給他的網絡客戶提供防火墻設備。Lindstrom表示,使用防火墻的公司還傾向于對特定的供應商進行標準化。防火墻規則庫通常只能在一個供應商平臺上工作,所以調換供應商可能是一個比較困難的過程。
Lindstrom指出,如果從技術角度來看這個趨勢,他們把網關更緊密的同自己的應用程序相關資源聯系起來,而不是對外面的互聯網進行連接。許多企業都有一個大型的核心防火墻,但是有些公司只是在設備級別或者服務器級別上部署防火墻,并把它們綁定在本公司的入侵防御系統(HIPS)相關技術上。
McAfee公司的執行副總裁兼網絡安全部門總經理Dan Ryan表示,該公司的目標就是隨著時間的推移把防火墻完全集成到McAfee系列產品中去。Ryan曾是Secure Computing公司(在被收購之前)的CEO,他表示McAfee一直致力于集成方面的事宜。他說,我們的目標是要設法改善防火墻的監測能力,無需強迫企業添加更多的規則集(因為那樣的話,企業管理起來比較困難)。
Ryan表示,“我們必定會實現這個目標,因為那樣就會有跨協議的通用政策。我想,我們目前的工作進展還不錯。”
【編輯推薦】
