企业的IT管理人员必须兼顾网络性能和网络安全问题。虽然安全要求对企业很重要,但企业不能为了安全而牺牲吞吐量和生产力。上一代防火墙给现在的企业带来严重的安全风险,它们的技术实际上已经过时,因为它们无法检查攻击者散播的网络数据包的数据负载。很多供应商吹捧状态数据包检测(SPI)速度,但对安全和性能真正的衡量标准是深度数据包检测吞吐量和有效性。为了解决这方面的不足,很多防火墙采用了传统桌面防病毒解决方案的恶意软件检测方法:缓冲下载的文件,然后检查是否存在恶意软件。这种方法的缺点是显著的延迟性,同时它也带来严重的安全风险,因为临时存储会限制最大文件大小。
定义下一代防火墙
从本质上讲,下一代防火墙整合了入侵防御系统(IPS)以及应用程序智能和控制,以查看被访问和处理的数据内容。
Gartner将下一代防火墙定义为“执行深度流量检查和阻止攻击的线速综合网络平台”,Gartner认为下一代防火墙至少应该提供以下功能:
◆非破坏性串联网路嵌入式配置
◆标准第一代防火墙功能,例如网络地址翻译(NAT)、状态协议检测(SPI)和虚拟专用网络(VPN)等
◆集成基于签名的IPS引擎
◆应用程序意识,全栈可视性和精细控制
◆结合防火墙外部信息的能力,例如基于目录的政策、黑名单和白名单等
◆升级路径以涵盖未来信息源和安全威胁
◆SSL解密以识别不良加密应用程序
下一代防火墙的演变
SPI那一代防火墙只适用于以前的网络环境,当时恶意软件还没有成为一个大问题,网页只是可以读取的文档,端口、IP地址和协议是管理的关键因素。但随着互联网的发展,从服务器和客户端浏览器提供动态内容的能力催生了丰富的应用程序,也就是我们所说的Web 2.0。
现在,从Salesforce.com的应用程序到SharePoint,再到Farmville,都是在TCP端口80以及加密SSL(TCP端口443)运行。下一代防火墙会检查数据包的有效载荷,并匹配签名来查找恶意活动,例如已知漏洞、利用攻击、病毒和恶意软件等。DPI也意味着管理员可以创建非常细粒度的允许和拒绝规则,以控制特定应用程序和网站。由于防火墙检查了所有数据包的内容,我们还可以输出所有类型的统计信息,这意味着管理员现在可以简单的挖掘流量分析来进行容量鬼话、故障排除或者监控员工的活动。
企业需要什么
企业正陷入应用程序混乱中。网络通信不再仅仅依赖于存储和转发应用程序(例如电子邮件),而已经扩展到涵盖实时协作工具、Web 2.0应用程序、即时消息(IM)和P2P应用程序、语音IP电话(VoIP)、流媒体和电话会议,这些都带来潜在风险。很多企业无法区分网络中使用的具有合法业务目的应用程序与那些不是关键型应用程序(只是消耗带宽或者带来危险)。
现在,企业需要提供关键业务解决方案,同时还需要满足用户的需求,允许他们使用耗费带宽且危险的(从安全的角度来看)基于Web的应用程序。关键应用程序需要带宽优先级,而社交媒体和游戏应用程序需要被节流或者完全阻止。此外,如果企业不符合安全要求和规定的话,企业可能面临罚款或者亏损。
在当今的企业,安全保护和性能“一个都不能少”。企业不能再忍受传统SPI防火墙提供的较差的安全性,也无法容忍一些下一代防火墙带来的网络瓶颈。防火墙或网络性能的任何延迟都可能影响延迟敏感型和协作应用程序,而这反过来又可能对服务水平和生产力产生负面影响。让事情更糟糕的是,一些IT企业甚至禁用其网络安全解决方案中的功能以避免网络性能的下降。
所有企业都面临着常用应用程序中的漏洞带来的风险,这是美丽的社交网络世界的“肮脏的小秘密”:它们是恶意软件和网络攻击者监测其不知情的受害者的最佳场所。同时,企业员工使用企业和家庭办公电脑使用博客、社交网络、通信、视频、音乐、游戏、购物和电子邮件。视频流、点到点(P2P)以及托管或云计算应用程序让企业面临潜在的风险,例如潜在的渗透、数据泄漏和停机。除了带来安全风险外,这些应用程序还消耗带宽和生产力,并且与关键业务型应用程序争抢宝贵的网络带宽。更重要的是,企业需要工具来保证业务关键应用程序的带宽,并需要应用程序智能和控制来保护入站和出站的流量,同时确保速度和安全性以提供高校的工作环境。
下一代防火墙的优势
下一代防火墙可以提供应用程序智能和控制、入侵防御、恶意软件防护和SSL检查,还可扩展到支持最高性能网络。
最强大的下一代防火墙使管理员能够同时控制和管理业务以及非业务相关的应用程序,以确保网络和员工的工作效率,并且他们可以扫描跨任何端口的任何大小的文件,而不会影响安全性和性能。同步文件或网络流的数量不会限制高端下一代防火墙,所以,受感染的文件没有机会溜出去。此外,下一代防火墙可以向SSL加密流量应用所有安全和应用程序控制技术,确保这不会成为网络的新的恶意软件载体。
IT管理员在选择深度数据包检测防火墙时,需要注意在下一代防火墙中,存在多种处理器架构的方法。有些人选择通用处理器以及独立的安全协处理器。还有一些人选择设计和建造ASIC(应用程序专用集成电路)平台。对于IT管理人员来说,关键是确保他们选择的下一代防火墙具有可扩展性,以满足其预期的网络性能要求,同时,所选的下一代防火墙能够提供最强大的性能、最有用的网络分析和能见度,以及易于部署和管理。
