下一代防火墙已经到来 你做好准备了吗?

译文
安全 新闻
传统的基于端口的企业防火墙,看上去不像是一个后卫,更像是Web应用程序的中途停车点,在新一代更强大、快速和智能的防火墙面前,它正慢慢失去话语权。

【51CTO 12月21日外电头条】传统的基于端口的企业防火墙,看上去不像是一个后卫,更像是Web应用程序的中途停车点,在新一代更强大、快速和智能的防火墙面前,它正慢慢失去话语权。

所谓的下一代防火墙(NGFW)指的是一种能有效执行入侵防御保护,能智能感知应用程序,强制实施基于身份控制的企业级防火墙/VPN,它可以利用互联网信誉分析信息帮助过滤恶意软件或与活动目录(AD)集成实施更细粒度的控制。

NGFW什么时候才能真正到来?

Palo Alto网络公司被认为是业界第一家真正能提供NGFW产品的厂商,早在2007年,Palo Alto就推出了多用途应用程序感知安全设备,截至目前已经发展了2200家客户,其它如Fortinet,思科,Check Point,McAfee和Barracuda Networks等厂商都扩展或重新设计了现有防火墙产品,以符合NGFW定义的规格。此外,IPS厂商,如Sourcefire已经明确表示明年将会推出一款带有应用程序感知防火墙功能的IPS,尽管如此,目前使用这些高级防火墙的客户还很少。

Gartner分析师Greg Young说:"截至目前,据我们掌握的数据来看,只有不到1%的安全连接使用了NGFW,但这一数字到2014年预计会上升到35%"。

NGFW还是UTM

NGFW并不是科学术语,也不只是市场营销使用的一个词,有太多不确定因素,也没有任何独立的第三方实验室测试这些NGFW产品,Fortinet公司表示,ICSA实验室正在讨论测试各种NGFW产品,但眼下最大的挑战是明确NGFW的定义,Gartner对此给出了自己的定义,Young说:"有些厂商在应用程序控制方面做得很好,有些厂商在IPS方面更先进,大多数企业防火墙厂商仍处于早期阶段,总的来说,Palo Alto处于领先地位"。

IDC分析师Charles Kolodgy创造了另一个术语UTM(统一威胁管理),很快便有了NGFW和UTM术语之争,Kolodgy说UTM和NGFW的含义大致相同,但Gartner却不这么认为,它指出UTM安全设备只适合中小型企业使用,而NGFW才适合员工大于1000的大型企业使用。

厂商已经开始行动

尽管存在术语之争,安全厂商也清醒地认识到,整合多用途的企业级安全设备需求会急剧上升。Fortinet产品营销副总裁Patrick Bedwell说:"市场正朝这个方向倾斜,传统防火墙已不能满足客户的需求,重点是对应用程序的控制,并且威胁也变得越来越复杂",Fortinet上周推出了Fortigate-5001B安全刀片,最高可达40Gbps,上一代产品最大只能达到8Gbps,可谓有一个质的飞跃。

FortiGate防火墙/VPN安全刀片可感知约1300种应用程序,可以根据应用程序对用户行为实施细粒度的控制,如时段限制和带宽管理。其它厂商也不甘落后,McAfee去年6月发布的Enterprise Firewall v8就声称是NGFW产品。McAfee网络防御产品营销总监Greg Brown说:"我们改造了应用程序引擎,现在它可以检测和全面检查1000多种应用程序,我们还设计了引擎扩展功能,每周都会有应用程序更新"。

McAfee Enterprise Firewall v8可达到10Gbps,但这并不是最高速度,McAfee和Crossbeam Systems合作,在他们的平台上实现了40Gbps的速度,McAfee正在努力提高在自己设备上的速度。

全功能防火墙带有的IPS功能是否比得上独立的IPS产品?Brown表示这是个未知数,目前还没有独立测试报告出现。他说:"和传统控制IP网络的防火墙比较,NGFW代表了更先进的技术,因为它控制的是应用程序,和微软的活动目录集成后,还可以设置用户组授权,到目前为止,已经有一部分McAfee用户在尝试高级防火墙带来的应用程序控制功能"。

NGFW案例分析

24小时健身连锁在美国和其它国家共有400多个俱乐部,去年夏天他们部署了Palo Alto的应用程序感知防火墙,其IT运营和安全高级主管Justin Kwong说:"切换到Palo Alto整合架构的目的不仅仅是成本,IT人员能知道更多正在发生的事情,能实施更细粒度的控制,如基于信誉的过滤。我们正在将Palo Alto防火墙和活动目录集成,实现基于员工的应用程序策略控制指日可待"。但Kwong不相信公司会完全迁移到NGFW模型,因为对于网络和数据中心部分,没有应用程序感知控制需求。

NGFW部署建议

IDC分析师Kolodgy说他已经预料到人们基于应用程序控制的看法,他的建议是"先在局部进行试用,直到感到满意在扩大使用范围,这和从IDS过渡到IPS的过程很类似"。

此外,虽然NGFW象征着安全整合,但Kwong对此仍然持保留意见,他说:"除了Palo Alto IPS功能外,他还会继续使用开源的IPS作为第二只眼睛,我永远不会考虑把一切工作分配给一个设备去完成,我也不会把自己绑定到一家厂商"。

但对于笔记本电脑和移动设备该如何处理呢?Palo Alto产品营销总监Ckris King说:"我们可以扩展到不常在网络上的机器,我们有VPN客户端可以将用户的通信导回到客户的NGFW,明年我们会推出GlobalProtect智能VPN客户端,它能知道用户在哪里,然后将用户导向最近的网关,有一个网关列表,客户端知道最近的网关是哪个,这个功能能防止某种水平的数据丢失"。

Palo Alto还能检查SSL,它基于可信环境中用户共享的桌面证书打开入站和出站通信,King说:"我们打开它确定这是一个得到允许的应用程序,然后重新加密传输,如果应用程序为得到允许,我们就终止传输"。

作者:Ellen Messmer 

原文名:Is a next-generation firewall in your future?

原文出处:http://www.networkworld.com/news/2010/120110-next-generation-firewall.html

【编辑推荐】

  1. 下一代防火墙常见问答
  2. 更快更智能 下一代防火墙新技术初探
  3. Gartner报告 关于下一代防火墙 
  4. 企业需要带有入侵防御系统及应用可见的下一代防火墙

 

责任编辑:佚名 来源: 51CTO.com
相关推荐

2012-12-12 10:29:57

2011-06-30 11:02:22

2012-12-10 16:15:43

下一代防火墙NGWF

2011-06-27 13:31:21

2013-06-27 11:21:17

2010-12-10 10:16:54

下一代防火墙

2014-08-06 11:46:53

2011-12-08 10:16:53

2011-03-14 09:24:39

下一代防火墙供应商

2010-09-29 11:01:46

2013-09-11 20:09:08

下一代防火墙NGFW

2010-12-06 16:45:32

下一代防火墙

2014-10-11 10:47:50

2013-06-19 10:38:58

下一代防火墙下一代智能防火墙山石网科

2010-12-08 09:02:24

2013-02-21 10:25:57

2011-07-13 10:30:34

2013-09-27 10:14:46

2010-12-08 09:33:51

2011-06-24 09:33:23

点赞
收藏

51CTO技术栈公众号