科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全下一代防火墙是平衡网络性能和安全性的最佳方案?

下一代防火墙是平衡网络性能和安全性的最佳方案?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

安全性得到提升,同时又不会对网络性能造成负面影响的网络安全设备一直是IT管理者苦苦寻找的,本文分析下一代防火墙是否是最佳方案。

来源:ZDNet安全频道 2013年1月7日

关键字: 下一代防火墙 NGFW

  • 评论
  • 分享微博
  • 分享邮件

就职于大型集团和中型企业的IT管理者们必须面对一个问题,即在网络性能和网络安全性之间找到一个折中方案。由于企业对于数据安全性的严苛要求,企业不得不以牺牲网络性能和数据吞吐量为代价换取网络安全。而下一代防火墙(NGFWs)的出现,解决了这个令人头疼的问题。

传统的防火墙将现在的企业至于一个充满安全风险的境地。因为传统防火墙的安全防护技术相比现代网络犯罪分子制造的危险数据包来说,显得太过时了。很多厂商宣称可以高速进行动态封包状态检测(Stateful Packet Inspection ,SPI),但是真正衡量防火墙安全防范水平和效果的方法是进行深度封包检测(DPI)以及其效率。为了解决这个缺陷,很多防火墙厂商选择了和传统桌面反病毒软件类似的恶意代码检测方案,即将下载的文件进行缓存再对其进行恶意代码深度检测。这种方法的弊端不仅仅是造成了网络数据的极大延迟,而且防火墙内存容量的限制也制约了可供缓存的网络文件的大小。

定义下一代防火墙

从最基础的角度讲,下一代防火墙应该通过集成入侵检测系统实现深度数据包检测(DPI)防火墙技术,并具备应用层智能性以及对接受和处理的数据进行图形化控制的能。

Gartner对于下一代防火墙的定义是“一个线速的综合网络平台,具备深度数据包检测以及阻止网络攻击的能力。” Gartner 认为,下一代防火墙应该最少具备以下特征:

· 非破坏性的联机配置能力

· 拥有第一代防火墙的标准功能,比如网络地址转换(NAT),动态数据包状态检测(SPI),以及虚拟专用网(VPN)等。

· 内置基于签名的 IPS入侵检测系统引擎

· 应用程序识别,完整的堆栈能见度和颗粒控制

· 有能力从防火墙外部吸收信息,比如基于目录的策略、黑名单、白名单等。

· 升级途径包括未来的信息反馈和安全威胁。

· SSL解密能力,从而识别出不受欢迎的加密应用数据。

下一代防火墙的进化

拥有 SPI功能的防火墙在恶意软件还不太盛行,网站还主要以文本为主的时代,确实帮助企业解决了不少安全难题。端口、IP地址还有协议,都是防火墙管理的关键因素。但是随着互联网的进化,服务器开始提供动态的内容,而客户端浏览器也支持了更多的应用,也就是进入了Web 2.0时代。

如今,来自Salesforce.com 、SharePoint 以及 Farmville 等各种网站的网络应用统统在使用TCP的80端口,加密数据则采用SSL的接口TCP 443。下一代防火墙将能够实时的检测数据包的有效载荷,并对有效载荷进行签名比对,判断是否为已知的恶意代码、病毒和恶意软件。DPI还意味着管理员可以创建足够详细的允许和拒绝规则,对特定的应用程序或网站进行访问控制。由于数据包中的内容可以被深度检测,由此生成各种统计信息就成为了可能,这意味着管理员可以更轻松的进行流量分析,制定网络容量计划,也可以更简单的查找网络故障来源,监视企业网络员工的上网行为。目前的防火墙操作还停留在OSI模型的2至7层。

企业需要什么

企业正在饱受网络应用程序混乱的痛苦。网络通信已经远远不像从前那种类似于电子邮件的简单的存储并转发模式了,而是已经扩展成了包括实时协作工具、Web 2.0应用、即时消息(IM)、点到点应用、VoIP、流媒体以及远程视频会议等多种应用模式了。每种网络应用自身都存在潜在的安全风险。很多企业在实际工作中甚至无法将企业关键应用与那些非关键应用或单纯的拖累带宽的应用区分开。

如今,企业需要拥有应对关键业务的解决方案,同时还要拥有应对那些浪费网络带宽的员工以及他们每天所运行的各式各样(甚至是危险的)的网络应用的解决方案。关键业务需要以带宽为优先考虑因素,而社交媒体和游戏类的网络应用则需要被控制带宽,甚至是阻止访问。另一方面,如图企业的网络策略无法满足当地政府的安全管理条例,有可能还会面临着警告、罚款甚至失去营业资质的危险。

在当代企业中,安全防护和网络性能应该是齐头并进的。企业不应该再由于SPI型防火墙所带来的网络延迟而忍痛降低安全性换取网络性能。防火墙或网络性能的任何延迟,都可能会对那些实时性要求较强的应用造成巨大影响,从而降低这些应用的服务水平和企业的生产效率。 在某些极端情况下,企业甚至会放弃网络安全解决方案中的某些功能,以避免网络性能出现明显的降低或延迟。

企业不论大小,不论是国企还是私企,都面临着各种新型网络应用中存在的潜在安全风险。这是我们所面对的丰富而美好的社交网络中隐藏的陷阱:网络犯罪分子们制造恶意软件并时刻搜索着网络上的猎物。而普通网民不论是在公司还是在家,都在使用博客、社交网站、即时消息、视频、音乐、游戏、网络购物和电子邮件等种种网络应用。一些网络应用,如视频流媒体,点到点通信以及托管或基于云的网络应用,都会将企业至于潜在的黑客入侵、数据泄露以及断网等风险中。除了增加安全风险,这些网络应用还会拖累带宽和企业的生产效率,与企业的关键性业务应用争夺带宽。这其中的关键就在于,企业需要通过某种工具来确保关键业务相关的应用能够获得足够的带宽保障,同时需要这种工具具备应用智能和控制能力,以便保护流入和流出的数据流安全。只有确保网络的速度和安全性都足够好,企业才能拥有一个具有良好生产效率的网络环境。

NGFWS的优势

下一代防火墙能在千兆级甚至更高的网络速度下提供应用智能和控制能力、入侵预防能力、恶意软件保护以及SSL检测能力。

更强的是 NGFW可以让管理员分别控制和管理与业务相关的网络数据流以及与业务无关的网络数据流,确保企业的网络生产效率保持高水平。而且下一代防火墙可以扫描各个端口的文件,不限制文件大小,也不会在扫描时影响数据的安全性或网络的效率。对于高端的下一代防火墙来说,可以同时扫描的文件或网络数据流的数量是没有限制的,因此不会出现防火墙负载过重时,被恶意代码感染的文件有机会漏过扫描进入企业内部网络的情况。另外,下一代防火墙还可以将所有安全和程序控制技术应用到SSL加密数据流中,确保SSL数据流中没有恶意代码。

在选择具备深度数据包检测功能的下一代防火墙时,IT管理者需要注意的是,目前市场上的下一代防火墙在处理器架构上存在不同的架构。有些厂商采用的是通用处理器外加安全协处理器的架构,有些厂商采用的则是自己设计的ASIC(专用集成电路)平台架构。选择哪种架构并不重要,重要的是要确保所选择的下一代防火墙能够完全满足企业的网络性能需求,能够提供最好的稳定性,提供最实用的网络分析功能和网络观察能力,另外还要有方便的部署和管理性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章