|
云计算、虚拟化和SDN将增加防火墙安全复杂性
http://www.cww.net.cn 2013年7月4日 13:23
在过去几十年中,防火墙一直是互联网的基于端口的守护者。而现在供应商都在争相推出所谓的“下一代防火墙”,因为这些“应用感知”防火墙可以基于应用程序使用来监控和控制访问。 此外,很多防火墙中加入了越来越多的功能来试图发现零日攻击,包括入侵防御系统(IPS)、web过滤、VPN、数据丢失防护、恶意软件过滤,甚至还有威胁检测沙箱。对于单独的IPS,因为其应用控制,它可能被称为“下一代IPS”,例如IBM Network Security Protection XGS 5000(网络安全保护XGS 5000)或者McAfee NS系列。 防火墙/IPS供应商竞争非常激烈,他们还推出更高的吞吐量来满足速度的需求,因为经历“虚拟化”的数据中心需要在防火墙提供更高的带宽。 供应商们都渴望得到有影响力的Gartner等公司的赞赏,或者努力在技术评估测试中击败竞争对手,例如NSS实验室或Neohapsis实验室的测试。但其实,成败的关键在于能否赢得Rusty Agee等买家的青睐,Rusty Agee是美国北卡罗来纳州夏洛特市的信息安全工程师,他使用各种防火墙产品。 Agee表示:“防火墙已经大大改进了,”当涉及防火墙和IPS的功能和速度时,“我总是想要更多。” 数据中心虚拟化、移动设备的激增以及该市部署“携带自己设备到工作场所(BYOD)”政策的计划,都是Agee对可能用于保护各政府机构数据的各种方法保持开放态度的原因。他指出,该市的消防部门和警察部门已经开始使用平板电脑和智能手机,所以他现正需要考虑一个BYOD迁移政策。 该市使用移动设备的员工正在利用思科的AnyConnect客户端来建立VPN类型的连接,连接回该市的思科ASA防火墙。除了思科防火墙与单独的思科IPS,该市还使用Check Point防火墙和单独的IPS来封锁到关键服务器、数据中心、互联网接入和该市无线网络的流量。 另外,该市还使用Palo Alto Networks下一代防火墙来监测和控制员工应用程序使用。此外,该市利用F5 Networks应用程序防火墙来寻找针对web服务器的攻击流量。Agee表示,夏洛特市通过LogRhythm的安全信息和事件管理集中化了对这些安全设备的日志管理。 “我们的防火墙每天生成几十万日志到LogRhythm,”Agee表示,该市政府有时候也会收到来自联邦的安全警报相关的feed。集中化防火墙和IPS日志feed,以及服务器日志,能够帮助该市的安全人员从单点确定可能涉及攻击的网络安全问题,以及能够被人力资源或管理更好地处理的员工web使用问题。 在一家企业中有如此混合的防火墙组合可能是特例,并不常见。Gartner分析师Greg Young在6月的Gartner安全与风险管理峰会上表示,Gartner发现大多数公司只使用一家供应商的产品。Gartner一直大力倡导使用下一代防火墙,对于下一代防火墙(NGFW),Gartner估计,现在只有不到8%的企业使用NGFW,不过这个数字在五年内预计将攀升至30%以上。 Young还指出,很明显,SSL VPN已经完全转移到该防火墙中,不再作为单独的独立的SSL VPN产品。 事实上,防火墙和IPS似乎无处不在。其中一个例子是Fortinet Secure Wireless LAN,这基本上是一个集成到统一威胁管理设备(支持防火墙和IPS功能)的无线接入点和交换机。根据Fortinet营销副总裁John Maddison表示,该产品在零售连锁店很流行,它能够以符合成本效益的方式帮助零售店获得无线网络覆盖和安全保护。 来源:网界网 编 辑:王熙
猜你还喜欢的内容
文章评论【查看评论()】
|
企业黄页 会议活动 |