【51CTO.com 独家报道】“还用防火墙?防火墙都已经被淘汰了!”,作为企业IT部门经理,或是数据中心管理者,当听到有人这么说,会有何感想?记者就这个问题采访了几个企业数据中心的部门经理,得到的答案几乎是一样的:“不用可以,那你告诉我,我该用什么呢?”。有这样想法的用户不在少数,也具有一定的代表意义。
由此看来,用户并不关心谁被淘汰,他们只关心用什么解决问题。所以,本文无意探讨防火墙是否应该被淘汰,主要是想抛砖引玉,与各位读者共同探讨新一代防火墙应该是什么样子。
近日,记者就新一代防火墙技术与发展问题采访了McAfee公司网络防护产品推广高级总监 Greg Brown先生。
Greg在网络安全和电信领域从业超过15年,与硅技术厂商、安全软件/硬件厂商及服务商都拥有良好的合作关系。他曾为四大洲内的多个国家IT安全基础设施项目提供设计咨询服务,还曾担任30多个国家首批互联网基础设施项目的首席设计师。
其实,前面的问题在Greg看来,就是“防火墙是否能提供有效的防护?” 的问题。他认为出现上述困惑的主要原因有三点:
第一:Web应用数量出现爆炸性的增长
Greg向记者介绍,如今用户部署了数以千万的Web2.0的应用,而且每天都在不断变化。但目前传统的防火墙技术一般而言只能应对不超过200个的应用,因此完全无法满足数以千万的网络应用产生的变化,更何况安全威胁也在成指数性增长。
此外,在最初设计防火墙的时候,只是让它来应对20—30的新网络威胁的出现,它完全无法应对这些不断出现的网络安全威胁,更无法对其进行详细的分析。Greg坦言:我看到很多客户由于没有实现自己在安全方面的目标,遭受了非常惨重的成本损失。
第二:术业有专攻
Greg表示,技术是在不断的发生变化,如果过于依赖自己的合作伙伴来研发新的技术,只能帮助厂商了解部分的威胁情况,或许有些厂商能够侦测到现在的病毒,但是却不知道这个病毒在网络上出现的时候应如何应对。其结果就是用户对于自己的内部应用一无所知,面对威胁变得很被动。所以,术业有专攻,有效的防护必须依靠专业的技术。
第三:防火墙需要技术革新
世界知名研究机构Gartner认为,防火墙市场需要极大的技术变革。Greg表示,经实践证明,传统防火墙技术的管理成本较高,而且不能有效地执行业务策略。最近几年,传统防火墙解决方案在应对当前大量的威胁以及不断变化的应用环境时已经显得力不从心,相关的管理成本急剧攀升,给企业造成了沉重的负担。但现如今进入了新世纪,防火墙技术也需要变革。没有技术变革的防火墙,只能给用户带来“如何有效防护”这样的困惑。
事实上,大部分业内相关的技术人员都认为,防火墙作为网络边界防护的老三样产品,是需要有些变化了,只是出现的变化更有针对性。比如,前几年市场上炙手可热的UTM技术和产品,出现之初就解决了一部分中小企业的安全防护困扰;比如现在基于应用层流量识别技术的Web应用防火墙,就解决了目前很多网站的Web服务器的安全防护需求;再比如将IPS和防火墙进行联动,解决企业整体安全防护能力欠缺问题……,这些都是将传统防火墙技术加以利用和吸收,发展出的一些新兴技术和产品,其中一些技术和产品,已经在市场上站稳了脚跟,成为企业采购的必须品。
但是面对如今的数据中心虚拟化环境,云计算环境,防火墙还能怎样变革呢?Greg认为主要有三大变革:
应对新威胁的功能
Greg认为,新一代防火墙应该在功能上有所改进,比如在防火墙管理、应用发现和保护以及集成的威胁保护层方面的显著改进。新一代防火墙应使用信誉技术,包括基于信誉的拦截和地理位置功能,以便在不需要的流量到达网络之前将其过滤,在发生攻击之前将其阻止。并且,Greg认为还有一点也很重要,新一代防火墙必须可帮助安全管理员发现和识别数千种应用并执行相应的安全策略,为其提供额外的控制功能。
可视化的策略控制与管理
此外,Greg表示,新一代防火墙应该具备实时地防火墙规则,以及规则变化对应用的可用性和安全性所造成的影响。过去,管理员需要花费几个小时甚至几天的时间来制定和部署规则以及执行故障排除工作,新一代防火墙必须可以帮助他们,通过可视化的方式了解规则变化所带来的业务影响,只需点击几下鼠标即可完成上述任务,对IT部门管理人员来说,是再好不过的事情了。
灵活的部署和交付方式
新一代防火墙应该既可用于传统设备,也可用于新的虚拟化硬件设备,甚至可以作为一款基于软件的防火墙虚拟设备来使用。这些新的交付方式使客户能够在整合数据中心和应用环境以及引入新的虚拟环境时,充分利用虚拟化技术来降低成本、提高灵活性。
Greg向记者透露,前不久,McAfee Firewall Enterprise新一代防火墙第八版正式上市,作为新一代防火墙的代表产品,我们有理由相信当传统防火墙无法满足安全防护需求时,IT部门经理还有其他更好的选择。
【51CTO.COM 独家特稿,转载请注明出处及作者!】