安全硬件:次世代防火墙具备六功能

  作者:畅享网
2010/1/21 11:29:14
随着网络安全威胁的手法越来越多,传统防火墙功能早就已经有鞭长莫及之感。在这样的状况下,逐渐出现称作次世代防火墙(Next Generation Firewall,NGFW)。

本文关键字: 防火墙 网络硬件

随着网络安全威胁的手法越来越多,传统防火墙功能早就已经有鞭长莫及之感。在这样的状况下,逐渐出现称作次世代防火墙(Next Generation Firewall,NGFW)。今天eNet安全频道就这种防火墙所应具备的几类功能强化进行归类总结如下:

功能1:具备应用程序流量识别能力,进而强化管理

传统的防火墙,是依照封包的来源、连接池等网络层第三、第四层的信息,进行封包过滤,像水闸门一样,减少网络被恶意程序攻击的可能性,但是次世代防火墙必须做到更多。

首先,次世代防火墙(Next Generation Firewall,NGFW)要有能力看懂第七层应用层的流量,识别不同的应用程序流量,而且还要再更进一步,还能够识别使用者的身分、装置等信息。也就是说,NGFW必须提供比传统防火墙更好的可视性,如此一来面对许多新型态的攻击,如僵尸网络等,才能有能力反应。

事实上目前市面上不少提供防火墙功能的安全厂商,已经具备有这样的能力。举例来说,Palo Alto的防火墙,就是以这一点为号召。Palo Alto亚太区业务副总林本国表示,现在Palo Alto有能力识别900多种不同的应用,并且能透过图像化分析每种应用流量的使用者使用时间、占用频宽等信息,也能进一步看到每个使用者连线的状况与报表,并且透过政策控管流量的通过。而以人为基础的报表,则能协助企业在发生问题时快速找到问题的症结点。

除了Palo Alto外,如Juniper等厂商,也能透过IDP模组的功能看到类似的信息,再辅以与身分识别的AD架构、RADIUS等服务器的沟通,就能做到辨识使用者与应用流量的功能。

这项功能之所以对于次世代防火墙来说非常重要,主要的原因除了先前谈到可以协助快速找出问题外,还有一个重点,就是只有透过提供这种可视性,才能协助企业在NGFW上,做到基础的网络存取控管(Network Access Control,NAC)功能。这将能协助企业在安全政策和阻挡大规模感染上更有效率,有能力将感染限制在一定区域。

而且不仅于此,事实上NGFW应该还要能够更进一步的能够针对特定应用的特定功能去管控,举例来说,在Gartner的报告中就写到,可以针对Skype这种应用,只关闭档案传输的功能,类似这样的能力才能算是做到对应用程序识别管理的能力。这样的功能,现在也已经有部分产品可以达成。

提供可视性,进而透过这样的深层封包检测能力去管理流量,是次世代防火墙和传统防火墙最大的不同。可以预见的,未来会有越来越多提供防火墙功能的设备商,往这个方向前进。例如Check Point在2009年就并购了一家名为FaceTime的厂商,根据Check Point台湾区技术顾问陈建宏的说法,这次并购就是为了让Check Point的设备,在未来能提供应用程序识别的能力。

功能2:软、硬件将逐渐不被绑死,能更弹性调配

次世代防火墙其实还有一个很重要的特性,就在于能够提供更弹性和灵活的架构。而软、硬件功能的脐带被分割,就是其灵活特性所展现出来的一个重点。

有别于过去的防火墙产品,买了硬件,软件的功能就固定无法变动,NGFW将能够松动这一环羁绊。NGFW为了更灵活的调配硬件资源,将会走向软件功能与硬件分开来运作的道路,这样一来,在扩充硬件时,就不会有过去受到局限的问题,购买的就单纯是硬件资源,而软件功能则直接做在原有设备上。

举例来说,使用者如果要增加防火墙的硬件效能,就购买硬件的模组即可,每个模组并不是单独的防火墙,而是可以分配给不同功能的硬件资源。所以购买进来的硬件模组,比如说有4个处理器的话,也可以把这4个处理器的运算资源分配给NGFW的其他功能。同样的,软件的功能也能依照使用的需求增加或减少,而不会因为购买了特定硬件,就必须使用特定软件的功能,例如购买防火墙模组的插板,该模组就只能当防火墙用。

Juniper香港/台湾区技术总监游源滨表示,这样的灵活架构设计,将能够减少传统防火墙所面临的模组负载平衡等问题,并且打破硬件模组就是相当于独立设备的局限,减少很多使用上的麻烦。事实上,现在包括Juniper、思科的产品,都已经在往这个方向前进。例如Juniper的SRX,以及思科的ISG R2,都推出了单纯的硬件模组支援扩充。而Fortinet台湾区技术顾问刘乙也指出,随着Fortinet设备虚拟化的技术发展,未来也很有可能会往这个方向前进。此外,Check Point现在也提供软件功能增减的能力,让使用者能够依据需求和硬件的效能状况,自由增减要执行的软件。

软、硬件功能的松绑,也有助于设备的虚拟化发展,无论是将多台设备虚拟为单台;或是将单台设备透过虚拟化切割成不同的小台防火墙,都能让NGFW具备更灵活与更弹性资源分配能力。而这样的能力,对于之後将要谈到未来支援云端架构的需求来说,十分的重要。

功能3:必须要有能力提供客制化的功能,对新的威胁快速反应

和先前谈到的概念类似,NGFW之所以要在架构上变得更灵活,其实很大的因素就是要让使用者能够更快的面对新的威胁。

传统购买安全设备,能提供的功能就是厂商宣称的那些,未来如果有新功能推出,如果不是能够模组化抽换的设备,可能就必须重新购买才能使用到新功能。此外,当企业遇到一些独特的需求时,由厂商协助提供客制化过滤器或功能的可能性也非常低,或者是难度非常高。

不过,未来的NGFW,在这一点上将会有所改变。首先,正如先前谈到,由于已经可以打破软、硬件绑死的局限,NGFW在提供客制化功能或过滤器等能力时,将会相对比较容易。不过Check Point台湾区技术顾问陈建宏指出,虽然如此,但是要企业自己有办法写出过滤器或是新增一些专属的功能,企业往往也难以拥有这样的IT人才。在这样的状况下,未来NGFW应该是保留住提供升级新功能的弹性,让设备厂商有能力协助企业使用者建立这样的客制化功能。

目前很多厂商都已经开始提供这样的功能,前面提到的Palo Alto、Juniper、思科、Check Point等,其实都已经有不同的方案可以协助企业做到这一点,过滤器的客制化还较为容易,但功能的增加现在可能难度仍高。NGFW保留这样的能力是必需的,这将能有效的协助企业解决许多自己遭遇的独特状况,针对安全情况做出更快速的反应。

功能4:能够支援云端架构动态变化的需求

共2页: 上一页1 [2]
责编:王立新
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918