20岁对人来说只是刚进入青年期,但对信息技术来说已经表示了几代兴衰更替,防火墙从上世纪90年代初面世,大约在10年前,有些安全行业分析家曾预言防火墙将逐渐衰落,谁料这种技术发展至今已近20载,一直历久长青,其原因何在?
随着IT基础设施不断演变及安全威胁日趋复杂,这的确对防火墙带来冲击,每一轮冲击波都导致防火墙"变身"加强以求存。例如在上世纪90年代后期,便携式电脑及远程访问在企业IT环境变得普及,业界开始谈论网络边界消失的课题,数年后,SSL VPNs的出现以及智能手机变得雨后春笋,防火墙的角色再被检讨,而现今甚嚣尘上的云运算成为新一轮的冲击波。
然而互联网安全解决方案供应商Check Point 软件技术有限公司中国区技术经理刘刚指出,防火墙是一种高韧性、改进力强的技术,它往往可以提升自己的安全能力,适应IT环境的变化。
边界控制
Check Point 中国区技术经理刘刚指出,网络在过往10年变得非常复杂,尽管其边界变得更为宽广且零碎,但它仍然存在,在内部网络、可信任基础设施以及外界不可信网络间仍有区分。机构使用多种不同的途径来访问企业数据,例如来自便携式电脑与智能手机基于客户端以及无客户端的VPNs,或者云应用程序,但无论如何,边界仍旧存在。整个网络的活动只是变得更为复杂,包括需要管理更多事件、更多的访问通道,以及比前更大的信息流量
刘刚表示,不妨将企业网络比作一个国家,我们可以通过多种途径可到达该国,包括航空、火车、海路或者陆船,这就像不同的途径接入网络一样,尽管途径众多,边界的安全控制还是极度重要的,为了有效地监控检查不同种类的客流,便需要在机场、客轮码头以及国际火车站实施不同种类的安全控制措施。
重新武装网关
网关需要与时俱进,才能适应21世纪的IT环境。网关不应只执行简单的监控特定端点、IP地址或者每个地址进出的数据流,而是应该能够详细地检测更为具体的用户与应用程序活动。
实际上,通过对数据包的分析,防火墙在过往17年已经可以监控使用中的应用程序,现今的挑战是在于增强防火墙功能,使它能更深入探究通过网关的网络数据流量,确认哪些才是真正地正在运行的应用程序,并追踪出那些正在使用它们的用户。在企业内部细致掌握应用程序的动态,以及更准确的用户可视性是必需的,以便识别及管理各种副应用程序,根据真实的个人用户与业务需求,量身定做网络应用程序使用。
一个基于模块化、以软件驱动的方针才可令防火墙支持多种不同的安全功能,它能根据用户需求、新安全问题或者企业安全需求的变化,激活或增加特定功能。此外,如果网关是用于监控用户的活动,它可以变成一个运行数据防泄漏方案(DLP)的理想平台,DLP将会监控并且识别公司内部正在被发送出去的电子邮件或者网络应用程序中所潜在的敏感信息,标记潜在问题,并向管理员与用户发出示警。
现代安全网关仍然守卫着网络边界,防火墙在与时俱进不断增加功能,简单而言,防火墙在长大变强,而非日渐变老。