应对安全之变解析下一代防火墙选型技巧

在这个快节奏的社会,产品与技术升级换代的速度越来越快,而安全问题同样如此,目前,企业信息化程度在不断加深,各种业务的应用也越来越广泛,随着云安全、BYOD趋势、APT攻击等趋势的迅猛发展,企业所面临的安全风险越来越复杂,有别于之前所需要应对的单一的网络攻击,传统网络安全威胁进入了一个新的阶段,而随之而来的,则是传统防火墙面对此类问题的“捉襟见肘”。

传统防火墙能提供L3/L4的安全防护,随着各类的应用成为每个企业的重要组成部分,对于L7(应用层)的需求也成为防火墙的强制性要求,在传统防火墙无法满足条件的情况下,下一代防火墙应运而生。

目前网络上可搜索到的下一代防火墙产品很多,虽然概念不一但总结起来有以下要素:第一,下一代防火墙可根据应用行为和特征实现对应用的识别和控制;第二它涵盖了传统防火墙、UTM、IPS的主要功能;第三,具备智能的流量管理控制和策略配合。

除了对L7(应用层)的需求提出了强制性要求之外,下一代防火墙还需要超越应用的可视性,它们要实现用户可视性(身份识别)和应用可视性的无缝对接,以便创建合适的安全配置文件/策略、应用流量智能管理以及推动网络优化。在此之上,下一代防火墙要先解决已知的安全威胁/签名和提供恶意软件保护的未知/混合的安全威胁。

很显然,下一代防火墙在面对新的安全威胁时有着更强大的力量,可以帮助企业Hold住这些网络威胁,总之,现在企业已经开始尝试重构其网络防御体系,适时部署适合自己的下一代防火墙产品。那么企业在重构和部署时,如何选型NGWF呢?

企业在选型下一代防火墙时应该从自身的需要角度出发,在提供应用识别、访问控制,入侵防御等基本功能的基础上,衡量升级的及时性、管理界面的友好度、技术支持能力是否满足需求指标。下面是一些关键的考虑因素供企业用户参考,具体包括:

•分布式架构——部署需考虑的远程站点数量。

•L3/L4网络安全——IDS/IPS,用户验证,网络访问控制

•恶意软件保护——AV引擎,Web过滤

•端到端代理——把云基础的Web安全和NG装置整合起来

•L7应用检测——应用,子应用,地理位置,嵌入式内容(匿名)

•智能流量管理——链接均衡/支持多ISP链接,包括3G/UMTS接入

•网络优化——流量控制,TCP流量优化,压缩和缓存

•集中式管理——分布式地址,多用户,多管理员角色,粒度报告和实时监控

在这里需要提醒大家的是,除了产品的功能,下一代防火墙在应对复杂安全风险时必须考虑的关键点是对防火墙的持续管理。在许多情况下,发生安全事故仅仅是由于防火墙的错误配置,而且这个比例还不在少数。而网络管理的因素也是企业在选择时需要考虑的,如果防火墙的数量较多,例如在大型网络的很多区域或者很多点都部署防火墙设备,那么每一台设备维护的成本和可操作性都需要考虑。

无论是中国还是世界各地,下一代防火墙的发展方向都将是如何提升其执行效率,如何将其与最新的云安全和应用服务相结合,如何对L7 DDoS攻击做出响应,如何提供恶意软件保护抵御混合式攻击,以及能继续有效的执行所有L3/L4网络安全功能同时扩大网络的需求及其复杂度,因此我们有理由对下一代防火墙的未来充满信心。