大约在与星际迷航电视剧开始的同一时间,防火墙开始进入到下一代防火墙时代。虽然防火墙产品变得更加先进,但很多IT安全专家仍然坚持使用原来的使用端口和协议的防火墙。
现代企业需要对在其网络运行的应用有更深入的了解。新一代防火墙提供深度数据包检测、细粒度控制和应用感知,来帮助企业监管其网络外围。尽管这些新平台这么具有吸引力, “下一代”的标签并没有很好的描述如何解决当企业迁移到现代防火墙时所涉及的技术、功能和支持问题。现在很多供应商都提供这些设备,包括Check Point、思科、戴尔、Fortinet、瞻博网络、Palo Alto Networks、Sourcefire(7月被思科收购)、Stonesoft(5月被McAfee收购)以及WatchGuard。F5 Networks在2012年也进入了这个领域,当时其Big IP产品系列应用交付控制器获得了ISCA实验室认证。
“大多数现代防火墙都有一些‘下一代’功能,包括集成入侵防御(IPS)以及更好的应用控制,”Gartner研究主管Eric Maiwald表示,“这是现在的防火墙的标准,所有主要安全厂商都声称拥有下一代产品。”但是这些说法并不总是很准确,知道如何评估和迁移到下一代平台才是至关重要的。
应用感知
当然,细粒度应用控制是迁移到下一代防火墙的一个很大的原因。“在我们迁移到Palo Alto的防火墙后,给我们的网络业务带来了明显的优势,”Neohapsis实验室安全顾问Andy Hubbard说道,他此前担任某加州医院的IT经理时参与了该技术的部署,“在我们部署Palo Alto后,我们很快在网络上发现四个僵尸网络和几个流氓服务器。在我们正确部署后,我们能够轻松地保护我们的特殊医疗设备。”
虽然更好的应用感知和智能是下一代防火墙的很大的优势,但这需要付出一些努力。“你需要充分了解何时在防火墙规则集中使用应用ID,”Hubbard表示,“你需要知道哪些应用使用了哪些协议,以及何时使用经典的端口/协议方法更合适,何时不合适。”
这并不是一个轻松的过程,在迁移过程中,Hubbard较旧的Check Point防火墙带来了麻烦。“我们花了四个月的时间来进行迁移,大部分的工作围绕让一大群人协调其工作,因为每个人都负责网络不同部分的工作,”他表示,“我们还有过时的网络文档影响着迁移。与很多企业一样,随着时间的推移企业不断壮大,我们的文档已经落后。所以在你开始任何迁移工作之前,请确保你更新了这些文件,并确保你的网络井然有序。”
应用感知的能力也是杨百翰大学(BYU)夏威夷分校升级防火墙的主要原因。该学校有些应用只在一年的特定时间运行,例如用于招生的应用。负责该项目的系统和网络IT分析师Neal Moss希望对这些招生系统配备进行适当的保护。他花了几个月同时运行其较旧的思科ASA 5500自适应安全设备以及Palo Alto防火墙平台,以确保新防火墙的可用性。这是他们的第三次防火墙迁移,所以他知道该期待什么。他说道:“我只是花时间确保正确配置了各种规则集,并逐渐开放旧的防火墙,直到我们能够完全抛弃它。”
让应用感知“锦上添花”的是,添加域或IP声誉管理到防火墙活动中。这是通过在互联网放置传感器,以及对域名或IP源地址进行白名单以及黑名单处理来完成的。“域名声誉工具并不完美,”硅谷AVOA公司前任首席信息官,现任战略顾问Tim Crawford表示,“说真的,这只是整个威胁预防的一个方面。”
杨百翰大学夏威夷分校对域名声誉有不同的看法。在今年遭受严重攻击后,该大学希望能够隔离其服务器到独立的安全区,当时他们对几个下一代防火墙进行了评估。Moss表示:“我们希望确保数据库服务器和应用服务器位于不同的安全区域,并且它们只能与对方通信,如果我们的服务器受到攻击,我们的数据库仍然完好无损。”
难以淘汰和更换
现有防火墙如何被使用(或者更准确地说,被误用)可能导致迁移问题。在某些情况下,企业过于依赖其防火墙,通常是将防火墙作为其唯一的网络路由基础设施--没有边缘路由器。Hubbard表示:“这导致我们难以淘汰和替换它们。”
部署下一代防火墙可能带来技术更换、网络设置变更和安全政策的问题。迁移整个企业防火墙是一个复杂的过程,因为涉及很多移动部件,Hubbard说道,“还有一些有悖常理的事情,并且这两个系统间存在差异,例如网络地址转换设计和服务质量规则。”传统防火墙管理员习惯于阻止入站威胁,而对于下一代管理员,你需要更密切地关注出站接口。
根据Gartner的Maiwald表示,这里的例子就是,一些公司使用IPS作为监控其防火墙的状况的工具,这样他们就可以培养独立的人员来处理每个设备。最终,整合它们也不会是太困难的事情。
坚持你现有的供应商,并升级到最新的下一代防火墙,可疑避免复杂性问题。这正是Heart研究所IT主管Chris LaBlew对其思科ASA防火墙的做法。他迁移到思科ASA CX内容感知安全模型,因为他相信思科,不想要任何停机时间,另外,他表示,“我们没有添加新设备到我们现有的思科基础设施,例如交换机和VPN,而且,我们已经有工作人员知道如何使用它们。这里并不需要太多的学习曲线来使用CX下一代功能。”
但是,这种复杂性有时候与实际技术无关。“应用控制的问题并不是技术问题,但IT经理需要了解其影响和后果,”Maiwald表示,“你可能会无意中阻止你员工访问Facebook游戏。在理想情况下,IT应该密切与人力资源及管理层协调,以确保政策的正确部署。”
再有就是整体成本。“有些企业不能解释这些功能增加的费用,并且,现在网络更虚拟化的环境增加了其信息安全结构的复杂性,”Crawford表示,“传统的防火墙技术根本不能扩展到云计算。”
然而,根据你的许可证要求的不同,这实际上可以花费更少:在杨百翰大学夏威夷分校,替代其旧的防火墙和反恶意软件最终的花费更便宜。Moss表示:“我们现在节省了维护费用。”
统一平台替代品
迁移到下一代防火墙的替代方案之一就是部署统一威胁管理(UTM)工具,该工具结合了防火墙和IPS以及防病毒保护。在近几年,来自瞻博网络、Check Point、和其他供应商的UTM已经有所改进,整合了曾经只在最昂贵的UTM产品中才有的相同的安全功能。
然而,UTM有其自身的缺陷,包括吞吐量问题,特别是在较大的网络中。Maiwald表示:“当UTM的防毒组件打开时,设备的整体吞吐量会明显下降。”
Hubbard表示同意:“UTM可能会提高延迟性,并让企业更难以解决错误配置的组件,而且,它们还有复杂的许可步骤。”
而有些下一代防火墙则可以提供出乎意料的高吞吐量。BYU的Moss惊讶的看到当他升级防火墙后,性能明显提高。“即使运行着防火墙和反恶意软件检查,我们的新防火墙仍然惊人的快,”他表示,“这个升级很值得。”
LaBleu还发现,调整其思科ASA CX单元的大小来处理互联网流量水平是保持低延迟性的关键。他建议说:“如果你有很多互联网流量的话,确保不要使用太小的设备。”
迁移到下一代防火墙的最大障碍是对未知的恐惧。Hubbard表示:“习惯可能是为什么人们还没有升级其防火墙的最大症结点。”
LaBleu表示同意:“当你部署任何新的技术时,总是很紧张,但下一代防火墙是一个值得的投资。”