下一代防火墙已经到来,你做好准备了吗?面对众多的下一代防火墙产品的供应商是不是觉得有些眩晕呢?您肯定会有这样的疑问,到底哪一家的产品适合我的企业呢?他们一直都在为谁的技术最好争论着。下一代防火墙是应用感知型的。不同于传统的基于端口和协议的状态防火墙,下一代防火墙能通过流量识别网络上的应用程序。如今把应用放到公有云或者通过软件运营即SaaS的这一趋势,使我们需要一个更高的尺度来确保进入企业网络的数据是合适的。
每个厂商都有他自己的方法在防火墙里实现应用感知。TechTarget记者采访了一些知名的防火墙供应商,本文将逐一介绍各供应商的防火墙产品的与众不同之处。下面是我们了解到的信息。
Astaro使用来自合作伙伴Vineyard Networks的应用特征数据库将应用感知发送到Astaro安全网关。通过这个合作伙伴,Astaro防火墙可以辨别出来自同一网站的不同应用并且可以启用服务质量选项为这些应用优先分配带宽。Astaro安全网关的最新版本加强了对于这个功能的描述。他提供了一个全网络视图使得管理员能够基于实时情况定义安全策略。按照Astaro所说的,其关键目标就是当发生新的威胁时,IT能通过调整防火墙迅速而又轻松的做出反应。
Astaro同样致力于辨别新的未知的应用类型,只要新的应用开始触及客户网络。接下来他们可能会发布允许管理员选择性加入及匿名提交未知数据包类型给Astaro工程师审核的系统。公司会用收集到的数据来识别这些应用并把他们加入到特征数据库中。
Check Point开发了AppWiki应用库,并声称其可以识别超过5000种应用和100000个社交网络小插件。这些应用特征被导进了公司的check point应用控制和识别感知软件刀片上。同时该软件结合了活动目录来识别用户和终端,允许管理员自定义安全策略。Check Point还可以对用户进行实时的指导。当用户违反安全策略时,用户电脑上的代理软件UserCheck会弹出一个窗口,来解释违反的内容并帮助用户纠正。这款软件同时让用户可以提供反馈意见给管理员,有效地根据用户的需求自定义安全策略。
Cisco Systems发布了在Adaptive Security Appliance (ASA)里增加新的应用可见性的计划,这也是其最新SecureX安全构架的一部分。Cisco声称这一新的构架重心将不只是应用感知,同时也能进行用户和设备识别,目前关于Cisco如何改善应用可见性的细节仍然很模糊。
Fortinet的FortiGate设备的应用控制功能用协议解码器和网络流量解密来识别应用的。该公司的FortiGuard实验室团队保留了一个应用特征数据库,并且会为新应用添加特征同时为升级的应用更新特征。该应用库能使Fortinet产品对单一网站上的不同应用进行分离,比如Facebook或Google,还允许单独分配策略。Fortinet声称他们的产品与其他厂商相比有性能和集成上的优势,因为所有的技术都是自己开发的。
Juniper Networks使用一套叫AppSecure的软件产品,为SRX服务网关提供下一代防火墙能力。被称为AppTrack的应用感知组件,依据Juniper的特征库和企业管理员建立的通用应用特征来为网络提供可见性。利用AppTrack提供的可见性,AppFirewall和AppQos组件套就能够对应用进行策略实施和流量控制。同时,Juniper还声称其平台具有很好的扩展性,并且交付应用的速度可达100Gpbs。
McAfee最近被Intel收购了,McAfee是利用它的McAfee AppPrism技术进行应用发现和感知的。借助Mcafee全球威胁智能团队独立研发应用特征,AppPrism可以识别成千上万个应用,无需考虑端口或协议。AppPrism也提供更高级别的应用控制,允许管理员关闭应用中存在风险的部分。例如,管理员可以利用该技术关闭即时聊天软件中的文件共享功能而不影响用户的正常聊天。McAfee声称它的下一代防火墙具有一定的优势,因为它的应用感知技术是它防火墙架构的核心部分,所有组件包括应用特征都是内部研发的。
Palo Alto Networks表示它是第一个推出下一代防火墙的厂商,并且是第一个用应用感知代替端口式流量分类的厂商。公司的产品是基于一个叫App-ID的分类引擎。App-ID通过多种技术队应用进行识别,包括解密,检测,解码,签名以及试探等技术。对于已知应用的个别App-ID可以依靠这些技术中的任何一种组合,用引擎来识别该应用的所有版本以及该应用运行的所有平台。App-ID,作为Palo Alto防火墙的核心部分,会一直运行着,所以当应用启动了一个功能时,它就可以识别到,比如文件传输,它还可以为特殊功能申请策略。该厂商还表示App-ID是可扩展充的,只要新的技术可用,就可以加到分类引擎中。
【编辑推荐】