虛擬化和SDN將增加防火墻安全復(fù)雜性

2013-10-14 16:25:25 EP電力信息化網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

據(jù)國(guó)外媒體報(bào)道，在過(guò)去幾十年中，防火墻一直是互聯(lián)網(wǎng)的基于端口的守護(hù)者。而現(xiàn)在供應(yīng)商都在爭(zhēng)相推出所謂的下一代防火墻，因?yàn)檫@些應(yīng)用感知防火墻可以基于應(yīng)用程序使用來(lái)監(jiān)控和控制訪問(wèn)。此外，很多防火墻中加入

daptive Security Appliance系列中的ASA 5585-X系列據(jù)稱(chēng)具有40Gbps防火墻吞吐量，Nielsen表示在IPS這可以提高到80Gbps，IPS還包含一個(gè)應(yīng)用控制功能，根據(jù)Gartner的定義，這是它被稱(chēng)為“下一代防火墻”的最重要的元素。

Sourcefire公司技術(shù)研究組安全策略副總裁Jason Brvenik認(rèn)為，“在企業(yè)應(yīng)對(duì)不斷變化的最新威脅時(shí)，專(zhuān)用設(shè)備能夠給你更多自由。”

Check Point產(chǎn)品營(yíng)銷(xiāo)主管Fred Kost表示，需要高吞吐量和低延遲性的客戶(hù)通常會(huì)選擇專(zhuān)用功能。但他指出，中小企業(yè)客戶(hù)經(jīng)常發(fā)現(xiàn)多用途防火墻網(wǎng)關(guān)和統(tǒng)一威脅管理設(shè)備已經(jīng)夠用。Check Point也在爭(zhēng)奪“下一代”的稱(chēng)號(hào)，該公司最近就增加了“威脅仿真刀片”作為防火墻模塊。威脅仿真刀片可以安全地“引爆”沙箱中的文件，試圖發(fā)現(xiàn)零日攻擊。它采用了與Palo Alto在其下一代防火墻中Wildfire威脅檢測(cè)相同的方法。

現(xiàn)在，沙箱的想法正在迎頭趕上。例如，McAfee最近收購(gòu)了防火墻/VPN/IPS供應(yīng)商Stonesoft以及ValidEdge來(lái)加強(qiáng)其沙箱技術(shù)。

NSS實(shí)驗(yàn)室分析師Iben Rodriguez表示，對(duì)防火墻和IPS的測(cè)試表明，在防火墻上運(yùn)行多個(gè)安全服務(wù)必然會(huì)對(duì)性能和效率帶來(lái)不好的影響。Neohapsis實(shí)驗(yàn)室研究主管Scott Behrens對(duì)這個(gè)問(wèn)題總結(jié)了一個(gè)常識(shí)性的方法：“如果我是買(mǎi)家，我會(huì)問(wèn)，‘這個(gè)捆綁包能否滿(mǎn)足我的企業(yè)需求?’”

在猶他州的Weber縣政府，Matt Mortensen是奧格登市的信息安全官，當(dāng)?shù)氐姆阑饓?IPS吞吐量需求不超過(guò)約10Gbps。多功能戴爾SonicWall Network Security Appliance E8500模型與IPS、URL過(guò)濾及殺毒軟件一直能夠很好地支持該縣1200名員工使用的網(wǎng)絡(luò)，最近他們計(jì)劃升級(jí)到更強(qiáng)大的SonixWall 9400。該縣還部署了幾個(gè)思科ASA，包括思科ASA 5505防火墻—專(zhuān)門(mén)用于與法律執(zhí)法相關(guān)的操作，例如電信竊聽(tīng)數(shù)據(jù)。

SonicWall防火墻的一些非常有價(jià)值的用途是：出于安全原因通過(guò)應(yīng)用程序控制來(lái)阻止Skype或甚至Java，Mortensen還使用SonicWall來(lái)限制帶寬。

“我還執(zhí)行IP過(guò)濾，不允許用戶(hù)訪問(wèn)某些地方，例如東歐、南美或中國(guó)，”Mortensen指出猶他州與這些地方?jīng)]有業(yè)務(wù)往來(lái)，因而我們出于安全考慮對(duì)其進(jìn)行阻止。該縣還執(zhí)行入站地理IP過(guò)濾。Mortensen還設(shè)置了防火墻來(lái)進(jìn)行出口過(guò)濾，以查看僵尸活動(dòng)的跡象。

互聯(lián)網(wǎng)的世界現(xiàn)在很危險(xiǎn)，很多大學(xué)也開(kāi)始采取安全措施。去年四月，麻省理工學(xué)院(MIT)在收到一個(gè)假的炸彈威脅后決定部署安全策略。

“現(xiàn)在，MIT網(wǎng)絡(luò)上的系統(tǒng)每天都會(huì)受到來(lái)自世界各地成千上萬(wàn)的未經(jīng)授權(quán)連接，這導(dǎo)致MIT每天都會(huì)新增10個(gè)被盜用戶(hù)賬號(hào)，”MIT向其學(xué)術(shù)委員會(huì)解釋說(shuō)，MIT將基于防火墻基礎(chǔ)設(shè)施來(lái)開(kāi)始阻止來(lái)自MIT網(wǎng)絡(luò)外部的流量。

防火墻和IPS在未來(lái)將無(wú)法滿(mǎn)足需求?

防火墻和IPS可以說(shuō)是“多才多藝”，不僅可以作為硬件設(shè)備，還可以作為軟件，有時(shí)候它們專(zhuān)門(mén)旨在推動(dòng)安全性到虛擬桌面和服務(wù)器環(huán)境中—主要基于VMware、微軟Hyper-V、Red Hat的內(nèi)核虛擬機(jī)(KVM)或者開(kāi)源Xen管理程序(最近Citrix將其捐贈(zèng)給Linux基金會(huì))。讓一些防火墻軟件沮喪的是，在過(guò)去幾年，VMware通過(guò)其自己的基于軟件的虛擬防火墻控制也加入了這個(gè)陣營(yíng)。

Check Point公司的Kost承認(rèn)，“虛擬化正在帶來(lái)新的挑戰(zhàn)，我們現(xiàn)在看到的是，他們需要更多防火墻，”他指出，Check Point 21000和61000代表著Check Point正在推動(dòng)支持基于VMware的網(wǎng)絡(luò)。另外VMware本身有“VCloud網(wǎng)絡(luò)和安全”可用于建立基于VM的防火墻。

Sourcefire公司技術(shù)研究組安全策略副總裁Jason Brvenik表示，所有這一切都提出了一個(gè)問(wèn)題，現(xiàn)在究竟誰(shuí)在掌控防火墻和IPS領(lǐng)域。

基于虛擬機(jī)的方法來(lái)進(jìn)行防火墻和IPS正在不斷增加

上個(gè)月，WatchGuard剛剛向其XTMv統(tǒng)一威脅管理平臺(tái)增加了Hyper-V支持。瞻博網(wǎng)絡(luò)產(chǎn)品和策略副總裁Karim Toubba堅(jiān)持認(rèn)為“防火墻現(xiàn)在應(yīng)該是虛擬形式，它不再是以前的形式，”并指出瞻博網(wǎng)絡(luò)的方法支持KVM和VMware。“外圍已經(jīng)變得很有彈性，在私有云環(huán)境中，我們希望防火墻更具彈性。”

Nielsen表示思科有ASA 1000-V Cloud Firewall。Sourcefire今年春天推出了其第一款下一代防火墻FirePower，該公司也開(kāi)發(fā)了一種方法來(lái)過(guò)濾來(lái)自Xen、KPM和VMware工作負(fù)載環(huán)境的管理程序流量。但他承認(rèn)，與更傳統(tǒng)的IPS相比，這可能存在一些性能挑戰(zhàn)。

Palo Alto Networks公司chris

上一頁(yè) 1 2 3 下一頁(yè)

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊