有些技术流行语并不会消失,例如下一代防火墙就已经存在了至少十年,它给我们带来了很多革命性的的功能,包括状态数据包过滤、用户身份识别控件、入侵检测/防御和应用可视性/控制等。
整合所有这些功能到一个产品很重要,但其中应用控制是非常重要的进步,因为这让这类型的防火墙首次可以检测和阻止通过企业网络的web应用流量。
这些早期的下一代防火墙(NGFW)构建于不同的时代,早在8到10年前,企业仍然主要依靠围绕网络构建外围来阻止恶意软件。Frost & Sullivan高级行业分析师Chris Rodriguez表示,但这已经不再是全方位的战略。
“防火墙只是企业部署的众多传感器之一,”他表示,“防火墙不再是全方位的战略,它需要结合端点管理和威胁分析,这也是大数据和安全分析变得重要的原因。”
健身公司Beachbody网络工程高级经理William Dugger表示,在他们公司,安全非常重要,因为他们需要确保安全的网络交易,保护合作伙伴以及保护灵活开发环境。
Dugger管理者跨两个西海岸数据中心和五个企业网站中约1700名用户,该公司部署了思科的ASA 5585-X SSP-60防火墙及其采用FirePower模块的ASA 585-X SSP-10防火墙。
在Beachbody公司,SSP-60集中在数据中心核心,每个数据中心有两个,SSP-10则部署在每个数据中心的边缘。
“在我们选择防火墙平台时,我们刚刚部署了新的思科数据中心,并且,思科是唯一提供集群功能的公司之一,他们的集群符合我们的设计,”Duggers解释说,“通过集群功能,我们可以将负载分散在不同的防火墙,每个防火墙可知道其他防火墙在做什么。思科的架构让我们可以利用下一代安全功能的优势。”
例如,ASA现在提供整合思科Sourcefire选项,其中包括URL过滤和高级恶意软件缓解。ASA还整合了思科的身份服务引擎,该公司的安全访问控制系统。
Duggers补充说:“我们还在准备使用其他新的创新技术,例如SSL解密和增强应用感知。”
下一代威胁防御
现在,企业在物理和虚拟环境运行网络,而数据则运行在云端,员工也更加移动化,所以围绕外围构建保护的概念不再可行。员工遍布在世界各地工作,他们远远超出数据中心传统类型防火墙的范围。
Palo Alto Networks公司网络安全产品营销负责人Samantha Madrid表示,“网络正在迅速变化,你的安全需要保持跟进。”
Check Point公司数据中心产品营销负责人Don Meyer表示,移动恶意软件受到越来越多的关注。该公司的移动威胁防御平台可检测iOS和Android设备中的恶意应用,当该平台构建到NGFW时,同样构建了相同的对移动设备的威胁检测和防御功能。
Meyer同意称,虽然NGFW仍然具有相关性,但它们如何与其他威胁检测和端点管理功能整合带来很大差异性。该公司的SandBlast零日保护软件(与其防火墙整合)可在恶意软件编写者部署逃避技术前检测和修复零日攻击以及CPU层面的高级持续性威胁,或者漏洞利用阶段。
传统沙箱很容易受到攻击,因为恶意软件代码编写者已经非常精明。现在新的恶意软件可在它启动之前寻找人类元素并开始运行其代码。
“如果没有CPU级检测,传统沙盒解决方案无法发现和阻止恶意软件感染,因为现在恶意软件越来越复杂,”Meyer表示,“我们想要从最开始检测和防止恶意软件。”
虽然公司仍然需要可检查、检测和阻止受感染应用的防火墙类型,但Palo Alto公司的Madrid表示,企业现在真正需要的是整合NGFW功能与基于云的威胁分析和端点管理的安全平台。
Palo Alto公司的做法是同时利用Palo Alto的PA和VM系列防火墙;WildFire--基于云的威胁分析引擎;以及Traps--端点安全产品,所有一起来保护企业网络。例如,当 Wildfire企业受到恶意软件攻击时,它会通知全世界Palo Alto用户网络。WildFire网络的防火墙和端点都会自动更新。
IT人员也想要确保他们选择的防火墙类型支持所有主要的软件定义网络环境,并可在公共云环境良好运行,例如亚马逊云技术网络以及微软Azure。
Check Point公司的防火墙支持VMware的NSX平台以及OpenStack,还有公共云环境;该公司正在整合思科的应用为中心的基础设施。Palo Alto公司的产品也可在AWS运行,并可通过该公司的管理平台Panorama进行管理。
“自动化和整合是这里的关键,”Madrid表示,“从防火墙的角度来看,企业需要确保他们的防火墙可同时在私有和公共云环境进行运行。”
采取更全面的方法
Fortinet公司产品与解决方案副总裁John Maddison认为,对于可预测什么以及可提供的保护水平,行业存在太多的炒作。
他表示:“我们的方法是将企业网络作为一个整体,并且将防火墙部署在最适合的位置。”
Fortinet公司采用了单一政策的方法,该政策会传递到网络中所有安全设备。该公司建议客户在园区边缘部署中端边缘防火墙;在分支机构部署统一威胁管理设备;内部分段网络--可根据用户或应用来分离流量;在中央设备部署数据中心防火墙;在亚马逊云技术服务或微软Azure部署云防火墙;以及在互联网服务提供商部署运营商级的防火墙。
“十年前,我们在分支机构和主要数据中心部署防火墙,”Maddison表示,“现在IT人员需要关注更多的配置,我们试图让人们从企业范围的方法来考虑防火墙部署。”
思科公司网络安全产品营销主管Dave Stuart表示,防火墙不能只是作为基础设施采购清单中的勾选项目,它们需要提供有关潜在感染的背景感知--不只是提醒IT人员它们发现威胁,还需要告诉他们这些威胁是否有害。
Stuart表示:“这个行业一直善于抵御已知威胁,我们现在需要的是可发现未知威胁的产品。”
思科的ASA与FirePower服务包含三个不同的自动化功能。首先,该系统可监测进入网络的威胁,分配一个响应优先级,转移它们进行隔离并修复它们。然后,当恶意软件被检测和修复后,系统会自动创建新的签名,以便在未来可隔离或黑名单化该恶意软件。最后,管理软件可对看似无关的恶意软件进行关联,并在未来隔离它们。
思科的端点安全软件被称为高级恶意软件保护或者AMP,它被设计用于沙箱化、分析和修复可疑恶意软件。它会警告IT人员该恶意软件可对网络造成多么严重的影响。
“人们需要明白典型的状态防火墙仍然有用,”Stuart表示,“但现在企业可在一台设备中得到所有功能。”
现在的网络很复杂,在端点的NGFW和防病毒软件不再可行,所以保护网络需要企业付出更多努力。
尽管行业分析师仍然将这些类型的防火墙视为独立的类别,但企业在评估没有基于云的威胁分析和端点战略的NGFW时需要进一步深入分析。