【51CTO 12月21日外电头条】传统的基于端口的企业防火墙,看上去不像是一个后卫,更像是Web应用程序的中途停车点,在新一代更强大、快速和智能的防火墙面前,它正慢慢失去话语权。
所谓的下一代防火墙(NGFW)指的是一种能有效执行入侵防御保护,能智能感知应用程序,强制实施基于身份控制的企业级防火墙/VPN,它可以利用互联网信誉分析信息帮助过滤恶意软件或与活动目录(AD)集成实施更细粒度的控制。
NGFW什么时候才能真正到来?
Palo Alto网络公司被认为是业界第一家真正能提供NGFW产品的厂商,早在2007年,Palo Alto就推出了多用途应用程序感知安全设备,截至目前已经发展了2200家客户,其它如Fortinet,思科,Check Point,McAfee和Barracuda Networks等厂商都扩展或重新设计了现有防火墙产品,以符合NGFW定义的规格。此外,IPS厂商,如Sourcefire已经明确表示明年将会推出一款带有应用程序感知防火墙功能的IPS,尽管如此,目前使用这些高级防火墙的客户还很少。
Gartner分析师Greg Young说:"截至目前,据我们掌握的数据来看,只有不到1%的安全连接使用了NGFW,但这一数字到2014年预计会上升到35%"。
NGFW并不是科学术语,也不只是市场营销使用的一个词,有太多不确定因素,也没有任何独立的第三方实验室测试这些NGFW产品,Fortinet公司表示,ICSA实验室正在讨论测试各种NGFW产品,但眼下最大的挑战是明确NGFW的定义,Gartner对此给出了自己的定义,Young说:"有些厂商在应用程序控制方面做得很好,有些厂商在IPS方面更先进,大多数企业防火墙厂商仍处于早期阶段,总的来说,Palo Alto处于领先地位"。
IDC分析师Charles Kolodgy创造了另一个术语UTM(统一威胁管理),很快便有了NGFW和UTM术语之争,Kolodgy说UTM和NGFW的含义大致相同,但Gartner却不这么认为,它指出UTM安全设备只适合中小型企业使用,而NGFW才适合员工大于1000的大型企业使用。
厂商已经开始行动
尽管存在术语之争,安全厂商也清醒地认识到,整合多用途的企业级安全设备需求会急剧上升。Fortinet产品营销副总裁Patrick Bedwell说:"市场正朝这个方向倾斜,传统防火墙已不能满足客户的需求,重点是对应用程序的控制,并且威胁也变得越来越复杂",Fortinet上周推出了Fortigate-5001B安全刀片,最高可达40Gbps,上一代产品最大只能达到8Gbps,可谓有一个质的飞跃。
FortiGate防火墙/VPN安全刀片可感知约1300种应用程序,可以根据应用程序对用户行为实施细粒度的控制,如时段限制和带宽管理。其它厂商也不甘落后,McAfee去年6月发布的Enterprise Firewall v8就声称是NGFW产品。McAfee网络防御产品营销总监Greg Brown说:"我们改造了应用程序引擎,现在它可以检测和全面检查1000多种应用程序,我们还设计了引擎扩展功能,每周都会有应用程序更新"。
McAfee Enterprise Firewall v8可达到10Gbps,但这并不是最高速度,McAfee和Crossbeam Systems合作,在他们的平台上实现了40Gbps的速度,McAfee正在努力提高在自己设备上的速度。
全功能防火墙带有的IPS功能是否比得上独立的IPS产品?Brown表示这是个未知数,目前还没有独立测试报告出现。他说:"和传统控制IP网络的防火墙比较,NGFW代表了更先进的技术,因为它控制的是应用程序,和微软的活动目录集成后,还可以设置用户组授权,到目前为止,已经有一部分McAfee用户在尝试高级防火墙带来的应用程序控制功能"。
NGFW案例分析
24小时健身连锁在美国和其它国家共有400多个俱乐部,去年夏天他们部署了Palo Alto的应用程序感知防火墙,其IT运营和安全高级主管Justin Kwong说:"切换到Palo Alto整合架构的目的不仅仅是成本,IT人员能知道更多正在发生的事情,能实施更细粒度的控制,如基于信誉的过滤。我们正在将Palo Alto防火墙和活动目录集成,实现基于员工的应用程序策略控制指日可待"。但Kwong不相信公司会完全迁移到NGFW模型,因为对于网络和数据中心部分,没有应用程序感知控制需求。
NGFW部署建议
IDC分析师Kolodgy说他已经预料到人们基于应用程序控制的看法,他的建议是"先在局部进行试用,直到感到满意在扩大使用范围,这和从IDS过渡到IPS的过程很类似"。
此外,虽然NGFW象征着安全整合,但Kwong对此仍然持保留意见,他说:"除了Palo Alto IPS功能外,他还会继续使用开源的IPS作为第二只眼睛,我永远不会考虑把一切工作分配给一个设备去完成,我也不会把自己绑定到一家厂商"。
但对于笔记本电脑和移动设备该如何处理呢?Palo Alto产品营销总监Ckris King说:"我们可以扩展到不常在网络上的机器,我们有VPN客户端可以将用户的通信导回到客户的NGFW,明年我们会推出GlobalProtect智能VPN客户端,它能知道用户在哪里,然后将用户导向最近的网关,有一个网关列表,客户端知道最近的网关是哪个,这个功能能防止某种水平的数据丢失"。
Palo Alto还能检查SSL,它基于可信环境中用户共享的桌面证书打开入站和出站通信,King说:"我们打开它确定这是一个得到允许的应用程序,然后重新加密传输,如果应用程序为得到允许,我们就终止传输"。
作者:Ellen Messmer
原文名:Is a next-generation firewall in your future?
原文出处:http://www.networkworld.com/news/2010/120110-next-generation-firewall.html
【编辑推荐】