改变网络安全现状:何不求诸下一代防火墙?

日期: 2014-12-18 作者:Mike Chapple翻译:柳芒 来源:TechTarget中国 英文

下一代防火墙提供了很多新功能,但是如何将下一代防火墙添加到安全产品组件里面,这是个值得考虑的问题…… 在信息安全界,下一代防火墙(Next-generation firewalls, NGFW)目前非常热门。厂商都吵着要用新的增强型产品在企业内站稳脚跟,承诺新的产品可以给网络安全带来更强的智能意识。网络专家认为在开展第一次下一代防火墙( NGFW)部署项目前应该先解决一些关键问题。这些问题包括部署技术的原理,确定可以受益最多的部署位置,适用于特定环境的性能。

从利基产品转移到下一代防火墙(NFGW) 目前很多组织的安全环境中都涉及到不同技术的使用,且分别专注于安全策略中的一个特定组件。例如,网……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

下一代防火墙提供了很多新功能,但是如何将下一代防火墙添加到安全产品组件里面,这是个值得考虑的问题……

在信息安全界,下一代防火墙(Next-generation firewalls, NGFW)目前非常热门。厂商都吵着要用新的增强型产品在企业内站稳脚跟,承诺新的产品可以给网络安全带来更强的智能意识。网络专家认为在开展第一次下一代防火墙( NGFW)部署项目前应该先解决一些关键问题。这些问题包括部署技术的原理,确定可以受益最多的部署位置,适用于特定环境的性能。

从利基产品转移到下一代防火墙(NFGW)

目前很多组织的安全环境中都涉及到不同技术的使用,且分别专注于安全策略中的一个特定组件。例如,网络安全服务常常是以防火墙,入侵检测和防御系统,网络访问控制以及数据丢失预防服务等形式出现。如果要让企业在每个类别中选择一个最合适的产品,如何管理和监控这些独立系统对于企业而言又是一个挑战。

下一代防火墙可以在单个设备上将许多不同的安全技术整合起来。网络安全特性融合桌面安全,内容过滤和安全基础设施的其它组成部分。这为网络管理员提供了一个单一的管理界面来监管多个系统,更重要的是,可以让这些功能共享威胁和资产信息。下一代防火墙(NGFW)的真正价值是其所提供的统一监控,为管理员提供了一个更为清晰的视野来了解企业网络安全状况。

将下一代防火墙部署到网络中

当然,下一代防火墙的优势也是有代价的。与其它技术相比,下一代防火墙的标价更高。网络专家认为部署下一代防火墙之前应该慎重考虑部署位置,如何能让下一代防火墙最大程度增强网络安全性。例如,将下一代防火墙部署在组织边界可能不会符合成本效益。相反,将下一代防火墙部署在内部网络的关卡上可能产生最大的价值。

在大多数组织中,部署下一代防火墙的首要任务是要保护那些暴露在互联网中的服务。允许公众访问的Web服务器,邮件服务器等设备面临最大的攻击风险,因此这些设备应该受到下一代防火墙最大的保护。由于这个原因,任何对外网络(DMZ)都是下一代防火墙防护的最佳候选。

一旦保护好了对外网络(DMZ),就可以考虑转向保护其它高价值的网段。有没有一些特定类别的用户面临着更大的风险呢?抑或由于他们处理的数据类型或从事的活动面临更大的安全风险?例如,一个包含信用卡POS终端的网段就是下一代防火墙技术部署的极好位置,当威胁(像BackOff这种感染POS的恶意软件)来临时就可以提供快速响应。

选择下一代防火墙的性能

当挑选将要部署的下一代防火墙特定性能时,网络和安全团队应该合作。用一个保守的方法来挑选性能是比较适合的,有两个原因。首先,负责网络安全的管理员必须能熟练操作和监控新的性能。其次,许多功能都是单独授权的,需要前期和持续的资金来维持。

最直接的方法就是选择一个能提供所有你所希望部署的服务的下一代防火墙平台,但是只购买那些要立即使用的服务的授权。推出一套能紧密匹配目前你所拥有的利基产品的服务,然后慢慢妥善过渡到下一代防火墙。一旦一切都在掌握中,就可以开始考虑部署新的功能之一,直到慢慢达到你期望的最终状态。

下一代防火墙对于提供网络和安全团队的效率和效益有着巨大潜力。组织应该谨慎地选择下一代防火墙策略,将其部署在可以实现最大价值的位置,并精心部署一组能平衡安全需求与运营要求的服务。

作者

Mike Chapple
Mike Chapple

Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。

翻译

柳芒
柳芒

TechTarget中国特邀编辑,现就职国内知名银行信息部。

相关推荐