如今防火墻開始進(jìn)入到下一代防火墻時代。雖然防火墻產(chǎn)品變得更加先進(jìn)�,但很多IT安全專家仍然堅(jiān)持使用原來的使用端口和協(xié)議的防火墻���。新一代防火墻提供深度數(shù)據(jù)包檢測、細(xì)粒度控制和應(yīng)用感知��,來幫助企業(yè)監(jiān)管其網(wǎng)絡(luò)外圍����。盡管這些新平臺這么具有吸引力�, “下一代”的標(biāo)簽并沒有很好的描述如何解決當(dāng)企業(yè)遷移到現(xiàn)代防火墻時所涉及的技術(shù)、功能和 支持問題�����。
“大多數(shù)現(xiàn)代防火墻都有一些‘下一代’功能,包括集成入侵防御(IPS)以及更好的應(yīng)用控制���,”Gartner研究主管Eric Maiwald表示���,“這是現(xiàn)在的防火墻的標(biāo)準(zhǔn),所有主要安全廠商都聲稱擁有下一代產(chǎn)品�。”但是這些說法并不總是很準(zhǔn)確,知道如何評估和遷移到下一代平臺才是至關(guān)重要的�����。
應(yīng)用感知
當(dāng)然��,細(xì)粒度應(yīng)用控制是遷移到下一代防火墻的一個很大的原因����。“在我們遷移到Palo Alto的防火墻后,給我們的網(wǎng)絡(luò)業(yè)務(wù)帶來了明顯的優(yōu)勢�����,”Neohapsis實(shí)驗(yàn)室安全顧問Andy Hubbard說道����,他此前擔(dān)任某加州醫(yī)院的IT經(jīng)理時參與了該技術(shù)的部署��,“在我們部署Palo Alto后�,我們很快在網(wǎng)絡(luò)上發(fā)現(xiàn)四個僵尸網(wǎng)絡(luò)和幾個流氓服務(wù)器�。在我們正確部署后,我們能夠輕松地保護(hù)我們的特殊醫(yī)療設(shè)備���。”
雖然更好的應(yīng)用感知和智能是下一代防火墻的很大的優(yōu)勢��,但這需要付出一些努力�。“你需要充分了解何時在防火墻規(guī)則集中使用應(yīng)用ID�,”Hubbard表示,“你需要知道哪些應(yīng)用使用了哪些協(xié)議�����,以及何時使用經(jīng)典的端口/協(xié)議方法更合適���,何時不合適。”
這并不是一個輕松的過程����,在遷移過程中,Hubbard較舊的Check Point防火墻帶來了麻煩。“我們花了四個月的時間來進(jìn)行遷移����,大部分的工作圍繞讓一大群人協(xié)調(diào)其工作,因?yàn)槊總€人都負(fù)責(zé)網(wǎng)絡(luò)不同部分的工作����,”他表示,“我們還有過時的網(wǎng)絡(luò)文檔影響著遷移�。與很多企業(yè)一樣,隨著時間的推移企業(yè)不斷壯大�����,我們的文檔已經(jīng)落后���。所以在你開始任何遷移工作之前����,請確保你更新了這些文件��,并確保你的網(wǎng)絡(luò)井然有序�����。”
應(yīng)用感知的能力也是楊百翰大學(xué)(BYU)夏威夷分校升級防火墻的主要原因。該學(xué)校有些應(yīng)用只在一年的特定時間運(yùn)行���,例如用于招生的應(yīng)用����。負(fù)責(zé)該項(xiàng)目的系統(tǒng)和網(wǎng)絡(luò)IT分析師Neal Moss希望對這些招生系統(tǒng)配備進(jìn)行適當(dāng)?shù)谋Wo(hù)����。他花了幾個月同時運(yùn)行其較舊的思科ASA 5500自適應(yīng)安全設(shè)備以及Palo Alto防火墻平臺,以確保新防火墻的可用性�。這是他們的第三次防火墻遷移,所以他知道該期待什么���。他說道:“我只是花時間確保正確配置了各種規(guī)則集����,并逐漸開放舊的防火墻�,直到我們能夠完全拋棄它。”
讓應(yīng)用感知“錦上添花”的是��,添加域或IP聲譽(yù)管理到防火墻活動中�����。這是通過在互聯(lián)網(wǎng)放置傳感器�,以及對域名或IP源地址進(jìn)行白名單以及黑名單處理來完成的。“域名聲譽(yù)工具并不完美����,”硅谷AVOA公司前任首席信息官,現(xiàn)任戰(zhàn)略顧問Tim Crawford表示���,“說真的����,這只是整個威脅預(yù)防的一個方面��。”
楊百翰大學(xué)夏威夷分校對域名聲譽(yù)有不同的看法��。在今年遭受嚴(yán)重攻擊后���,該大學(xué)希望能夠隔離其服務(wù)器到獨(dú)立的安全區(qū)���,當(dāng)時他們對幾個下一代防火墻進(jìn)行了評估。Moss表示:“我們希望確保數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器位于不同的安全區(qū)域��,并且它們只能與對方通信��,如果我們的服務(wù)器受到攻擊,我們的數(shù)據(jù)庫仍然完好無損��。”
難以淘汰和更換
現(xiàn)有防火墻如何被使用(或者更準(zhǔn)確地說���,被誤用)可能導(dǎo)致遷移問題��。在某些情況下����,企業(yè)過于依賴其防火墻����,通常是將防火墻作為其唯一的網(wǎng)絡(luò)路由基礎(chǔ)設(shè)施--沒有邊緣路由器。Hubbard表示:“這導(dǎo)致我們難以淘汰和替換它們����。”
部署下一代防火墻可能帶來技術(shù)更換、網(wǎng)絡(luò)設(shè)置變更和安全政策的問題����。遷移整個企業(yè)防火墻是一個復(fù)雜的過程,因?yàn)樯婕昂芏嘁苿硬考?�,Hubbard說道���,“還有一些有悖常理的事情���,并且這兩個系統(tǒng)間存在差異,例如網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)計(jì)和服務(wù)質(zhì)量規(guī)則�。”傳統(tǒng)防火墻管理員習(xí)慣于阻止入站威脅,而對于下一代管理員����,你需要更密切地關(guān)注出站接口。
根據(jù)Gartner的Maiwald表示�,這里的例子就是,一些公司使用IPS作為監(jiān)控其防火墻的狀況的工具�,這樣他們就可以培養(yǎng)獨(dú)立的人員來處理每個設(shè)備。較終����,整合它們也不會是太困難的事情。
堅(jiān)持你現(xiàn)有的供應(yīng)商�,并升級到較新的下一代防火墻,可疑避免復(fù)雜性問題�����。這正是Heart研究所IT主管Chris LaBlew對其思科ASA防火墻的做法�����。他遷移到思科ASA CX內(nèi)容感知安全模型,因?yàn)樗嘈潘伎?,不想要任何停機(jī)時間,另外����,他表示,“我們沒有添加新設(shè)備到我們現(xiàn)有的思科基礎(chǔ)設(shè)施���,例如交換機(jī)和VPN�����,而且�����,我們已經(jīng)有工作人員知道如何使用它們����。這里并不需要太多的學(xué)習(xí)曲線來使用CX下一代功能�����。”
但是,這種復(fù)雜性有時候與實(shí)際技術(shù)無關(guān)����。“應(yīng)用控制的問題并不是技術(shù)問題���,但I(xiàn)T經(jīng)理需要了解其影響和后果��,”Maiwald表示�,“你可能會無意中阻止你員工訪問Facebook游戲���。在理想情況下��,IT應(yīng)該密切與人力資源及管理層協(xié)調(diào)����,以確保政策的正確部署���。”
再有就是整體成本���。“有些企業(yè)不能解釋這些功能增加的費(fèi)用,并且,現(xiàn)在網(wǎng)絡(luò)更虛擬化的環(huán)境增加了其信息安全結(jié)構(gòu)的復(fù)雜性����,”Crawford表示,“傳統(tǒng)的防火墻技術(shù)根本不能擴(kuò)展到云計(jì)算����。”
然而,根據(jù)你的許可證要求的不同�����,這實(shí)際上可以花費(fèi)更少:在楊百翰大學(xué)夏威夷分校��,替代其舊的防火墻和反惡意軟件較終的花費(fèi)更便宜��。Moss表示:“我們現(xiàn)在節(jié)省了維護(hù)費(fèi)用�。”
統(tǒng)一平臺替代品
遷移到下一代防火墻的替代方案之一就是部署統(tǒng)一威脅管理(UTM)工具,該工具結(jié)合了防火墻和IPS以及防病毒保護(hù)�。在近幾年,來自瞻博網(wǎng)絡(luò)����、Check Point、和其他供應(yīng)商的UTM已經(jīng)有所改進(jìn)���,整合了曾經(jīng)只在較昂貴的UTM產(chǎn)品中才有的相同的安全功能���。
然而�,UTM有其自身的缺陷��,包括吞吐量問題���,特別是在較大的網(wǎng)絡(luò)中。Maiwald表示:“當(dāng)UTM的防毒組件打開時����,設(shè)備的整體吞吐量會明顯下降。”
Hubbard表示同意:“UTM可能會提高延遲性�����,并讓企業(yè)更難以解決錯誤配置的組件�,而且,它們還有復(fù)雜的許可步驟�����。”
而有些下一代防火墻則可以提供出乎意料的高吞吐量�����。BYU的Moss驚訝的看到當(dāng)他升級防火墻后,性能明顯提高���。“即使運(yùn)行著防火墻和反惡意軟件檢查�,我們的新防火墻仍然驚人的快�����,”他表示���,“這個升級很值得�。”
LaBleu還發(fā)現(xiàn)��,調(diào)整其思科ASA CX單元的大小來處理互聯(lián)網(wǎng)流量水平是保持低延遲性的關(guān)鍵�。他建議說:“如果你有很多互聯(lián)網(wǎng)流量的話,確保不要使用太小的設(shè)備����。”
遷移到下一代防火墻的較大障礙是對未知的恐懼。Hubbard表示:“習(xí)慣可能是為什么人們還沒有升級其防火墻的較大癥結(jié)點(diǎn)�。”
LaBleu表示同意:“當(dāng)你部署任何新的技術(shù)時,總是很緊張�����,但下一代防火墻是一個值得的投資。”
