威胁在变化 新防火墙出动

　　从防火墙诞生以来，围绕其中的发展变化与技术传承始终没有停歇。随着数据中心理念在企业用户中的流行，承担数据中心安全大门的防火墙设备也迎来了新的变革：访问控制、入侵防御等功能也逐渐加入进来。

　　用户的困惑

　　Mercy医疗中心希望得到的安全产品清单很有代表性。这家Baltimore市医疗保健提供商希望确保用户只访问他们需要的服务和服务器，确保其数据中心服务器安全可靠。然而，它还没有找到非常合适的技术组合。

　　ConSentry Networks公司提供的网络准入控制NAC设备处理用户接入控制部分，但这项技术没有为Mercy医疗中心提供满足它所希望的更高的服务与安全性的途径。

　　这家医疗中心高级IT主管Mark Rein说：“我们希望使数据中心的服务器相互隔离。”该中心需要这种隔离，主要是因为它向承担某些管理和维护任务的第三方厂商开放其数据中心服务器。“我们希望他们只访问某台服务器或某个应用，不能看到或接入其它任何服务器。这有点像我们需要NAC，但是主要用在服务器上。”

　　这种要求并不过分。Opus One公司高级合伙人、《Network World》产品测试员Joel Snyder说：“服务器是目前的主要攻击点，这意味着服务器也是个巨大的跳板。对企业而言，很多用户拥有异构的数据中心，比如Unix、Windows和老式大型机组成的大杂烩。在这种环境下，将会出现不能修补或严密保护的老系统被感染，并变成攻击其它服务器的攻击者的问题。”

　　对企业来讲，围绕数据中心边缘建立安全防线将是一大挑战。如果某种攻击突破外围防线进入服务器，并利用没有保护的高速服务器环境进行传播，企业的信息安全将会迅速受到伤害。如果企业将这些服务器存在于虚拟化的环境中，遇到的麻烦将会更大。

　　对此，Rein表示说：“我们的多数服务器是运行在刀片机架中的虚拟服务器。当你开始分析这些虚拟服务器怎样通过系统管理程序与另一个虚拟服务器通信或交往时，就会发现这是个严重的问题。目前，可供使用的工具实际上并不多。”

　　作为一种解决服务器隔离问题的部分解决方案，Mercy医疗中心选择了来自Palo Alto Networks公司的PA-4000系列应用防火墙。Rein说：“ConSentry处理最终用户，而Palo Alto则更多地以服务器和应用为目标。它使我们可以控制我们的外包商，允许他们在某台服务器上干什么。”

　　NAC式的防火墙

　　与依靠端口号来区分传输流的传统防火墙不同，Palo Alto的设备就像是可以一直看到七层上发生的情况的NAC。它基于Microsoft的Active Directory服务，根据应用和用户角色过滤传输流，这种策略随着更多的应用通过80端口这条通道运行而变得有用。

　　但是，这家厂商没有集成更加高端的服务器保护功能。对此，Mercy医疗中心的Rein认为，大量用户希望采用更高的服务器保护功能，比如流行的入侵防御系统IPS和数据防泄露服务。

　　Palo Alto公司CTO Nir Zuk也认为，这类功能十分重要，并说公司正在努力开发它们。他说：“人们希望防火墙提供IPS功能，确保别人不会侵入服务器。人们还希望确保防火墙监测泄露到数据中心之外的数据，如社会保险号。”他补充说，速度是个大问题。“市场上还没有人提供具有数据中心设备所要求的速度的产品。”

　　专家们说，以服务器为目标的防火墙至少需要提供10Gbps线速吞吐率，只有这样才能支持企业用户各种典型应用。此外，这类防火墙还需要支持丰富的服务器策略，以确保安全的传输流（如备份）得到快速跟踪，恶意传输流被检查和丢弃。此外，对于此类设备的管理复杂度必须能够被用户所平衡，过于复杂的管理不符合当前用户的主流需求。

　　对此Snyder表示说：“很多防火墙公司提供集中的管理，但是没有什么产品具有利用几百条规则控制数据中心内部几十台防火墙的能力。在这种情况下，我宁愿选择提供更好的管理工具，但性能较弱的防火墙。”

　　防火墙厂商Check Point、Cisco和Juniper Networks正在努力解决IPS、管理和其它问题。尽管它们可能没有Palo Alto设备所具有的高水平的应用和用户意识，但数据中心性能和可伸缩性是它们的主要关注点。不过，这些厂商警告说，这类功能会造成许多企业不得不承受的性能下降。

　　Cisco高级产品经理Tom Russell说，希望隔离数据中心服务器的用户必须选择速度不仅快而且还具有强健的管理、策略和虚拟化功能的防火墙。这家厂商最近推出了这样的一种产品：ASA-5580。这种防火墙－VPN产品具有20Gbps吞吐量，支持多达10000名远程用户、75000条策略和每秒150000个连接。

　　Russell说，入侵防御并不是这种级别的防火墙的关注点。他认为，集成的IPS防火墙最好以不高于1Gbps的速度运行。他指出需要更好的性能的企业通常使用分离的防火墙和IPS。

　　Juniper产品营销经理Jon Yun对此表示赞同。他说：“在服务器到服务器的场景中，根据性能，集成的IPS产品将是最理想的。但是如果有一个巨大的数据中心或服务提供商类型的网络，那么专用设备可能更合适。目前，我们的NetScreen 5400的吞吐量达到30Gbps。如果你部署像这样的防火墙，而且你把它虚拟化来支持后端上的10个不同的服务器，它仍为你提供相当高的容量和吞吐量。”

　　Check Point正在为确保其软件可以充分利用Intel的微内核芯片技术而努力。其目标是在增加像IPS这样的特性时不降低性能。Check Point公司VPN-1产品线产品营销经理Bill Jensen说：“我们希望为这种应用意识和智能性的概念提速。如果你从IBM或Dell购买一台配置两块Intel处理器的5000美元的服务器，在开启我们防火墙软件中70%的应用检查功能后，你仍能以2Gbps左右的速度运行，这是非常高的速度。”

　　另一方面，Jensen认为，从服务器到服务器，防火墙不需要太多的IPS马力，因为可以把它们调节为专门针对单台服务器传输流。相比之下，外围防火墙必须检查所有进入企业的传输流。他说：“一旦进入数据中心中的单台机架，并且可以启用较低水平的检查，那么性能会直线上升。”

　　预算之战

　　新型的集成入侵防御的防火墙自然令不少用户感兴趣，不过高昂成本的负担也无法忽视。有用户表示说，除了性能下降之外，预算越来越多地成为了障碍。

　　肯塔基州Louisville市Baptist Healthcare System公司在其外围防线上使用Cisco PIX，并正在其数据中心边缘部署独立式IBM-ISS IPS设备。Baptist Healthcare的客户机服务器基础设施企业经理Tom Taylor说，尽管每台服务器上的NAC式的保护非常完美，但“我们必须提供更多的基于边缘的保护，边缘是我们投入更多资金的地方。”

　　这家医疗机构的网络经理Jim Laval对此表示赞同。他说：“我们经历了两年的预算过程，IPS项目第一阶段才获得批准，这笔预算约为110000美元。我认为我们不会很快部署服务器级保护措施。”