虛擬化和SDN將增加防火墻安全復雜性

2013-10-14 16:25:25 EP電力信息化網　點擊量：評論 (0)

據國外媒體報道，在過去幾十年中，防火墻一直是互聯網的基于端口的守護者。而現在供應商都在爭相推出所謂的下一代防火墻，因為這些應用感知防火墻可以基于應用程序使用來監控和控制訪問。此外，很多防火墻中加入

據國外媒體報道，在過去幾十年中，防火墻一直是互聯網的基于端口的守護者。而現在供應商都在爭相推出所謂的“下一代防火墻”，因為這些“應用感知”防火墻可以基于應用程序使用來監控和控制訪問。

此外，很多防火墻中加入了越來越多的功能來試圖發現零日攻擊，包括入侵防御系統(IPS)、web過濾、VPN、數據丟失防護、惡意軟件過濾，甚至還有威脅檢測沙箱。對于單獨的IPS，因為其應用控制，它可能被稱為“下一代IPS”，例如IBM Network Security Protection XGS 5000(網絡安全保護XGS 5000)或者McAfee NS系列。

防火墻/IPS供應商競爭非常激烈，他們還推出更高的吞吐量來滿足速度的需求，因為經歷“虛擬化”的數據中心需要在防火墻提供更高的帶寬。

供應商們都渴望得到有影響力的Gartner等公司的贊賞，或者努力在技術評估測試中擊敗競爭對手，例如NSS實驗室或Neohapsis實驗室的測試。但其實，成敗的關鍵在于能否贏得Rusty Agee等買家的青睞，Rusty Agee是美國北卡羅來納州夏洛特市的信息安全工程師，他使用各種防火墻產品。

Agee表示：“防火墻已經大大改進了，”當涉及防火墻和IPS的功能和速度時，“我總是想要更多。”

數據中心虛擬化、移動設備的激增以及該市部署“攜帶自己設備到工作場所(BYOD)”政策的計劃，都是Agee對可能用于保護各政府機構數據的各種方法保持開放態度的原因。他指出，該市的消防部門和警察部門已經開始使用平板電腦和智能手機，所以他現正需要考慮一個BYOD遷移政策。

該市使用移動設備的員工正在利用思科的AnyConnect客戶端來建立VPN類型的連接，連接回該市的思科ASA防火墻。除了思科防火墻與單獨的思科IPS，該市還使用Check Point防火墻和單獨的IPS來封鎖到關鍵服務器、數據中心、互聯網接入和該市無線網絡的流量。

另外，該市還使用Palo Alto Networks下一代防火墻來監測和控制員工應用程序使用。此外，該市利用F5 Networks應用程序防火墻來尋找針對web服務器的攻擊流量。Agee表示，夏洛特市通過LogRhythm的安全信息和事件管理集中化了對這些安全設備的日志管理。

“我們的防火墻每天生成幾十萬日志到LogRhythm，”Agee表示，該市政府有時候也會收到來自聯邦的安全警報相關的feed。集中化防火墻和IPS日志feed，以及服務器日志，能夠幫助該市的安全人員從單點確定可能涉及攻擊的網絡安全問題，以及能夠被人力資源或管理更好地處理的員工web使用問題。

在一家企業中有如此混合的防火墻組合可能是特例，并不常見。Gartner分析師Greg Young在6月的Gartner安全與風險管理峰會上表示，Gartner發現大多數公司只使用一家供應商的產品。Gartner一直大力倡導使用下一代防火墻，對于下一代防火墻(NGFW)，Gartner估計，現在只有不到8%的企業使用NGFW，不過這個數字在五年內預計將攀升至30%以上。

Young還指出，很明顯，SSL VPN已經完全轉移到該防火墻中，不再作為單獨的獨立的SSL VPN產品。

事實上，防火墻和IPS似乎無處不在。其中一個例子是Fortinet Secure Wireless LAN，這基本上是一個集成到統一威脅管理設備(支持防火墻和IPS功能)的無線接入點和交換機。根據Fortinet營銷副總裁John Maddison表示，該產品在零售連鎖店很流行，它能夠以符合成本效益的方式幫助零售店獲得無線網絡覆蓋和安全保護。

連鎖餐廳Jack-in-the-Box最近在其數百家連鎖店部署了650臺FortiWiFi-60CS設備，這些設備結合了無線接入和防火墻/IPS。該公司IT主管Jim Antoshak表示，Jack-in-the-Box餐廳舊的無線點現在可以“退休”了，這些Fortinet設備將是緊湊型無線和安全的結合體。

一個論據?

業界的辯論主要圍繞兩個問題：多用途防火墻/IPS能否像獨立設備那么有效?交換機或路由器內的安全模塊呢?

與思科和瞻博網絡一樣，惠普提供針對防火墻和入侵防御的安全模塊，這種安全模塊可用于該供應商的交換機和路由器中。但惠普TippingPoint副總裁兼企業安全產品總經理Rob Greer表示，當涉及入侵防御時，惠普看到的主要部署仍然是專門的獨立的設備。他指出，從性能和細粒度控制來看，這通常被認為是惠普下一代應用感知IPS的最佳方法。

思科網絡安全和產品營銷高級主管Mike Nielsen表示，思科銷售的大部分防火墻和IPS產品是“專用安全設備”。其A