教你选择合格的下一代防火墙
随着网络活动的逐步上升,企业面临的威胁正在成倍增长。作为企业的IT管理人员,应该如何选择下一代防火墙。近三分之二的网络流量是基于Web的应 用程序,随着这类应用新的安全威胁以及占用的网络带宽的情形大幅增加。今天的网络流量需要下一代防火墙(NGFW)的适当控制。
据Gartner称,NGFW“是一个线速的综合网络平台,进行流量的深入检查和阻止攻击。”一个合格的NGFW包括所有在第一代防火墙的标准功能(例如,网络地址转换,包过滤和状态包检测,以及其他通用的网络功能)。
当你的防火墙和或入侵防御设备接近更新周期时,Gartner建议要对NGFW能力进行全面的了解。因为你会发现,一些网络安全厂商声称自己的 产品,拥有与NGFW重叠的功能,但其实他们并不能算真的下一代防火墙。所以,你应该寻找一个真正合格的企业级NGFW。那么我们这里给你以下这些标准:
1、扫描检测能力
2、应用智能
3、性能
4、可管理性
扫描
同第一代防火墙一样,NGFWs包括状态的检测能力。但是,他们除了能够像传统防火墙那样,还需要有深度包检测(DPI)能力。许多NGFW厂 商宣传自己拥有DPI功能,但仔细检查其产品,你会发现他们对此进行限制,最大限度地减少保护。许多NGFW厂商使用代理,让流量通过恶意软件扫描网关。 这会严重降低网络性能,甚至有一些防火墙高达95%。
一些大型文件或中等数量的更小的文件传输的时候,基于代理的防火墙有限的内存很快就会被耗尽。当所有的内存被消耗掉,这些防火墙会阻止所有文件 传输。许多厂商会采取未经检验通过文件,就是说对所有文件可以不进行检查。即为了避免使网络停止,选择不对其进行扫描,以允许数据包通过。
有些所谓的下一代防火墙厂商还无法扫描大型文件或某些协议。按文件大小,文件扫描的能力是有限的,他们只扫描恶意软件的协议的一小部分。当评估 NGFW的时候,应该寻找一个可以扫描各种大小文件、病毒和恶意软件,僵尸网络及其他威胁,解密、扫描和重新加密SSL数据包,能够扫描所有端口广泛的协 议,除了原始的TCP流量。
应用智能
NGFW的一个根本能力是控制应用程序和优化的网络运行的能力。不同的NGFW解决这些问题的能力在不同程度上有一定的差距。一个可靠的NGFW应该:
针对不断增长的应用程序数据库的签名,扫描应用程序应该能够提供实时的可视化的操作。企业可以考虑采取定制的应用程序,将应用智能和控制扩展到网络上的无线终端。
一个NGFW的控制有效性同样重要,它可以检测和控制应用程序的数量。一个拥有强大的签名数据库的NGFW,应包括成千上万的、独特的应用程序 和应用程序组件,并每天更新新的签名。此外,NGFW应该超越简单地允许管理员“允许”,“阻止”或“登录”应用程序,应该提供一套全面的应用管理功能, 如应用带宽管理。
另外,用户还可以控制和优化你看不到的东西。当你评估NGFW的时候,你必须考虑他们的产品是否集成让你看到应用程序和用户流量的实时功能,可 视化取证分析工具和仪表盘。随着应用的增多,你需要自定义应用程序控制,大多数NGFW可能不再那么容易实现。一个可行的NGFW,应该能够识别和优化公 司里的自定义应用程序。此外,它应该允许你为特定应用程序制定自定义特征,以便于这些应用通过基础的流量属性或者控制协议。
越来越多的企业正面临着不断扩散的无线终端,这些设备散布在网络的边缘。这时候,企业应该考虑一个,提供强大的无线应用智能控制的NGFW。要 有足够的智能、控制能力和可视化的操作。现在许多安全设备只有有线用户的流量控制,而忽略了大量依靠无线网络的笔记本电脑、智能手机、平板电脑。
企业应该寻找这样的NGFW,它集成了无线交换机及控制器,允许分布式无线部署的配置和管理,同时提供WiFi边缘的应用智能和控制。在理想的情况下,NGFW应该能够控制所有的无线通信应用智能政策,以保持无线带宽效率。
性能
Gartner指出,NGFW“支持在线管理,通过网络进行没有中断的操作配置。”换句话说,他们应该尽可能的做到最小延迟。IPS与其他功能 的紧密集成是实现这一点的关键。单通机制实现了无缝政策的实施和执行,不会引起延迟或性能下降到不可接受的水平。这是很重要的,因为启用NGFW服务不应 该让一个网络陷入瘫痪。
使用代理的防火墙,为每个文件和每个网络连接进行DPI状态数据包检测,显著降低性能。相反,选择合格的NGFW,他们能够提供实时DPI。
可管理性
一个可扩展的和可靠的分布式管理解决方案,实现安全保障和强大的投资回报率,企业部署到多个站点的安全性是非常重要的。
例如,一些下一代防火墙厂商管理平台,缺乏大规模的分布式管理解决方案,大范围的部署往往是一个易于管理的证明。还有其他一些下一代防火墙厂商缺乏一个有凝聚力的分布式管理平台。这个复杂的管理流程和解决方案都会影响企业总拥有成本(TCO)。
其他
选择的NGFW应提供NetFlow / IPFIX支持,NetFlow和IPFIX是两种行业标准。传统上部署交换机和路由器的NetFlow出口数据,如IP源地址和目标地址,源端口和目的 端口,3层协议类型和服务类。然而,这两种IPFIX和NetFlow版本都可以扩展到网络的移动设备,如应用程序数据,用户数据和URL数据的附加数据 导出。
编辑点评:
NGFW承诺通过集成的入侵防御,状态检测和深层数据包检测能力,帮助企业重新控制在他们的网络。但厂商的产品有很大的不同,他们使用自己的方法来扫描网络流量,就会得到不同的性能、功能,会对网络造成不同的影响。你要花时间来确认,NGFW能够提供你所需要的。