虛擬化和SDN將增加防火墻安全復(fù)雜性

2013-10-14 16:25:25 EP電力信息化網(wǎng)　點擊量：評論 (0)

據(jù)國外媒體報道，在過去幾十年中，防火墻一直是互聯(lián)網(wǎng)的基于端口的守護(hù)者。而現(xiàn)在供應(yīng)商都在爭相推出所謂的下一代防火墻，因為這些應(yīng)用感知防火墻可以基于應(yīng)用程序使用來監(jiān)控和控制訪問。此外，很多防火墻中加入

據(jù)國外媒體報道，在過去幾十年中，防火墻一直是互聯(lián)網(wǎng)的基于端口的守護(hù)者。而現(xiàn)在供應(yīng)商都在爭相推出所謂的“下一代防火墻”，因為這些“應(yīng)用感知”防火墻可以基于應(yīng)用程序使用來監(jiān)控和控制訪問。

此外，很多防火墻中加入了越來越多的功能來試圖發(fā)現(xiàn)零日攻擊，包括入侵防御系統(tǒng)(IPS)、web過濾、VPN、數(shù)據(jù)丟失防護(hù)、惡意軟件過濾，甚至還有威脅檢測沙箱。對于單獨(dú)的IPS，因為其應(yīng)用控制，它可能被稱為“下一代IPS”，例如IBM Network Security Protection XGS 5000(網(wǎng)絡(luò)安全保護(hù)XGS 5000)或者M(jìn)cAfee NS系列。

防火墻/IPS供應(yīng)商競爭非常激烈，他們還推出更高的吞吐量來滿足速度的需求，因為經(jīng)歷“虛擬化”的數(shù)據(jù)中心需要在防火墻提供更高的帶寬。

供應(yīng)商們都渴望得到有影響力的Gartner等公司的贊賞，或者努力在技術(shù)評估測試中擊敗競爭對手，例如NSS實驗室或Neohapsis實驗室的測試。但其實，成敗的關(guān)鍵在于能否贏得Rusty Agee等買家的青睞，Rusty Agee是美國北卡羅來納州夏洛特市的信息安全工程師，他使用各種防火墻產(chǎn)品。

Agee表示：“防火墻已經(jīng)大大改進(jìn)了，”當(dāng)涉及防火墻和IPS的功能和速度時，“我總是想要更多。”

數(shù)據(jù)中心虛擬化、移動設(shè)備的激增以及該市部署“攜帶自己設(shè)備到工作場所(BYOD)”政策的計劃，都是Agee對可能用于保護(hù)各政府機(jī)構(gòu)數(shù)據(jù)的各種方法保持開放態(tài)度的原因。他指出，該市的消防部門和警察部門已經(jīng)開始使用平板電腦和智能手機(jī)，所以他現(xiàn)正需要考慮一個BYOD遷移政策。

該市使用移動設(shè)備的員工正在利用思科的AnyConnect客戶端來建立VPN類型的連接，連接回該市的思科ASA防火墻。除了思科防火墻與單獨(dú)的思科IPS，該市還使用Check Point防火墻和單獨(dú)的IPS來封鎖到關(guān)鍵服務(wù)器、數(shù)據(jù)中心、互聯(lián)網(wǎng)接入和該市無線網(wǎng)絡(luò)的流量。

另外，該市還使用Palo Alto Networks下一代防火墻來監(jiān)測和控制員工應(yīng)用程序使用。此外，該市利用F5 Networks應(yīng)用程序防火墻來尋找針對web服務(wù)器的攻擊流量。Agee表示，夏洛特市通過LogRhythm的安全信息和事件管理集中化了對這些安全設(shè)備的日志管理。

“我們的防火墻每天生成幾十萬日志到LogRhythm，”Agee表示，該市政府有時候也會收到來自聯(lián)邦的安全警報相關(guān)的feed。集中化防火墻和IPS日志feed，以及服務(wù)器日志，能夠幫助該市的安全人員從單點確定可能涉及攻擊的網(wǎng)絡(luò)安全問題，以及能夠被人力資源或管理更好地處理的員工web使用問題。

在一家企業(yè)中有如此混合的防火墻組合可能是特例，并不常見。Gartner分析師Greg Young在6月的Gartner安全與風(fēng)險管理峰會上表示，Gartner發(fā)現(xiàn)大多數(shù)公司只使用一家供應(yīng)商的產(chǎn)品。Gartner一直大力倡導(dǎo)使用下一代防火墻，對于下一代防火墻(NGFW)，Gartner估計，現(xiàn)在只有不到8%的企業(yè)使用NGFW，不過這個數(shù)字在五年內(nèi)預(yù)計將攀升至30%以上。

Young還指出，很明顯，SSL VPN已經(jīng)完全轉(zhuǎn)移到該防火墻中，不再作為單獨(dú)的獨(dú)立的SSL VPN產(chǎn)品。

事實上，防火墻和IPS似乎無處不在。其中一個例子是Fortinet Secure Wireless LAN，這基本上是一個集成到統(tǒng)一威脅管理設(shè)備(支持防火墻和IPS功能)的無線接入點和交換機(jī)。根據(jù)Fortinet營銷副總裁John Maddison表示，該產(chǎn)品在零售連鎖店很流行，它能夠以符合成本效益的方式幫助零售店獲得無線網(wǎng)絡(luò)覆蓋和安全保護(hù)。

連鎖餐廳Jack-in-the-Box最近在其數(shù)百家連鎖店部署了650臺FortiWiFi-60CS設(shè)備，這些設(shè)備結(jié)合了無線接入和防火墻/IPS。該公司IT主管Jim Antoshak表示，Jack-in-the-Box餐廳舊的無線點現(xiàn)在可以“退休”了，這些Fortinet設(shè)備將是緊湊型無線和安全的結(jié)合體。

一個論據(jù)?

業(yè)界的辯論主要圍繞兩個問題：多用途防火墻/IPS能否像獨(dú)立設(shè)備那么有效?交換機(jī)或路由器內(nèi)的安全模塊呢?

與思科和瞻博網(wǎng)絡(luò)一樣，惠普提供針對防火墻和入侵防御的安全模塊，這種安全模塊可用于該供應(yīng)商的交換機(jī)和路由器中。但惠普TippingPoint副總裁兼企業(yè)安全產(chǎn)品總經(jīng)理Rob Greer表示，當(dāng)涉及入侵防御時，惠普看到的主要部署仍然是專門的獨(dú)立的設(shè)備。他指出，從性能和細(xì)粒度控制來看，這通常被認(rèn)為是惠普下一代應(yīng)用感知IPS的最佳方法。

思科網(wǎng)絡(luò)安全和產(chǎn)品營銷高級主管Mike Nielsen表示，思科銷售的大部分防火墻和IPS產(chǎn)品是“專用安全設(shè)備”。其A

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊