专家支招:选择下一代防火墙的5大注意事项

随着Web 2.0的广泛应用和Web化应用的爆发式增长,如今近三分之二的流量都是HTTP和HTTPS流量。Web 2.0应用的主要好处包括可增强协作能力,提高生产效率,以及更深入地了解客户和潜在客户的需求。尽管新应用带来了诸多好处,但也带来了新的安全威胁,并导致网络带宽消耗大幅增长。

过去,IT管理员只能过滤少量端口的内容,然后阻止其它端口的所有流量,从而避免所有可能的攻击载体入侵网络,这种时代已经过去。如今,IT和威胁格局日益复杂,因而企业需要更精准的IT控制能力。

对传统防火墙而言,Web应用看起来都差不多,都像是正常的HTTP和HTTPS流量,但IT管理员不会上当。对某个用户至关重要的生产力工具也许对另一名用户来说却存在威胁,且浪费时间。然而,传统的网络安全解决方案并不具备这种精准控制能力,也无法对所有流量进行仔细审查,对流量好坏进行分辨。最后导致企业应用极度混乱。

有效控制应用混乱对于保护网络远离Web 2.0威胁以及保留带宽至关重要。但如何分辨流量的好坏呢?如何能正确识别、分类和控制应用及网络带宽呢?

下一代防火墙简介

市场研究公司Gartner认为,下一代防火墙(NGFW)是一种集成式线速网络平台,可执行深度流量检测,阻止攻击。NGFW包含第一代防火墙的所有标准功能,即常见的网络功能,如网络地址转换(NAT)、包过滤和全状态包检测功能。

NGFW的主要特点是应用感知以及网络堆栈的完全可视化。NGFW不会像传统防火墙一样只依靠端口或协议来阻止流量,而是会根据深度包检测引擎识别到的流量在应用层执行网络安全策略。流量控制不再是单纯地阻止或允许特定应用,而是可用来管理带宽或优先排序应用层流量。深度流量检测让IT部门可针对单个应用组件执行细粒度策略。例如,可允许用户使用即时通讯客户端,但禁止文件共享。

NGFW还集成了网络入侵防御功能,这可不是在传统防火墙架构上简单添加入侵防御子系统这么简单。NGFW集成的入侵防御功能是安全引擎的核心组件,无需经多个独立的安全层传输同样的流量,从而提高了性能,增强了安全性。

动态应对变化多端的威胁是NGFW的另一大重要特点。设备的签名库将不断更新,用于识别新的威胁,更从容地应对不断升级的恶意软件。

选择NGFW的五大注意事项

Gartner研究公司建议企业在更换防火墙和/或入侵防御技术时,要求供应商提供NGFW解决方案。但是,当企业评估NGFW时,一些网络安全技术提供商会宣称其产品同样具备NGFW的功能。那么,真正的企业级NGFW应具备哪些功能呢?

第一,性能

Gartner表示,NGFW可在不影响网络运行的情况下在网络中进行嵌入式配置。换句话说,NGFW只会带来极低的网络延迟。而IPS与其它功能的紧密集成是实现这一点的关键。单通道引擎实现了无缝的策略部署和策略执行,而且不会给网络带来任何延迟或大幅降低性能。这一点非常重要,因为启用NGFW服务不应该导致网络运行中断。

第二,强大的扫描功能

与第一代防火墙相同,NGFW也集成了全状态检测功能。但NGFW与上一代产品的主要不同之处在于它支持深度包检测(DPI)功能。许多NGFW提供商都在大肆宣传DPI功能,但对这些产品的测试发现,DPI功能会大幅降低网络的安全防御能力。许多NGFW必须代理文件,才能在网关扫描文件并阻止恶意软件,这会给网络性能造成严重负面影响。为了避免出现网络中断,一些提供商选择直接允许数据包进入网络,而不对其进行扫描。

评估NGFW时,请选择具备以下功能的NGFW:

● 可扫描各种大小的文件,查找其中的病毒、恶意软件、僵尸网络和其它威胁

● 可解密、扫描和重新加密SSL数据包

● 可扫描穿越所有端口的原始TCP流量以及大量协议

第三,易管理性

随着企业开始重视多个站点的安全性,可扩展的、经验证的分布式管理解决方案对于实现安全性和提高投资回报率至关重要。

第四,应用智能、控制和可视化

NGFW有一大基本特点,即控制应用并优化网络中运行的流量。但是,如果NGFW不具备以下功能,也无法实现这一特点:

● 将应用智能和控制功能扩展至无线终端;

● 支持自定义应用;

● 实时查看网络情况;

● 根据不断扩展的签名库对应用进行扫描。

NGFW可不同程度地支持以上功能。为了确保网络得到正确、有效的保护,企业必须了解具体型号的NGFW具备和不具备的功能。

­ 强大的签名数据库:NGFW的有效性与可检测和控制的应用数量息息相关。

­ 实时可视化:显然,对于看不见的事情,企业无法实现控制和优化。评估NGFW时,企业必须考虑到NGFW是否支持实时查看应用和用户流量。

­ 对自定义应用的考量:尽管网络中有许多web应用企业希望及时纳入掌控,但大多数NGFW却无法控制贵公司的自定义应用。但是,要提高有效性,NGFW必须能够识别企业的自定义应用,并优先处理自定义应用,再处理其它流量。

­ 无线端点控制:企业网络边缘的无线端点数量正在不断增多。如果贵公司也面临这样的情况,请考虑使用NGFW,它可针对无线用户提供强大的应用智能、控制和可视化功能。只控制有线用户的流量,而无视大量使用无线网络的笔记本电脑的用户对企业来说毫无益处。

第五,经带扩展的NetFlow和IPFix报告的能力

NetFlow和IPFix是向外部收集程序报告网络流量的两大行业标准。NetFlow部署于交换机和路由器,可导出各种数据,如IP地址源和目的地、源端口和目标端口、3层协议类型和服务等级。IPFix和NetFlow版本9经扩展后,还可导出网络设备的其它数据,如应用数据、用户数据和URL数据。

总结

通过集成入侵防御、全状态检测和深度包检测功能,NGFW可帮助企业恢复对网络的控制。

SonicWALL下一代防火墙提供了:

● 应用智能 – SonicWALL可扫描所有网络流量,包括每个数据包的每个字节,通过了解哪些应用处于使用中以及哪些用户在使用这些应用,可实现完整的应用智能和控制功能,不管企业采用什么端口或协议。

● 应用控制 – 应用智能、控制和可视化增强了管理性和易用性,让IT管理员可实现对应用和用户的细粒度控制。管理员可根据预先定义的逻辑类别(如社交媒体或游戏)、个别应用或用户和用户组轻松创建带宽管理策略。

● 应用可视化 – 要正确控制网络使用,管理员必须能实时查看应用流量,并根据观察到的情况调整网络策略。SonicWALL Application Flow Monitor提供了有关应用、入口和出口带宽、访问的网站以及所有用户行为的实时图表。