下一代防火墙采购须知

日期: 2014-08-05 作者:Dave Shackleford翻译:张程程 来源:TechTarget中国 英文

你的企业打算部署下一代防火墙吗?这里提供了一些采购时需要重点关注的地方以供参考,以期能帮助你购买到合适的下一代防火墙产品。 防火墙是最基本的网络安全控制机制之一,在过去二十年里,防火墙已从一个简单的包过滤设备发展成为一个能够同时管控大量网络通信状态的复杂系统。然而尽管与以前相比功能更为先进、吞吐量更高,防火墙还是不可避免地遭遇到了发展瓶颈。新兴威胁瞬息万变,而传统的端口和IP地址的过滤不再适用。

在此背景下,越来越多的企业把希望寄托于能够提供更多更新功能的下一代防火墙(NGFW)上。 NGFW必备功能 当你打算进行下一代防火墙采购时(不管是出于替代现有防火墙/入侵检测系统还是用作单独的安全控制点……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

你的企业打算部署下一代防火墙吗?这里提供了一些采购时需要重点关注的地方以供参考,以期能帮助你购买到合适的下一代防火墙产品。

防火墙是最基本的网络安全控制机制之一,在过去二十年里,防火墙已从一个简单的包过滤设备发展成为一个能够同时管控大量网络通信状态的复杂系统。然而尽管与以前相比功能更为先进、吞吐量更高,防火墙还是不可避免地遭遇到了发展瓶颈。新兴威胁瞬息万变,而传统的端口和IP地址的过滤不再适用。在此背景下,越来越多的企业把希望寄托于能够提供更多更新功能的下一代防火墙(NGFW)上。

NGFW必备功能

当你打算进行下一代防火墙采购时(不管是出于替代现有防火墙/入侵检测系统还是用作单独的安全控制点的目的),都有一些你将会用得上的且能发挥最大效用的功能。具体如下:

应用识别和控制。任何下一代防火墙最重要的功能就是要能够正确地理解、解码以及分析应用流量来检测已知或未知威胁。绝大部分关键业务应用的策略变化设计的很微妙,用以支持不同类型的功能。防火墙需要能够察觉到这些细微的变化以做出恰当的策略决策。任何高效的下一代防火墙必须支持细颗粒度的应用策略部署及管控,同时,也要能更新至允许设备评估规则和持续应用它们的分析和处理引擎,而无论流量模式怎样随时间变化。

协议解析和异常检测。任何下一代防火墙必须要能快速地将协议解析至现有组成部件中去。很多攻击者使用复杂的隧道技术,将指定协议或敏感数据嵌入其他协议中。这样一来,下一代防火墙需要判断出ICMP、HTTP以及其他协议类型是真实的还是攻击者人为制造的。

用户识别。所有的企业级下一代防火墙产品都应该具备与各类目录资源(比如说Active Directory以及现有环境中的相关活动)连接的功能用以进行用户识别。理想情况下,系统应该能将IP地址映射到系统名称以及用户登录上去。防火墙上基于角色的策略能用于特殊用户检测。这就使得防火墙能够判断出是否有与协议和应用有关的不寻常的流量出现,即使它追踪的使用模式是基于特定的用户和组的也无妨。此种情形下,对于打算进行采购的企业来说,需要考虑的最重要的一点就是产品对于用户资源库类型的支持。

速度和性能。除理解和过滤流量之外,评估NGFW的另一项关键的因素就是速度。考虑到对于任何下一代防火墙设备来说,数据包的处理和分析都非常密集,因而流量延迟是一个主要的关注点。很多厂家鼓吹其产品可以保持10 Gbps或更快的速度,不过在决定购买之前企业还是要进行彻底地检测以得出实际的速度。

NGFW优异的特性

与必备功能不同,以下是只有某些NGFW产品才具有的优异的特性:

URL过滤。一些防火墙可以执行基于URL的内容过滤以及站点信誉分析。尽管不如单独的内容过滤产品(比如来自Websense、BlueCoat或其他厂商的产品)那样强大、特征明显,但URL过滤能将应用及流量分析方面的功能添加至已经运行的入侵检测过程中。

SSL终止和检验。攻击者非常聪明,他们制作恶意软件和攻击套件,使用像SSL之类的加密通道来运送敏感数据和机器命令。一些组织可能会认为这应该是下一代防火墙的一项必备功能,不过很多企业还没有准备好对SSL进行监管或者因为某些与隐私相关的原因无法做到。

恶意软件虚拟沙盒。一些更新的下一代防火墙产品已经开始将恶意软件沙盒和分析集成在产品中,这将有益于检测出更为高级的恶意软件感染。
此外,也可以将易于使用和部署、与现有环境中的工具和技术集成以及可以默认设备的用户登录等特性考虑在内。

总结

下一代防火墙正变得越来越强大,并在当今的大多数环境中都能增强或取代太过传统的防火墙技术。

作者

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

翻译

张程程
张程程

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革,负责安全网站与网络网站的内容规划、组稿、原创和编辑。

相关推荐