下一代防火墙正跟上不断上升的威胁

很多人的注意力都集中在了上周的2012 RSA会议上,它将关于下一代防火墙(NGFW)以及如何让它在越来越复杂的计算机网络的威胁下变得越来越高级。一个分析者说,许多供应商将在旧金山会议期间公布NGFW,但是并非像下一代防火墙广告上说说的那样能够提供所有的解决方案。

Eric Hanselman说:“同任何项目一样,一旦占领市场,所有的事情就会很快传播开来。尽管这些入侵检测系统或防御系统(IDS/IPS),虚拟私人网络和网页应用程式防火墙和NGFW具有同样的特征,但是供应商正宣传其他功能,如SSL加速或WAN加速。”

Hanselman说NGFW的核心功能应该是保护网络不受外部或内部威胁。其它内容可能很好,但它不是核心功能。他举了一个汽车的例子。

他说:“新一代汽车会包括一些ABS和更精密的牵引力控制系统,这些事情都与开车有关,而不是那些空调或更好的音响系统。”

2011年12月Gartner报告的下一代防火墙是一个初期,但很快就扩展了这项技术的市场。据估计,在2011年底防火墙市场,包括 NGFW,会收入63亿美元。超过了2010年的59亿美元和2009年的54亿美元。这还有更多的增长机会,Gartner指出当前不到5%的网络连接是由NGFW保护的,但是到2014年,会增长到35%。

Gartner Magic Quadrant估计了NGFW市场,其显示大量的投机供应商集中分布在左下象限内。仅有的两家被确定为“领导者”在右上象限内,CheckPoint和Palo Alto,在去年秋天又介绍了NGFW。

在RSA上介绍NGFW的公司包括Stonesoft。它是一家根据Gartner的投机商,引进了Stonesoft安全引擎。公司将这个产品描述为“可变化的” NGFW,因为客户可以将其转换成传统的防火墙或下一代防火墙,一个2层防火墙,传统的IPS或下一代IPS,或提供VPN或统一威胁管理(UTM)保护。

美国Stonesoft产品管理团队的主任Matt McKinley说,安全引擎的特征是“语境意识”加强保护。这意味着防火墙可以基于应用、最终用户和数据包的深度检查评估连接的安全性。

这种产品的一般在4月份出现。McKinley 说,Stonesoft正试图解决一些企业遇到的问题并试着配置NGFW。

“我认为下一代防火墙和下一代IPS的可扩展性和可用性方面的功能要求还有很大的问题。我将目光转移到适应性、可扩展性、先进的威胁保护和…能够确保更明智的决定”, 他说。

在RSA上使用的还有Netronome,下一代防火墙的设计将基于流量处理器的设计引入网络流量管理(NFM)软件框架。公司称该框架将向NGFW传递IP安全协议(IPsec)、IPS和安全套接层检查功能。

Fortinet公司也有RSA的NGFW消息(FortiGate-3240C),它是一个多重安全保护,可以进行超过1900个独立应用的精细控制并提供了抵抗“先进持续威胁”的实时保护。更新一代的是FortiGate-5101C,它是一个集成了最新的FortiASIC处理器的安全刀片,可以加速FortiGate-5000系列ATCA相容系统的性能,包括FortiGate-5140B。

Fortinet说,最新下一代防火墙产品在Q2中是可以使用的,可以改变大企业、供应商在高性能网络安全中的动态。 该系统巨大的流通量和可扩展性给予了新的自由来开发和加强侵略性安全政策的范围,可以对用户和设备进行高进度控制,而不需要折中网络性能。

在2011年12月引入NGFW市场的Sourcefire也提供“语境意识”保护。Tufin科技公司在2011年9月引入了Tufin安全套装6.0,可以使IT安全管理员直接在管理工具上设置和定义NGFW。F5 Networks在上个月引入了新的数据中心防火墙装置。

451集团的Hanselman说,防火墙必须适应不断扩大的网络威胁。以SQL 注入式攻击为例。当一个SQL数据库的进入询问出现时会造成SQL 注入式攻击,它看似合法,但是攻击者可以进入数据库的其他部分和网络以对它进行控制。入侵者可以利用它来执行SQL命令或者写入恶意软件、占用资源、发动攻击或者盗取数据。

NGFW可以密切扫描典型的HTTP传输,分离出可疑的SQL命令。

“NGFW可以密切扫描你的HTTP传输,它有一个特定的格式,并且…它知道何时发现一套SQL命令,然后就会突然意识到“嘿,这不是好了吗”,他说。”

Hanselman引用Juniper Networks SRX 和 Cisco Systems ASR作为密切扫描传输异常的工具。