在過(guò)去幾十年中,防火墻一直是互聯(lián)網(wǎng)的基于端口的守護(hù)者�。而現(xiàn)在供應(yīng)商都在爭(zhēng)相推出所謂的“下一代防火墻”,因?yàn)檫@些“應(yīng)用感知”防火墻可以基于應(yīng)用程序使用來(lái)監(jiān)控和控制訪問(wèn)��。
此外�����,很多防火墻中加入了越來(lái)越多的功能來(lái)試圖發(fā)現(xiàn)零日攻擊���,包括入侵防御系統(tǒng)IPS��、web過(guò)濾����、VPN��、數(shù)據(jù)丟失防護(hù)���、惡意軟件過(guò)濾���,甚至還有威脅檢測(cè)沙箱。對(duì)于單獨(dú)的IPS���,因?yàn)槠鋺?yīng)用控制�����,它可能被稱(chēng)為“下一代IPS”��,例如IBM Network Security Protection XGS 5000網(wǎng)絡(luò)安全保護(hù)XGS 5000或者M(jìn)cAfee NS系列�。
防火墻/IPS供應(yīng)商競(jìng)爭(zhēng)非常激烈,他們還推出更高的吞吐量來(lái)滿足速度的需求���,因?yàn)榻?jīng)歷“虛擬化”的數(shù)據(jù)中心需要在防火墻提供更高的帶寬���。
供應(yīng)商們都渴望得到有影響力的Gartner等公司的贊賞,或者努力在技術(shù)評(píng)估測(cè)試中擊敗競(jìng)爭(zhēng)對(duì)手�����,例如NSS實(shí)驗(yàn)室或Neohapsis實(shí)驗(yàn)室的測(cè)試����。但其實(shí),成敗的關(guān)鍵在于能否贏得Rusty Agee等買(mǎi)家的青睞�,Rusty Agee是美國(guó)北卡羅來(lái)納州夏洛特市的信息安全工程師,他使用各種防火墻產(chǎn)品�。
Agee表示:“防火墻已經(jīng)大大改進(jìn)了,”當(dāng)涉及防火墻和IPS的功能和速度時(shí)���,“我總是想要更多��?!?br>
數(shù)據(jù)中心虛擬化、移動(dòng)設(shè)備的激增以及該市部署“攜帶自己設(shè)備到工作場(chǎng)所BYOD”政策的計(jì)劃����,都是Agee對(duì)可能用于保護(hù)各政府機(jī)構(gòu)數(shù)據(jù)的各種方法保持開(kāi)放態(tài)度的原因���。他指出��,該市的消防部門(mén)和警察部門(mén)已經(jīng)開(kāi)始使用平板電腦和智能手機(jī)��,所以他現(xiàn)正需要考慮一個(gè)BYOD遷移政策��。
該市使用移動(dòng)設(shè)備的員工正在利用思科的AnyConnect客戶端來(lái)建立VPN類(lèi)型的連接���,連接回該市的思科ASA防火墻。除了思科防火墻與單獨(dú)的思科IPS��,該市還使用Check Point防火墻和單獨(dú)的IPS來(lái)封鎖到關(guān)鍵服務(wù)器��、數(shù)據(jù)中心�����、互聯(lián)網(wǎng)接入和該市無(wú)線網(wǎng)絡(luò)的流量。
另外�,該市還使用Palo Alto Networks下一代防火墻來(lái)監(jiān)測(cè)和控制員工應(yīng)用程序使用。此外��,該市利用F5 Networks應(yīng)用程序防火墻來(lái)尋找針對(duì)web服務(wù)器的攻擊流量�����。Agee表示��,夏洛特市通過(guò)LogRhythm的安全信息和事件管理集中化了對(duì)這些安全設(shè)備的日志管理����。
“我們的防火墻每天生成幾十萬(wàn)日志到LogRhythm,”Agee表示���,該市政府有時(shí)候也會(huì)收到來(lái)自聯(lián)邦的安全警報(bào)相關(guān)的feed���。集中化防火墻和IPS日志feed,以及服務(wù)器日志�,能夠幫助該市的安全人員從單點(diǎn)確定可能涉及攻擊的網(wǎng)絡(luò)安全問(wèn)題,以及能夠被人力資源或管理更好地處理的員工web使用問(wèn)題�。
在一家企業(yè)中有如此混合的防火墻組合可能是特例,并不常見(jiàn)��。Gartner分析師Greg Young在6月的Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)上表示,Gartner發(fā)現(xiàn)大多數(shù)公司只使用一家供應(yīng)商的產(chǎn)品��。Gartner一直大力倡導(dǎo)使用下一代防火墻����,對(duì)于下一代防火墻NGFW,Gartner估計(jì)����,現(xiàn)在只有不到8%的企業(yè)使用NGFW����,不過(guò)這個(gè)數(shù)字在五年內(nèi)預(yù)計(jì)將攀升至30%以上。
Young還指出��,很明顯���,SSL VPN已經(jīng)完全轉(zhuǎn)移到該防火墻中����,不再作為單獨(dú)的獨(dú)立的SSL VPN產(chǎn)品�����。
事實(shí)上,防火墻和IPS似乎無(wú)處不在��。其中一個(gè)例子是Fortinet Secure Wireless LAN�,這基本上是一個(gè)集成到統(tǒng)一威脅管理設(shè)備支持防火墻和IPS功能的無(wú)線接入點(diǎn)和交換機(jī)。根據(jù)Fortinet營(yíng)銷(xiāo)副總裁John Maddison表示��,該產(chǎn)品在零售連鎖店很流行����,它能夠以符合成本效益的方式幫助零售店獲得無(wú)線網(wǎng)絡(luò)覆蓋和安全保護(hù)。
連鎖餐廳Jack-in-the-Box最近在其數(shù)百家連鎖店部署了650臺(tái)FortiWiFi-60CS設(shè)備��,這些設(shè)備結(jié)合了無(wú)線接入和防火墻/IPS�����。該公司IT主管Jim Antoshak表示����,Jack-in-the-Box餐廳舊的無(wú)線點(diǎn)現(xiàn)在可以“退休”了,這些Fortinet設(shè)備將是緊湊型無(wú)線和安全的結(jié)合體����。
一個(gè)論據(jù)?
業(yè)界的辯論主要圍繞兩個(gè)問(wèn)題:多用途防火墻/IPS能否像獨(dú)立設(shè)備那么有效?交換機(jī)或路由器內(nèi)的安全模塊呢?
與思科和瞻博網(wǎng)絡(luò)一樣,惠普提供針對(duì)防火墻和入侵防御的安全模塊�����,這種安全模塊可用于該供應(yīng)商的交換機(jī)和路由器中。但惠普TippingPoint副總裁兼企業(yè)安全產(chǎn)品總經(jīng)理Rob Greer表示����,當(dāng)涉及入侵防御時(shí),惠普看到的主要部署仍然是專(zhuān)門(mén)的獨(dú)立的設(shè)備��。他指出�����,從性能和細(xì)粒度控制來(lái)看����,這通常被認(rèn)為是惠普下一代應(yīng)用感知IPS的最佳方法��。
思科網(wǎng)絡(luò)安全和產(chǎn)品營(yíng)銷(xiāo)高級(jí)主管Mike Nielsen表示�,思科銷(xiāo)售的大部分防火墻和IPS產(chǎn)品是“專(zhuān)用安全設(shè)備”。其Adaptive Security Appliance系列中的ASA 5585-X系列據(jù)稱(chēng)具有40Gbps防火墻吞吐量����,Nielsen表示在IPS這可以提高到80Gbps,IPS還包含一個(gè)應(yīng)用控制功能����,根據(jù)Gartner的定義����,這是它被稱(chēng)為“下一代防火墻”的最重要的元素�。
Sourcefire公司技術(shù)研究組安全策略副總裁Jason Brvenik認(rèn)為,“在企業(yè)應(yīng)對(duì)不斷變化的最新威脅時(shí)�����,專(zhuān)用設(shè)備能夠給你更多自由���?���!?br>
Check Point產(chǎn)品營(yíng)銷(xiāo)主管Fred Kost表示���,需要高吞吐量和低延遲性的客戶通常會(huì)選擇專(zhuān)用功能�。但他指出�����,中小企業(yè)客戶經(jīng)常發(fā)現(xiàn)多用途防火墻網(wǎng)關(guān)和統(tǒng)一威脅管理設(shè)備已經(jīng)夠用�。Check Point也在爭(zhēng)奪“下一代”的稱(chēng)號(hào)���,該公司最近就增加了“威脅仿真刀片”作為防火墻模塊。威脅仿真刀片可以安全地“引爆”沙箱中的文件�����,試圖發(fā)現(xiàn)零日攻擊���。它采用了與Palo Alto在其下一代防火墻中Wildfire威脅檢測(cè)相同的方法�����。
現(xiàn)在�,沙箱的想法正在迎頭趕上�。例如����,McAfee最近收購(gòu)了防火墻/VPN/IPS供應(yīng)商Stonesoft以及ValidEdge來(lái)加強(qiáng)其沙箱技術(shù)。
NSS實(shí)驗(yàn)室分析師Iben Rodriguez表示����,對(duì)防火墻和IPS的測(cè)試表明,在防火墻上運(yùn)行多個(gè)安全服務(wù)必然會(huì)對(duì)性能和效率帶來(lái)不好的影響�����。Neohapsis實(shí)驗(yàn)室研究主管Scott Behrens對(duì)這個(gè)問(wèn)題總結(jié)了一個(gè)常識(shí)性的方法:“如果我是買(mǎi)家,我會(huì)問(wèn)�,‘這個(gè)捆綁包能否滿足我的企業(yè)需求?’”
在猶他州的Weber縣政府,Matt Mortensen是奧格登市的信息安全官�����,當(dāng)?shù)氐姆阑饓?IPS吞吐量需求不超過(guò)約10Gbps���。多功能戴爾SonicWall Network Security Appliance E8500模型與IPS���、URL過(guò)濾及殺毒軟件一直能夠很好地支持該縣1200名員工使用的網(wǎng)絡(luò),最近他們計(jì)劃升級(jí)到更強(qiáng)大的SonixWall 9400��。該縣還部署了幾個(gè)思科ASA����,包括思科ASA 5505防火墻—專(zhuān)門(mén)用于與法律執(zhí)法相關(guān)的操作,例如電信竊聽(tīng)數(shù)據(jù)�。
SonicWall防火墻的一些非常有價(jià)值的用途是:出于安全原因通過(guò)應(yīng)用程序控制來(lái)阻止Skype或甚至Java,Mortensen還使用SonicWall來(lái)限制帶寬�。
“我還執(zhí)行IP過(guò)濾,不允許用戶訪問(wèn)某些地方,例如東歐�����、南美或中國(guó)���,”Mortensen指出猶他州與這些地方?jīng)]有業(yè)務(wù)往來(lái)���,因而我們出于安全考慮對(duì)其進(jìn)行阻止。該縣還執(zhí)行入站地理IP過(guò)濾����。Mortensen還設(shè)置了防火墻來(lái)進(jìn)行出口過(guò)濾,以查看僵尸活動(dòng)的跡象���。
互聯(lián)網(wǎng)的世界現(xiàn)在很危險(xiǎn)���,很多大學(xué)也開(kāi)始采取安全措施。去年四月����,麻省理工學(xué)院MIT在收到一個(gè)假的炸彈威脅后決定部署安全策略��。
“現(xiàn)在���,MIT網(wǎng)絡(luò)上的系統(tǒng)每天都會(huì)受到來(lái)自世界各地成千上萬(wàn)的未經(jīng)授權(quán)連接����,這導(dǎo)致MIT每天都會(huì)新增10個(gè)被盜用戶賬號(hào),”MIT向其學(xué)術(shù)委員會(huì)解釋說(shuō)�,MIT將基于防火墻基礎(chǔ)設(shè)施來(lái)開(kāi)始阻止來(lái)自MIT網(wǎng)絡(luò)外部的流量。
防火墻和IPS在未來(lái)將無(wú)法滿足需求?
防火墻和IPS可以說(shuō)是“多才多藝”��,不僅可以作為硬件設(shè)備���,還可以作為軟件����,有時(shí)候它們專(zhuān)門(mén)旨在推動(dòng)安全性到虛擬桌面和服務(wù)器環(huán)境中—主要基于VMware��、微軟Hyper-V���、Red Hat的內(nèi)核虛擬機(jī)KVM或者開(kāi)源Xen管理程序最近Citrix將其捐贈(zèng)給Linux基金會(huì)�����。讓一些防火墻軟件沮喪的是����,在過(guò)去幾年,VMware通過(guò)其自己的基于軟件的虛擬防火墻控制也加入了這個(gè)陣營(yíng)�����。
Check Point公司的Kost承認(rèn)�,“虛擬化正在帶來(lái)新的挑戰(zhàn),我們現(xiàn)在看到的是�,他們需要更多防火墻,”他指出����,Check Point 21000和61000代表著Check Point正在推動(dòng)支持基于VMware的網(wǎng)絡(luò)。另外VMware本身有“VCloud網(wǎng)絡(luò)和安全”可用于建立基于VM的防火墻��。
Sourcefire公司技術(shù)研究組安全策略副總裁Jason Brvenik表示�����,所有這一切都提出了一個(gè)問(wèn)題����,現(xiàn)在究竟誰(shuí)在掌控防火墻和IPS領(lǐng)域。
基于虛擬機(jī)的方法來(lái)進(jìn)行防火墻和IPS正在不斷增加
上個(gè)月���,WatchGuard剛剛向其XTMv統(tǒng)一威脅管理平臺(tái)增加了Hyper-V支持�。瞻博網(wǎng)絡(luò)產(chǎn)品和策略副總裁Karim Toubba堅(jiān)持認(rèn)為“防火墻現(xiàn)在應(yīng)該是虛擬形式�,它不再是以前的形式,”并指出瞻博網(wǎng)絡(luò)的方法支持KVM和VMware���?�!巴鈬呀?jīng)變得很有彈性��,在私有云環(huán)境中���,我們希望防火墻更具彈性?��!?br>
Nielsen表示思科有ASA 1000-V Cloud Firewall�����。Sourcefire今年春天推出了其第一款下一代防火墻FirePower�����,該公司也開(kāi)發(fā)了一種方法來(lái)過(guò)濾來(lái)自Xen��、KPM和VMware工作負(fù)載環(huán)境的管理程序流量��。但他承認(rèn)��,與更傳統(tǒng)的IPS相比��,這可能存在一些性能挑戰(zhàn)�。
Palo Alto Networks公司Chris King表示,越來(lái)越多的客戶開(kāi)始同時(shí)使用其物理和虛擬化下一代防火墻�。
但是,NSS實(shí)驗(yàn)室分析師John Pirc警告說(shuō)��,基于管理程序的防火墻和IPS仍然相當(dāng)新�����,有個(gè)問(wèn)題是防火墻/IPS供應(yīng)商并不總是支持多虛擬化平臺(tái)����。NSS實(shí)驗(yàn)室可能今年會(huì)在其實(shí)驗(yàn)室測(cè)試基于虛擬機(jī)的安全性。
然而���,根據(jù)Gartner表示��,虛擬化防火墻只占整個(gè)防火墻的5%不到�����。Young表示�����,虛擬化防火墻在特定情況下會(huì)讓事情變復(fù)雜��,即關(guān)于它們應(yīng)該由網(wǎng)絡(luò)運(yùn)營(yíng)組還是服務(wù)器運(yùn)營(yíng)組來(lái)管理的問(wèn)題��。他指出:“在這個(gè)虛擬版本中�����,存在誰(shuí)管理什么的復(fù)雜性�����?��!?br>
企業(yè)正在不斷將數(shù)據(jù)以及數(shù)據(jù)處理發(fā)送到云服務(wù)供應(yīng)商的網(wǎng)絡(luò)--這有可能是平臺(tái)即服務(wù)、基礎(chǔ)設(shè)施即服務(wù)���,或者軟件即服務(wù)����,這種云計(jì)算的興起也引起了大家對(duì)防火墻和IPS的未來(lái)的思考。現(xiàn)在���,你在云服務(wù)例如亞馬遜所做的操作與你在企業(yè)內(nèi)部的操作鮮少有聯(lián)系�����,并且�����,現(xiàn)在防火墻和IPS主要位于企業(yè)內(nèi)部�。
與此同時(shí)���,安全行業(yè)還要應(yīng)對(duì)軟件定義網(wǎng)絡(luò)的出現(xiàn)和CloudStack及OpenStack的使用���。
“這是一個(gè)顛覆性的轉(zhuǎn)變,”Toubba認(rèn)為����,他還指出瞻博網(wǎng)絡(luò)認(rèn)為基于軟件的防火墻等其他安全服務(wù)可以部署到SDN和云計(jì)算技術(shù)。
初創(chuàng)公司Bromium創(chuàng)始人兼首席技術(shù)官Simon Crosby在XenSource被Ctrix收購(gòu)前���,他曾任該公司XenSource創(chuàng)始人兼首席技術(shù)官并不認(rèn)為傳統(tǒng)防火墻和IPS或者“下一代”什么是答案����。他表示,公共云技術(shù)和OpenStack是推動(dòng)事情突破的主要力量����。
Crosby指出�����,安全行業(yè)已經(jīng)大范圍“破產(chǎn)”����,并且供應(yīng)商在“撒謊”,他警告說(shuō)“任何斷言可以檢測(cè)到攻擊者的技術(shù)都是存在問(wèn)題的�����?���!彼J(rèn)為更好地實(shí)現(xiàn)虛擬機(jī)安全的方法將通過(guò)基于CPU保護(hù)和“硬件隔離”來(lái)實(shí)現(xiàn),“硬件隔離”是以一種新穎的方式利用內(nèi)置英特爾和ARM芯片安全功能�。Bromium的vSentry虛擬化安全運(yùn)作方式正如虛擬機(jī)內(nèi)的虛擬機(jī)����,對(duì)于windows的攻擊代碼���,先隔離再“丟棄”���。
這種新想法是否能夠發(fā)揮作用仍然有待觀察。
Gartner的Young表示�����,即將到來(lái)的SDN技術(shù)并不意味著物理交換機(jī)將退出歷史舞臺(tái)�,他指出,這種不成熟的網(wǎng)絡(luò)形式將為通過(guò)控制器編排應(yīng)用程序和自動(dòng)化服務(wù)鏈帶來(lái)新的方式��。然而�����,問(wèn)題是這種技術(shù)肯定會(huì)影響現(xiàn)在防火墻的運(yùn)作方式��,目前并沒(méi)有針對(duì)SDN的堅(jiān)實(shí)的安全模型�����,Young表示:“目前的SDN安全機(jī)制其實(shí)是子虛烏有?���!?/p>
來(lái)源:網(wǎng)界網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”�����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力�。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)����。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056��。
延伸閱讀
