下一代防火墙
要对下一代防火墙(即Next Generation Firewall,简称NG Firewall)进行全面评估,我们需要从功能与特性这两个方面进行深入研究——而这也正是我们今天的核心议题。
下一代防火墙的概念出现并确立于2009年,但其普及速度却明显缓慢得多。截至2015年底,Gartner公司发现只有不到40%的企业利用下一代防火墙进行互联网连接保护。
Gartner公司预计,未来几年中市场对下一代防火墙的需求将呈现出爆发式增长,这也意味着企业需要积极为其网络需求更理想的保护手段。估计至2018年年底,互联网连接中的85%将由下一代防火墙负责保护,而其中90%属于下一代防火墙的新增客户。
传统防火墙 VS 下一代防火墙
传统防火墙通过对端口及协议执行检查与防护,以实现企业网络安全保障。传统防火墙可以分为四种类型:包过滤、应用级网关、代理服务器和状态检测。但由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方,如:传统防火墙不能防范不经由防火墙的攻击、传统防火墙不能防止感染了病毒的软件或文件的传输等等。
下一代防火墙则完全不担心这类问题,它可以网络中的数据包执行深度检测,也就是将数据包解封到应用层。通过这种方式,它能确保数据包的各个组成部分被完整的检测,以识别畸形包、错误、已知攻击和其他异常数据。还能够快速识别并阻止木马、病毒、垃圾邮件、入侵行为,以及其他违反正常通信协议的行为。数据包分析通过各种方法实施,包括基于数据流的检测,漏洞特征、策略配置、协议识别、数据标准化,以及明文HTTP和加密HTTPS连接。
下一代防火墙的核心特性
Gartner在题为《Defining the Next-Generation Firewall》的报告中指出:“不断变化的业务流程、IT技术和网络威胁,正推动网络安全的新需求。协议的使用方式和数据的传输方式已发生变化,网络攻击的目标由单纯的破坏演变为恶意软件植入。在这种环境中,试图要求在标准端口上使用合适协议的控制方法已不再具备足够的有效性,传统防火墙必须演进为下一代防火墙。
由此可以总结出下一代防火墙拥有两大核心特性:应用识别与控制以及身份感知。
应用识别与控制允许大家对自身网络内的应用进行审查,同时控制相关应用的使用情况。通过识别应用程序并在应用层内强制执行网络安全策略——独立于端口与协议之外——大家可以实现应用程序黑名单或者白名单;允许微信但屏蔽《开心消消乐》等其它应用;允许QQ进行聊天但禁止其执行文件共享等细化控制能力。
买家提示:在挑选下一代防火墙时,大家需要考虑其策略设置是否与最为重要的业务应用相契合。E安全认为,下一代防火墙应当有能力对数十款最常用最具价值的应用程序进行细化管理,而无需单纯关注支持成百上千大家可能根本用不到的冷门应用。
应用控制无疑是一项利器,其能够阻止或者允许特定类型的应用使用方式。而身份感知则将这种控制能力同Active Directory等业务目录加以整合,从而帮助我们更精确地应用防火墙规则,甚至对部门及个人用户加以管控。
举例来说,大家可以创建规则以允许销售及营销人员利用特定社交媒体应用,同时允许外包商或者临时工作人员访问其中一部分内容,而董事会成员则可以不受限制任意接入互联网。
买家提示:身份感知功能往往被各类下一代防火墙厂商所反复强调,但在实践过程中,这种控制用户或者立足于群组层级实施保护的能力还没有得到广泛采用。除非大家拥有非常明确的身份感知需求,否则这部分功能在评价相关方案时不必太过强调。
下一代防火墙的其它重要特性
入侵防御系统(简称IPS)
下一代防火墙供应商正将越来越多IPS功能添加至产品当中。不过需要强调的是,初期的IPS能力往往并不成熟,但如今其不仅更加强大、还与下一代防火墙的其它能力紧密对接。在不少下一代防火墙中,内置IPS甚至足以挑战独立的IPS方案。
买家提示:入侵防御系统属于企业防御体系中的重要组成部分,因此我们必须考虑自己选定的下一代防火墙是否具备IPS功能,或者有必要选择独立的优秀IPS产品。如果大家需要将IPS与下一代防火墙相结合,Gartner建议我们通过现实威胁与网络负载环境利用第三方测试评估IPS方案的有效性。
网络沙箱
网络沙箱能够提供保护以抵御恶意软件,具体方式包括将可疑文件发送到云环境中的受隔离沙箱当中。在这里,各文件能够加以运行,且执行结果将经过检测以判断其是否属于恶意性质。
网络沙箱往往被下一代防火墙供应商或者合作伙伴以订阅服务的形式推出。2014年全球网络沙箱市场总价值超过5亿美元,而这一数字预计将在2019年增长至35亿美元。
买家提示:网络沙箱正迅速成为一项主流功能,所以我们在考量供应商时必须要求其当前或者有计划在不久的未来提供相关解决方案。
威胁情报供给
威胁情报供给旨在交付一套包含恶意IP地址、恶意签名以及其它恶意指标的清单,帮助防火墙与IPS方案检测威胁并预防攻击。
买家提示:检查下一代防火墙方案是否只能接收自家威胁情报供给,或者可以对接多种数据源。
需要向下一代防火墙安全厂商提出的问题
关于性能:
当全部安全功能都被禁用时,防火墙的峰值流量吞吐能力可达到怎样的水平?
当全部必要安全功能都被启用时,防火墙的峰值流量吞吐能力可达到怎样的水平?
关于成本:
该设备的基础成本是多少?
能够实现我们安全要求的设备成本是多少?
年度维护与更新成本是多少?
年度订阅成本是多少(包括情报供给以及网络沙箱等等)?
容量与安全功能可否根据需求进行调整,此类调整又会给成本带来怎样的影响?
关于配置:
对防火墙及安全容量进行配置需要怎样的专业知识水平?
设备需要怎样配置,其界面是否易于使用?
设备是否能够轻松支持IPv6?
关于安全功能:
该防火墙能够识别哪些应用程序,其能否为定制化应用程序建立识别能力?
其应用程序列表的更新频率如何?
其能够提供哪些类型的报告以帮助我们了解应用程序使用情况以及用户行为?
其身份感知控制的细化程度如何?
其还能提供那些额外安全功能?
其IPS功能的有效性在基于现实威胁与网络负载场景时的第三方测试结果如何?
其支持哪些威胁情报供给来源?
反恶意软件扫描等功能的更新交付方式是怎样的?频率又如何?由谁交付这些更新?是否允许客户进行内部安全研究?
如果不提供网络沙箱功能,其是否已经被纳入了短期发展路线图?
该设备符合哪些安全认证?
E安全/文 转载请注明E安全
E安全——全球网络安全新传媒
E安全微信公众号: EAQapp
E安全新浪微博:EAQapp
E安全PC站点:www.easyaq.com
E安全客服&投稿邮箱:eapp@easyaq.com
点击下方”阅读原文“即可下载安装E安全app