目前,防火墙仍是很多单位最重要的安全设备之一。但随着新型威胁造成的危害日益严重,有些类型的防火墙,特别是全状态数据包检测(SPI)已经开始过时,虽然有人认为这种说法有点儿夸张。
状态检测的问题在于它仅重视端口和IP地址。端口就像电路断路器一样:在重要的流量流过时,用它作为过滤标准显得过于笨拙。而且,IP地址没有与用户绑定,使得用户可以用一种完全不同的设备来逃避策略。
解决这个问题的关键在于:要重视用户,要重视用户所使用的应用程序以及用户用每一个应用程序正在做什么,尤其是那些容易被人利用其漏洞的应用程序。当前,80号端口的“阻止/准许”已经不够精细。甚至像“阻止/准许”社交软件(如Facebook)这样的操作也已经远远不够了。相反,防火墙必须支持准许用户从事与业务相关活动的策略,而不管他使用什么样的计算机。
当然,新技术绝不应当仅关注社交软件,公司使用的任何其它的web2.0软件,都应当包括其中。
下一代防火墙技术
下一代防火墙应当专注于应用程序、用户和活动,而不是端口和IP。它可以控制用户的操作,从而保障Web和电子邮件等的安全,并将其应用于所有应用程序。其次,下一代防火墙还应拥有反恶意软件技术,并在底层完全集成到防火墙中,从而避免单独的组件在扫描同样的内容时所造成的延迟。集成的必要性还由于当今威胁的复杂性。
避免延迟至关重要,因为防火墙必须足够快,其目的是在不损失性能的情况下准许所有的网络通信通过防火墙。理想情况下,这种集中化的控制还包括云和移动通信。相比之下,典型的UTM(统一威胁管理)解决方案太慢,因为它并没有完全地集成,只够中小型企业勉强使用。
每一个安全组件都应当是最优的。或者说,一群“平庸之辈”难成大事。下一代防火墙必须能够检测运行在SSL加密通信中的内容,或使用模糊技术,它必须建立在专用的特定硬件基础上。
下一代防火墙必须提供出色的透明性。在管理员设置策略之前,必须知道网络上正在发生什么,这对于当今的多数防火墙来说是很难实现的。它还必须提供杰出的精细度,同时还要提供诸如“不允许在网络上进行基于浏览器的即时通信”之类的高级策略。下一代防火墙还必须拥有极低的总拥有成本,要富有成效。
最后,下一代防火墙还必须能够随着当今网络所面临的威胁的变化不断演化,即公司需要投资于能够解决网络黑手正在和将要触及的诸多方面。
如何识别下一代防火墙
那么,怎样区分一种防火墙是否是下一代防火墙呢?
首先,它应当拥有独立的基于应用程序的策略,而不是拥有“双重”策略(基于应用程序和基于端口/IP)。下一步,你不妨访问一个Web2.0应用程序,如SharePoint,检查这个防火墙是否能够识别它的名字,而不是仅将其识别为Web通信。要在应用程序水平上测试防火墙,而不是在传统的“位”的基础上测试。
其次,如果厂商向你列示了每个安全组件的不同吞吐量或速率,如IPS、DLP、反病毒、防火墙等,而且每个组件的速度是在关闭其它组件的情况下测试的,就可断定,它集成得不太好。真正的下一代防火墙应当拥有一个统一的吞吐量数字。
当然,上述标准也许过于苛求,选用与否主要取决于防火墙所适用的信息安全需要和网络环境。