|
云计算、虚拟化和SDN将增加防火墙安全复杂性
http://www.cww.net.cn 2013年7月4日 13:23
连锁餐厅Jack-in-the-Box最近在其数百家连锁店部署了650台FortiWiFi-60CS设备,这些设备结合了无线接入和防火墙/IPS。该公司IT主管Jim Antoshak表示,Jack-in-the-Box餐厅旧的无线点现在可以“退休”了,这些Fortinet设备将是紧凑型无线和安全的结合体。 一个论据? 业界的辩论主要围绕两个问题:多用途防火墙/IPS能否像独立设备那么有效?交换机或路由器内的安全模块呢? 与思科和瞻博网络一样,惠普提供针对防火墙和入侵防御的安全模块,这种安全模块可用于该供应商的交换机和路由器中。但惠普TippingPoint副总裁兼企业安全产品总经理Rob Greer表示,当涉及入侵防御时,惠普看到的主要部署仍然是专门的独立的设备。他指出,从性能和细粒度控制来看,这通常被认为是惠普下一代应用感知IPS的最佳方法。 思科网络安全和产品营销高级主管Mike Nielsen表示,思科销售的大部分防火墙和IPS产品是“专用安全设备”。其Adaptive Security Appliance系列中的ASA 5585-X系列据称具有40Gbps防火墙吞吐量,Nielsen表示在IPS这可以提高到80Gbps,IPS还包含一个应用控制功能,根据Gartner的定义,这是它被称为“下一代防火墙”的最重要的元素。 Sourcefire公司技术研究组安全策略副总裁Jason Brvenik认为,“在企业应对不断变化的最新威胁时,专用设备能够给你更多自由。” Check Point产品营销主管Fred Kost表示,需要高吞吐量和低延迟性的客户通常会选择专用功能。但他指出,中小企业客户经常发现多用途防火墙网关和统一威胁管理设备已经够用。Check Point也在争夺“下一代”的称号,该公司最近就增加了“威胁仿真刀片”作为防火墙模块。威胁仿真刀片可以安全地“引爆”沙箱中的文件,试图发现零日攻击。它采用了与Palo Alto在其下一代防火墙中Wildfire威胁检测相同的方法。 现在,沙箱的想法正在迎头赶上。例如,McAfee最近收购了防火墙/VPN/IPS供应商Stonesoft以及ValidEdge来加强其沙箱技术。 NSS实验室分析师Iben Rodriguez表示,对防火墙和IPS的测试表明,在防火墙上运行多个安全服务必然会对性能和效率带来不好的影响。Neohapsis实验室研究主管Scott Behrens对这个问题总结了一个常识性的方法:“如果我是买家,我会问,‘这个捆绑包能否满足我的企业需求?’” 在犹他州的Weber县政府,Matt Mortensen是奥格登市的信息安全官,当地的防火墙/IPS吞吐量需求不超过约10Gbps。多功能戴尔SonicWall Network Security Appliance E8500模型与IPS、URL过滤及杀毒软件一直能够很好地支持该县1200名员工使用的网络,最近他们计划升级到更强大的SonixWall 9400。该县还部署了几个思科ASA,包括思科ASA 5505防火墙—专门用于与法律执法相关的操作,例如电信窃听数据。 SonicWall防火墙的一些非常有价值的用途是:出于安全原因通过应用程序控制来阻止Skype或甚至Java,Mortensen还使用SonicWall来限制带宽。 “我还执行IP过滤,不允许用户访问某些地方,例如东欧、南美或中国,”Mortensen指出犹他州与这些地方没有业务往来,因而我们出于安全考虑对其进行阻止。该县还执行入站地理IP过滤。Mortensen还设置了防火墙来进行出口过滤,以查看僵尸活动的迹象。 来源:网界网 编 辑:王熙
猜你还喜欢的内容
文章评论【查看评论()】
|
企业黄页 会议活动 |