下一代防火墻已經到來 你做好準備了嗎?
譯文【51CTO 12月21日外電頭條】傳統的基于端口的企業防火墻,看上去不像是一個后衛,更像是Web應用程序的中途停車點,在新一代更強大、快速和智能的防火墻面前,它正慢慢失去話語權。
所謂的下一代防火墻(NGFW)指的是一種能有效執行入侵防御保護,能智能感知應用程序,強制實施基于身份控制的企業級防火墻/VPN,它可以利用互聯網信譽分析信息幫助過濾惡意軟件或與活動目錄(AD)集成實施更細粒度的控制。
NGFW什么時候才能真正到來?
Palo Alto網絡公司被認為是業界第一家真正能提供NGFW產品的廠商,早在2007年,Palo Alto就推出了多用途應用程序感知安全設備,截至目前已經發展了2200家客戶,其它如Fortinet,思科,Check Point,McAfee和Barracuda Networks等廠商都擴展或重新設計了現有防火墻產品,以符合NGFW定義的規格。此外,IPS廠商,如Sourcefire已經明確表示明年將會推出一款帶有應用程序感知防火墻功能的IPS,盡管如此,目前使用這些高級防火墻的客戶還很少。
Gartner分析師Greg Young說:"截至目前,據我們掌握的數據來看,只有不到1%的安全連接使用了NGFW,但這一數字到2014年預計會上升到35%"。
NGFW并不是科學術語,也不只是市場營銷使用的一個詞,有太多不確定因素,也沒有任何獨立的第三方實驗室測試這些NGFW產品,Fortinet公司表示,ICSA實驗室正在討論測試各種NGFW產品,但眼下最大的挑戰是明確NGFW的定義,Gartner對此給出了自己的定義,Young說:"有些廠商在應用程序控制方面做得很好,有些廠商在IPS方面更先進,大多數企業防火墻廠商仍處于早期階段,總的來說,Palo Alto處于領先地位"。
IDC分析師Charles Kolodgy創造了另一個術語UTM(統一威脅管理),很快便有了NGFW和UTM術語之爭,Kolodgy說UTM和NGFW的含義大致相同,但Gartner卻不這么認為,它指出UTM安全設備只適合中小型企業使用,而NGFW才適合員工大于1000的大型企業使用。
廠商已經開始行動
盡管存在術語之爭,安全廠商也清醒地認識到,整合多用途的企業級安全設備需求會急劇上升。Fortinet產品營銷副總裁Patrick Bedwell說:"市場正朝這個方向傾斜,傳統防火墻已不能滿足客戶的需求,重點是對應用程序的控制,并且威脅也變得越來越復雜",Fortinet上周推出了Fortigate-5001B安全刀片,最高可達40Gbps,上一代產品最大只能達到8Gbps,可謂有一個質的飛躍。
FortiGate防火墻/VPN安全刀片可感知約1300種應用程序,可以根據應用程序對用戶行為實施細粒度的控制,如時段限制和帶寬管理。其它廠商也不甘落后,McAfee去年6月發布的Enterprise Firewall v8就聲稱是NGFW產品。McAfee網絡防御產品營銷總監Greg Brown說:"我們改造了應用程序引擎,現在它可以檢測和全面檢查1000多種應用程序,我們還設計了引擎擴展功能,每周都會有應用程序更新"。
McAfee Enterprise Firewall v8可達到10Gbps,但這并不是最高速度,McAfee和Crossbeam Systems合作,在他們的平臺上實現了40Gbps的速度,McAfee正在努力提高在自己設備上的速度。
全功能防火墻帶有的IPS功能是否比得上獨立的IPS產品?Brown表示這是個未知數,目前還沒有獨立測試報告出現。他說:"和傳統控制IP網絡的防火墻比較,NGFW代表了更先進的技術,因為它控制的是應用程序,和微軟的活動目錄集成后,還可以設置用戶組授權,到目前為止,已經有一部分McAfee用戶在嘗試高級防火墻帶來的應用程序控制功能"。
NGFW案例分析
24小時健身連鎖在美國和其它國家共有400多個俱樂部,去年夏天他們部署了Palo Alto的應用程序感知防火墻,其IT運營和安全高級主管Justin Kwong說:"切換到Palo Alto整合架構的目的不僅僅是成本,IT人員能知道更多正在發生的事情,能實施更細粒度的控制,如基于信譽的過濾。我們正在將Palo Alto防火墻和活動目錄集成,實現基于員工的應用程序策略控制指日可待"。但Kwong不相信公司會完全遷移到NGFW模型,因為對于網絡和數據中心部分,沒有應用程序感知控制需求。
NGFW部署建議
IDC分析師Kolodgy說他已經預料到人們基于應用程序控制的看法,他的建議是"先在局部進行試用,直到感到滿意在擴大使用范圍,這和從IDS過渡到IPS的過程很類似"。
此外,雖然NGFW象征著安全整合,但Kwong對此仍然持保留意見,他說:"除了Palo Alto IPS功能外,他還會繼續使用開源的IPS作為第二只眼睛,我永遠不會考慮把一切工作分配給一個設備去完成,我也不會把自己綁定到一家廠商"。
但對于筆記本電腦和移動設備該如何處理呢?Palo Alto產品營銷總監Ckris King說:"我們可以擴展到不常在網絡上的機器,我們有VPN客戶端可以將用戶的通信導回到客戶的NGFW,明年我們會推出GlobalProtect智能VPN客戶端,它能知道用戶在哪里,然后將用戶導向最近的網關,有一個網關列表,客戶端知道最近的網關是哪個,這個功能能防止某種水平的數據丟失"。
Palo Alto還能檢查SSL,它基于可信環境中用戶共享的桌面證書打開入站和出站通信,King說:"我們打開它確定這是一個得到允許的應用程序,然后重新加密傳輸,如果應用程序為得到允許,我們就終止傳輸"。
作者:Ellen Messmer
原文名:Is a next-generation firewall in your future?
原文出處:http://www.networkworld.com/news/2010/120110-next-generation-firewall.html
【編輯推薦】
