|
要对下一代防火墙(即Next Generation Firewall,简称NG Firewall)进行全面评估,我们需要从功能与特性这两个方面进行深入研究——而这也正是我们今天的核心议题。 下一代防火墙的概念出现并确立于2009年,但其普及速度却明显缓慢得多。截至2015年底,Gartner公司发现只有不到40%的企业利用下一代防火墙进行互联网连接保护。 Gartner公司预计,未来几年中市场对下一代防火墙的需求将呈现出爆发式增长,这也意味着企业需要积极为其网络需求更理想的保护手段。估计至2018年年底,互联网连接中的85%将由下一代防火墙负责保护,而其中90%属于下一代防火墙的新增客户。 传统防火墙 VS 下一代防火墙 传统防火墙通过对端口及协议执行检查与防护,以实现企业网络安全保障。传统防火墙可以分为四种类型:包过滤、应用级网关、代理服务器和状态检测。但由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方,如:传统防火墙不能防范不经由防火墙的攻击、传统防火墙不能防止感染了病毒的软件或文件的传输等等。 下一代防火墙则完全不担心这类问题,它可以网络中的数据包执行深度检测,也就是将数据包解封到应用层。通过这种方式,它能确保数据包的各个组成部分被完整的检测,以识别畸形包、错误、已知攻击和其他异常数据。还能够快速识别并阻止木马、病毒、垃圾邮件、入侵行为,以及其他违反正常通信协议的行为。数据包分析通过各种方法实施,包括基于数据流的检测,漏洞特征、策略配置、协议识别、数据标准化,以及明文HTTP和加密HTTPS连接。 下一代防火墙的核心特性 Gartner在题为《Defining the Next-Generation Firewall》的报告中指出:“不断变化的业务流程、IT技术和网络威胁,正推动网络安全的新需求。协议的使用方式和数据的传输方式已发生变化,网络攻击的目标由单纯的破坏演变为恶意软件植入。在这种环境中,试图要求在标准端口上使用合适协议的控制方法已不再具备足够的有效性,传统防火墙必须演进为下一代防火墙。 由此可以总结出下一代防火墙拥有两大核心特性:应用识别与控制以及身份感知。
买家提示:在挑选下一代防火墙时,大家需要考虑其策略设置是否与最为重要的业务应用相契合。E安全认为,下一代防火墙应当有能力对数十款最常用最具价值的应用程序进行细化管理,而无需单纯关注支持成百上千大家可能根本用不到的冷门应用。
举例来说,大家可以创建规则以允许销售及营销人员利用特定社交媒体应用,同时允许外包商或者临时工作人员访问其中一部分内容,而董事会成员则可以不受限制任意接入互联网。 买家提示:身份感知功能往往被各类下一代防火墙厂商所反复强调,但在实践过程中,这种控制用户或者立足于群组层级实施保护的能力还没有得到广泛采用。除非大家拥有非常明确的身份感知需求,否则这部分功能在评价相关方案时不必太过强调。 下一代防火墙的其它重要特性 入侵防御系统(简称IPS) 下一代防火墙供应商正将越来越多IPS功能添加至产品当中。不过需要强调的是,初期的IPS能力往往并不成熟,但如今其不仅更加强大、还与下一代防火墙的其它能力紧密对接。在不少下一代防火墙中,内置IPS甚至足以挑战独立的IPS方案。 买家提示:入侵防御系统属于企业防御体系中的重要组成部分,因此我们必须考虑自己选定的下一代防火墙是否具备IPS功能,或者有必要选择独立的优秀IPS产品。如果大家需要将IPS与下一代防火墙相结合,Gartner建议我们通过现实威胁与网络负载环境利用第三方测试评估IPS方案的有效性。 网络沙箱 网络沙箱能够提供保护以抵御恶意软件,具体方式包括将可疑文件发送到云环境中的受隔离沙箱当中。在这里,各文件能够加以运行,且执行结果将经过检测以判断其是否属于恶意性质。 网络沙箱往往被下一代防火墙供应商或者合作伙伴以订阅服务的形式推出。2014年全球网络沙箱市场总价值超过5亿美元,而这一数字预计将在2019年增长至35亿美元。 买家提示:网络沙箱正迅速成为一项主流功能,所以我们在考量供应商时必须要求其当前或者有计划在不久的未来提供相关解决方案。 威胁情报供给 威胁情报供给旨在交付一套包含恶意IP地址、恶意签名以及其它恶意指标的清单,帮助防火墙与IPS方案检测威胁并预防攻击。 买家提示:检查下一代防火墙方案是否只能接收自家威胁情报供给,或者可以对接多种数据源。 需要向下一代防火墙安全厂商提出的问题 关于性能:
关于成本:
关于配置:
关于安全功能:
|
|
|
