传统基于端口的企业防火墙目前防护性能越来越差,正在逐渐让位给新一代高效智能的防火墙。
所谓下一代防火墙(NGFW)指拥有对信息具有更高入侵防止能力的企业防火墙/ VPN。其可被认为拥有智能,可使用诸如互联网可靠分析等信息帮助进行恶意插件过滤或与Active Directory进行整合。
向NGFW转型真正实现需要多长时间呢?
成立于2007年的新兴公司Palo Alto Networks被认为是首家推出下一代防火墙安全设备的厂商。目前该公司的客户已经超过了2200名。Fortinet、思科、 Check Point,迈克菲和Barracuda Networks等厂商都在调整他们的防火墙产品以符合下一代防火墙的概念。此外,IPS(入侵阻止系统)厂商Sourcefire表示,他们明年将在具有应用识别的防火墙中整合IPS。尽管如此,目前这种新型防火墙的实际使得率还非常低。
市场研究机构Gartner在过去几年一直支持NGFW。Gartner分析师Greg Young称:“目前受NGFW保护的互联还不到1%,不过到2014年这一比率将上升至35%。”
不过,NGFW并不是一个科学术语,它只是一个纯粹的市场营销用语,因为它的定义还没有明确下来。目前也没有哪一家第三方独立实验室能够对所谓的NGFW进行测试。Fortinet 称,目前ICSA实验室正在讨论对多种NGFW产品进行可能的测试。这在很大程度上是因为目前NGFW没有明确的定义。虽然Gartner对NGFW有着自己的描述,但是他们也承认“一些厂商在应用控制上占有优势,另一些厂商在IPS上具有优势。目前大多数的防火墙厂商处于NGFW的初级阶段。Palo Alto是率先进入这一领域的厂商。”
随着IDC的统一威胁管理(UTM)概念的推出,新一代防火墙的描述变得更为混乱。IDC分析师Charles Kolodgy称,UTM与NGFW大体相似。不过Gartner认为IDC创造的UTM一词指只适用于小型和中型市场的设备,NGFW适用于1000名雇员以上的企业。
目前安全厂商已经认识到将多用途企业安全应用整合在一起的需求将会上升。
Fortinet 公司产品营销副总裁Patrick Bedwell 称:“市场趋势正在这一个方向发展。” Patrick在上周刚刚推出了该公司5000系列设备中的新成员Fortigate-5001B安全刀片,该产品吞吐量提升到了40Gbps,与以前8Gbps产品相比有了很大的飞越。他称随着威胁日趋复杂,重点应当放在应用控制上。老的防火墙已经跟不上这一趋势了。
FortiGate防火墙/VPN安全刀片可以识别1300个应用,可以根据用户对应用的使用习惯建立细微控制。此外,还可以对时间进行限制,对带宽进行管理。
目前已经有不少厂商加入到NGFW阵营中。迈克菲正在考虑将他们在去年六月份推出企业防火墙v. 8版进行升级以使其成为一款NGFW产品。
迈克菲产品营销和网络防御总监Greg Brown称:“我们正在重新设计应用引擎,新引擎可以让我们探测并监控1000多个应用。我们让新引擎具备可扩展性。我们每周都会进行应用升级。”
迈克菲企业防火墙v. 8版已经达到了10Gbps。为了获得更快的速度,迈克菲与Crossbeam系统公司展开了合作,以让他们的平台达到40Gbps。目前迈克菲正在致力于让他们的设备达到更快的速度。
无所不能,无所不知的防火墙真的拥有与独立IPS一样有效的IPS功能吗?Brown承认这是一个很难回答的问题,目前还没有对它们进行过独立的测试。他称:“我们的意图是让它们与独立的IPS一样有效。”
Brown称,由于普通的防火墙主要是关注IP网络范围,因此与普通的防火墙相比,NGFW是在应用控制方面进行工作,因此对于大多数客户来说这是一种新技术。
目前已经出现了整合微软Active Directory等功能的呼声,如根据授权应用建立用户团体。迄今为止,大多数迈克菲用户正在试用与部分应用,而不是全部应用有关的先进防火墙功能,以看一下策略控制的影响是什么。
24 Hour Fitness公司在美国和海外拥有超过400家俱乐部,他们在去年夏天开始部署Palo Alto Networks公司生产的具有应用识别功能的防火墙。
该公司IT运营和安全总监Justin Kwong称,换用Palo Alto的整合架构不仅成本合算,而且IT雇员通过使用诸如基于信誉的过滤等功能对正在发生什么有着更为清楚的认识。
公司正在利用Palo Alto与Active Directory的整合建立起关于雇员应用的策略控制。Kwong表示,目前策略还没有细化,他们正在学习关于应用控制的一些知识。与此同时,Kwong并不认为他的公司需要彻底转型为NGFW模式,原因是对应用识别控制的需求还没有出现在所有的和数据中心。
IDC分析师Kolodgy称,对基于应用的控制应该是有限度的使用,直到适应后再扩展它的使用范围。这是IDS向IPS过渡的方法。
此外,尽管NGFW代表着安全整合,但是Kwong对此却有所保留。他称,除了使用Palo Alto IPS功能外,他还准备继续使用开源的IPS作为“第二只眼睛”。他称:“我从来都不把所有的鸡蛋放在一个篮子里,我也从来不会只依赖于一个厂商。”
如果用户不在防火墙后,如带着笔记本电脑出差或使用移动设备,NGFW安全应用程度是多少呢?
Palo Alto Networks产品营销总裁Chris King称:“我们能够将道口扩展到用户不在网络上的电脑。” Palo Alto已经有了一个VPN客户端,其可以将用户的信息拖回客户的NGFW点,明年早期时候Palo Alto将提供称之为GlobalProtect的智能VPN客户端。这种智能VPN客户端知道用户在世界的哪个地方,将客户与最近的网关连接。King称:“管理大量网关需要一个网关层级制度,客户知道哪个网关距他们最近。”他称,这种功能在一定程度可以防止数据损失。
Palo Alto还表示,在信任环境中用户的桌面证书将被共享,他们将有能力根据可信任环境为数据包做SSL检查,而SSL检查则可以打开流入与流出的数据。King称:“我们打开它们是为了确定是否是一人被允许的应用,检查完后再重新加密。”