在過去幾十年中�,防火墻一直是互聯網的基于端口的守護者。而現在供應商都在爭相推出所謂的“下一代防火墻”�,因為這些“應用感知”防火墻可以基于應用程序使用來監(jiān)控和控制訪問。
此外�,很多防火墻中加入了越來越多的功能來試圖發(fā)現零日攻擊,包括入侵防御系統(tǒng)IPS���、web過濾�����、VPN���、數據丟失防護����、惡意軟件過濾�����,甚至還有威脅檢測沙箱����。對于單獨的IPS,因為其應用控制��,它可能被稱為“下一代IPS”����,例如IBM Network Security Protection XGS 5000網絡安全保護XGS 5000或者McAfee NS系列�。
防火墻/IPS供應商競爭非常激烈,他們還推出更高的吞吐量來滿足速度的需求�����,因為經歷“虛擬化”的數據中心需要在防火墻提供更高的帶寬。
供應商們都渴望得到有影響力的Gartner等公司的贊賞���,或者努力在技術評估測試中擊敗競爭對手�����,例如NSS實驗室或Neohapsis實驗室的測試��。但其實�,成敗的關鍵在于能否贏得Rusty Agee等買家的青睞�,Rusty Agee是美國北卡羅來納州夏洛特市的信息安全工程師,他使用各種防火墻產品���。
Agee表示:“防火墻已經大大改進了���,”當涉及防火墻和IPS的功能和速度時,“我總是想要更多���?!?/p>
數據中心虛擬化�、移動設備的激增以及該市部署“攜帶自己設備到工作場所BYOD”政策的計劃,都是Agee對可能用于保護各政府機構數據的各種方法保持開放態(tài)度的原因�。他指出�,該市的消防部門和警察部門已經開始使用平板電腦和智能手機����,所以他現正需要考慮一個BYOD遷移政策。
該市使用移動設備的員工正在利用思科的AnyConnect客戶端來建立VPN類型的連接�����,連接回該市的思科ASA防火墻����。除了思科防火墻與單獨的思科IPS,該市還使用Check Point防火墻和單獨的IPS來封鎖到關鍵服務器���、數據中心����、互聯網接入和該市無線網絡的流量�。
另外,該市還使用Palo Alto Networks下一代防火墻來監(jiān)測和控制員工應用程序使用�。此外,該市利用F5 Networks應用程序防火墻來尋找針對web服務器的攻擊流量�。Agee表示���,夏洛特市通過LogRhythm的安全信息和事件管理集中化了對這些安全設備的日志管理��。
“我們的防火墻每天生成幾十萬日志到LogRhythm����,”Agee表示,該市政府有時候也會收到來自聯邦的安全警報相關的feed�����。集中化防火墻和IPS日志feed�,以及服務器日志,能夠幫助該市的安全人員從單點確定可能涉及攻擊的網絡安全問題����,以及能夠被人力資源或管理更好地處理的員工web 使用問題。
在一家企業(yè)中有如此混合的防火墻組合可能是特例��,并不常見����。Gartner分析師Greg Young在6月的Gartner安全與風險管理峰會上表示,Gartner發(fā)現大多數公司只使用一家供應商的產品���。Gartner一直大力倡導使用下一代防火墻��,對于下一代防火墻NGFW����,Gartner估計,現在只有不到8%的企業(yè)使用NGFW����,不過這個數字在五年內預計將攀升至30%以上。
Young還指出��,很明顯��,SSL VPN已經完全轉移到該防火墻中���,不再作為單獨的獨立的SSL VPN產品�。
事實上��,防火墻和IPS似乎無處不在��。其中一個例子是Fortinet Secure Wireless LAN���,這基本上是一個集成到統(tǒng)一威脅管理設備支持防火墻和IPS功能的無線接入點和交換機��。根據Fortinet營銷副總裁John Maddison表示����,該產品在零售連鎖店很流行�,它能夠以符合成本效益的方式幫助零售店獲得無線網絡覆蓋和安全保護。
連鎖餐廳Jack-in-the-Box最近在其數百家連鎖店部署了650臺FortiWiFi-60CS設備��,這些設備結合了無線接入和防火墻 /IPS��。該公司IT主管Jim Antoshak表示��,Jack-in-the-Box餐廳舊的無線點現在可以“退休”了����,這些Fortinet設備將是緊湊型無線和安全的結合體。
一個論據?
業(yè)界的辯論主要圍繞兩個問題:多用途防火墻/IPS能否像獨立設備那么有效?交換機或路由器內的安全模塊呢?
與思科和瞻博網絡一樣�����,惠普提供針對防火墻和入侵防御的安全模塊���,這種安全模塊可用于該供應商的交換機和路由器中�。但惠普TippingPoint 副總裁兼企業(yè)安全產品總經理Rob Greer表示���,當涉及入侵防御時�����,惠普看到的主要部署仍然是專門的獨立的設備��。他指出����,從性能和細粒度控制來看,這通常被認為是惠普下一代應用感知 IPS的最佳方法�����。
思科網絡安全和產品營銷高級主管Mike Nielsen表示����,思科銷售的大部分防火墻和IPS產品是“專用安全設備”。其Adaptive Security Appliance系列中的ASA 5585-X系列據稱具有40Gbps防火墻吞吐量�,Nielsen表示在IPS這可以提高到80Gbps,IPS還包含一個應用控制功能����,根據 Gartner的定義,這是它被稱為“下一代防火墻”的最重要的元素�����。
Sourcefire公司技術研究組安全策略副總裁Jason Brvenik認為,“在企業(yè)應對不斷變化的最新威脅時��,專用設備能夠給你更多自由��?��!?/p>
Check Point產品營銷主管Fred Kost表示,需要高吞吐量和低延遲性的客戶通常會選擇專用功能����。但他指出,中小企業(yè)客戶經常發(fā)現多用途防火墻網關和統(tǒng)一威脅管理設備已經夠用�����。 Check Point也在爭奪“下一代”的稱號���,該公司最近就增加了“威脅仿真刀片”作為防火墻模塊��。威脅仿真刀片可以安全地“引爆”沙箱中的文件�����,試圖發(fā)現零日攻擊����。它采用了與Palo Alto在其下一代防火墻中Wildfire威脅檢測相同的方法。
現在�,沙箱的想法正在迎頭趕上。例如�,McAfee最近收購了防火墻/VPN/IPS供應商Stonesoft以及ValidEdge來加強其沙箱技術。
NSS實驗室分析師Iben Rodriguez表示�����,對防火墻和IPS的測試表明�����,在防火墻上運行多個安全服務必然會對性能和效率帶來不好的影響�����。Neohapsis實驗室研究主管 Scott Behrens對這個問題總結了一個常識性的方法:“如果我是買家����,我會問,‘這個捆綁包能否滿足我的企業(yè)需求?’”
在猶他州的Weber縣政府����,Matt Mortensen是奧格登市的信息安全官���,當地的防火墻/IPS吞吐量需求不超過約10Gbps。多功能戴爾SonicWall Network Security Appliance E8500模型與IPS�����、URL過濾及殺毒軟件一直能夠很好地支持該縣1200名員工使用的網絡��,最近他們計劃升級到更強大的SonixWall 9400���。該縣還部署了幾個思科ASA,包括思科ASA 5505防火墻—專門用于與法律執(zhí)法相關的操作��,例如電信竊聽數據�。
SonicWall防火墻的一些非常有價值的用途是:出于安全原因通過應用程序控制來阻止Skype或甚至Java,Mortensen還使用SonicWall來限制帶寬��。
“我還執(zhí)行IP過濾�����,不允許用戶訪問某些地方���,例如東歐�、南美或中國,”Mortensen指出猶他州與這些地方沒有業(yè)務往來���,因而我們出于安全考慮對其進行阻止�。該縣還執(zhí)行入站地理IP過濾�����。Mortensen還設置了防火墻來進行出口過濾�����,以查看僵尸活動的跡象�。
互聯網的世界現在很危險,很多大學也開始采取安全措施��。去年四月����,麻省理工學院MIT在收到一個假的炸彈威脅后決定部署安全策略。
“現在����,MIT網絡上的系統(tǒng)每天都會受到來自世界各地成千上萬的未經授權連接��,這導致MIT每天都會新增10個被盜用戶賬號����,”MIT向其學術委員會解釋說��,MIT將基于防火墻基礎設施來開始阻止來自MIT網絡外部的流量�����。
防火墻和IPS在未來將無法滿足需求?
防火墻和IPS可以說是“多才多藝”�����,不僅可以作為硬件設備���,還可以作為軟件,有時候它們專門旨在推動安全性到虛擬桌面和服務器環(huán)境中—主要基于 VMware�、微軟Hyper-V、Red Hat的內核虛擬機KVM或者開源Xen管理程序最近Citrix將其捐贈給Linux基金會��。讓一些防火墻軟件沮喪的是���,在過去幾年��,VMware通過其自己的基于軟件的虛擬防火墻控制也加入了這個陣營�����。
Check Point公司的Kost承認�,“虛擬化正在帶來新的挑戰(zhàn),我們現在看到的是���,他們需要更多防火墻����,”他指出�,Check Point 21000和61000代表著Check Point正在推動支持基于VMware的網絡。另外VMware本身有“VCloud網絡和安全”可用于建立基于VM的防火墻�����。
Sourcefire公司技術研究組安全策略副總裁Jason Brvenik表示���,所有這一切都提出了一個問題��,現在究竟誰在掌控防火墻和IPS領域���。
基于虛擬機的方法來進行防火墻和IPS正在不斷增加
上個月����,WatchGuard剛剛向其XTMv統(tǒng)一威脅管理平臺增加了Hyper-V支持�����。瞻博網絡產品和策略副總裁Karim Toubba堅持認為“防火墻現在應該是虛擬形式�����,它不再是以前的形式����,”并指出瞻博網絡的方法支持KVM和VMware?��!巴鈬呀涀兊煤苡袕椥?����,在私有云環(huán)境中,我們希望防火墻更具彈性���?�!?/p>
Nielsen表示思科有ASA 1000-V Cloud Firewall��。Sourcefire今年春天推出了其第一款下一代防火墻FirePower����,該公司也開發(fā)了一種方法來過濾來自Xen、KPM和 VMware工作負載環(huán)境的管理程序流量��。但他承認���,與更傳統(tǒng)的IPS相比�,這可能存在一些性能挑戰(zhàn)���。
Palo Alto Networks公司Chris King表示��,越來越多的客戶開始同時使用其物理和虛擬化下一代防火墻��。
但是�,NSS實驗室分析師John Pirc警告說��,基于管理程序的防火墻和IPS仍然相當新���,有個問題是防火墻/IPS供應商并不總是支持多虛擬化平臺���。NSS實驗室可能今年會在其實驗室測試基于虛擬機的安全性���。
然而,根據Gartner表示�����,虛擬化防火墻只占整個防火墻的5%不到���。Young表示��,虛擬化防火墻在特定情況下會讓事情變復雜����,即關于它們應該由網絡運營組還是服務器運營組來管理的問題�����。他指出:“在這個虛擬版本中�����,存在誰管理什么的復雜性����。”
企業(yè)正在不斷將數據以及數據處理發(fā)送到云服務供應商的網絡--這有可能是平臺即服務�、基礎設施即服務,或者軟件即服務�,這種云計算的興起也引起了大家對防火墻和IPS的未來的思考。現在�����,你在云服務例如亞馬遜所做的操作與你在企業(yè)內部的操作鮮少有聯系����,并且,現在防火墻和IPS主要位于企業(yè)內部���。
與此同時����,安全行業(yè)還要應對軟件定義網絡的出現和CloudStack及OpenStack的使用��。
“這是一個顛覆性的轉變�,”Toubba認為��,他還指出瞻博網絡認為基于軟件的防火墻等其他安全服務可以部署到SDN和云計算技術����。
初創(chuàng)公司Bromium創(chuàng)始人兼首席技術官Simon Crosby在XenSource被Ctrix收購前�,他曾任該公司XenSource創(chuàng)始人兼首席技術官并不認為傳統(tǒng)防火墻和IPS或者“下一代”什么是答案。他表示�����,公共云技術和OpenStack是推動事情突破的主要力量��。
Crosby指出����,安全行業(yè)已經大范圍“破產”,并且供應商在“撒謊”���,他警告說“任何斷言可以檢測到攻擊者的技術都是存在問題的���。”他認為更好地實現虛擬機安全的方法將通過基于CPU保護和“硬件隔離”來實現����,“硬件隔離”是以一種新穎的方式利用內置英特爾和ARM芯片安全功能��。Bromium的 vSentry虛擬化安全運作方式正如虛擬機內的虛擬機�����,對于windows的攻擊代碼,先隔離再“丟棄”��。
這種新想法是否能夠發(fā)揮作用仍然有待觀察���。
Gartner的Young表示�,即將到來的SDN技術并不意味著物理交換機將退出歷史舞臺��,他指出�����,這種不成熟的網絡形式將為通過控制器編排應用程序和自動化服務鏈帶來新的方式��。然而�����,問題是這種技術肯定會影響現在防火墻的運作方式�����,目前并沒有針對SDN的堅實的安全模型,Young表示:“目前的SDN安全機制其實是子虛烏有����。”
來源:網界網
版權及免責聲明:凡本網所屬版權作品����,轉載時須獲得授權并注明來源“中國產業(yè)經濟信息網”,違者本網將保留追究其相關法律責任的權力��。凡轉載文章�,不代表本網觀點和立場。版權事宜請聯系:010-65363056�。
延伸閱讀
