采用下一代防火墙

下一代防火墙要求的是一种只和安全目标相关的传统防火墙完全不同的思维方式。

企业如果想从传统防火墙变换为下一代防火墙,会发生什么情况?企业必须清楚,下一代防火墙的安全思维方式和传统防火墙的安全目标已经完全不同了,它尤其需要建立应用感知控制,对员工们的上网、浏览Web内容以及上社交网站的行为进行监控。

“这里面有一个分歧需要解决,”SonicWall的产品管理副总裁Patrick Sweeney说。就传统基于端口的防火墙而言,系统管理员要讨论的是“协议语言”,这种老式的思维方式对新一代防火墙来说是不合适的。企业需要采用一种更加关注业务的语汇,一种和应用有关联的语汇,可以让CIO、CFO和CEO们更容易理解的语汇。“必须统一这几类人之间所讲的语言,”Sweeney说。

因为新一代快速、智能的防火墙是对应用感知的,所以它能让企业针对员工建立并强制执行基于身份的应用使用策略。所谓下一代防火墙(NGFW)还可以融合VPN功能,对流量执行入侵防御扫描,并且有智能可以利用一些技术进行声誉过滤,还能与Active Directory集成进行身份而和策略管理等。

这是研究公司Gartner和其他几家厂商(包括Palo Alto网络、McAfee、Check Point、Barracuda网络以及SonicWall等)给出的下一代防火墙的定义,以此来描绘他们的防火墙产品。

虽说NGFW浪潮至少已经持续了三年之久,但是Gartner也承认,其实际的使用到目前为止还是为数甚少,甚至还不到1%。至于未来,Gartner的乐观预计是到2014年,NGFW的采用率会增长到35%。

厂商们会继续研发NGFW产品及服务,NGFW“会成为企业的首选防火墙,”Gartner分析师Greg Young说。即便你的企业还没打算更新或者替换现有的防火墙,但IT经理仍然应该研究厂商的NGFW路线图,为下一次更新周期做好准备。

采用下一代防火墙的一个驱动力就是上网行为和带宽消耗会越来越多,SonicWall的Sweeney说。“所以你必须能够监控到每一个特定用户,看到他们是否在使用BitTorrent或者某个应用。”

借助NGFW,企业可根据带宽需求和优先级对应用加以控制。此外,有些NGFW产品,比如CheckPoint和SonicWall的产品还可以像防数据泄漏工具一样,基于关键词和其他规则定义限制应用的使用。

Check Point目前在其防火墙产品中通过应用控制软件刀片提供了NGFW控制,可覆盖近5000个应用和9万个社交网络器具,该公司的网络安全副总裁Oded Gonda说。Check Point的防火墙还采取了一种警告用户而不是一下子彻底禁止访问的做法,这种做法就是在用户要上Facebook的时候会插入一个“告知页面”,告诉你按照公司的政策,可能会限制共享某些与公司相关的信息。“有时候人们是不愿意被限制的,所以需要对他们进行教育和告知,”Gonda说。

Check Point的NGFW还可发挥这样一个作用,去寻找人们转向Web应用的原因。“IT部门要理解人们为何会使用谷歌文档的原因,”Gonda举例说。“有时候,这类信息是很难收集的。所以在用户首次使用谷歌文档的时候,插入一个问答页面你就能够他们使用该应用的原因。”Check Point称此功能为“用户检查”,从2011年开始启用。

从传统防火墙向NGFW转移是意义重大的。Young称,“企业必须制定转移规则和策略,”并对人员进行相应的培训。

有些企业选择逐步向NGFW过渡,串联使用传统的和下一代的防火墙。大约一半的SonicWall客户已经开始在使用带有应用感知的NGFW,Sweeney说,这些客户通常都会维持其传统防火墙的使用,同时随着时间的推移逐步加入了基于应用的控制。

根据Young的观点,从积极的方面看,向整合的多功能NGFW的转移将会降低企业的成本。


共6页: 上一页123456下一页

相关内容