虛擬化和SDN將增加防火墻安全復(fù)雜性

2013-10-14 16:25:25 EP電力信息化網(wǎng)　點擊量：評論 (0)

據(jù)國外媒體報道，在過去幾十年中，防火墻一直是互聯(lián)網(wǎng)的基于端口的守護(hù)者。而現(xiàn)在供應(yīng)商都在爭相推出所謂的下一代防火墻，因為這些應(yīng)用感知防火墻可以基于應(yīng)用程序使用來監(jiān)控和控制訪問。此外，很多防火墻中加入

daptive Security Appliance系列中的ASA 5585-X系列據(jù)稱具有40Gbps防火墻吞吐量，Nielsen表示在IPS這可以提高到80Gbps，IPS還包含一個應(yīng)用控制功能，根據(jù)Gartner的定義，這是它被稱為“下一代防火墻”的最重要的元素。

Sourcefire公司技術(shù)研究組安全策略副總裁Jason Brvenik認(rèn)為，“在企業(yè)應(yīng)對不斷變化的最新威脅時，專用設(shè)備能夠給你更多自由。”

Check Point產(chǎn)品營銷主管Fred Kost表示，需要高吞吐量和低延遲性的客戶通常會選擇專用功能。但他指出，中小企業(yè)客戶經(jīng)常發(fā)現(xiàn)多用途防火墻網(wǎng)關(guān)和統(tǒng)一威脅管理設(shè)備已經(jīng)夠用。Check Point也在爭奪“下一代”的稱號，該公司最近就增加了“威脅仿真刀片”作為防火墻模塊。威脅仿真刀片可以安全地“引爆”沙箱中的文件，試圖發(fā)現(xiàn)零日攻擊。它采用了與Palo Alto在其下一代防火墻中Wildfire威脅檢測相同的方法。

現(xiàn)在，沙箱的想法正在迎頭趕上。例如，McAfee最近收購了防火墻/VPN/IPS供應(yīng)商Stonesoft以及ValidEdge來加強(qiáng)其沙箱技術(shù)。

NSS實驗室分析師Iben Rodriguez表示，對防火墻和IPS的測試表明，在防火墻上運行多個安全服務(wù)必然會對性能和效率帶來不好的影響。Neohapsis實驗室研究主管Scott Behrens對這個問題總結(jié)了一個常識性的方法：“如果我是買家，我會問，‘這個捆綁包能否滿足我的企業(yè)需求?’”

在猶他州的Weber縣政府，Matt Mortensen是奧格登市的信息安全官，當(dāng)?shù)氐姆阑饓?IPS吞吐量需求不超過約10Gbps。多功能戴爾SonicWall Network Security Appliance E8500模型與IPS、URL過濾及殺毒軟件一直能夠很好地支持該縣1200名員工使用的網(wǎng)絡(luò)，最近他們計劃升級到更強(qiáng)大的SonixWall 9400。該縣還部署了幾個思科ASA，包括思科ASA 5505防火墻—專門用于與法律執(zhí)法相關(guān)的操作，例如電信竊聽數(shù)據(jù)。

SonicWall防火墻的一些非常有價值的用途是：出于安全原因通過應(yīng)用程序控制來阻止Skype或甚至Java，Mortensen還使用SonicWall來限制帶寬。

“我還執(zhí)行IP過濾，不允許用戶訪問某些地方，例如東歐、南美或中國，”Mortensen指出猶他州與這些地方?jīng)]有業(yè)務(wù)往來，因而我們出于安全考慮對其進(jìn)行阻止。該縣還執(zhí)行入站地理IP過濾。Mortensen還設(shè)置了防火墻來進(jìn)行出口過濾，以查看僵尸活動的跡象。

互聯(lián)網(wǎng)的世界現(xiàn)在很危險，很多大學(xué)也開始采取安全措施。去年四月，麻省理工學(xué)院(MIT)在收到一個假的炸彈威脅后決定部署安全策略。

“現(xiàn)在，MIT網(wǎng)絡(luò)上的系統(tǒng)每天都會受到來自世界各地成千上萬的未經(jīng)授權(quán)連接，這導(dǎo)致MIT每天都會新增10個被盜用戶賬號，”MIT向其學(xué)術(shù)委員會解釋說，MIT將基于防火墻基礎(chǔ)設(shè)施來開始阻止來自MIT網(wǎng)絡(luò)外部的流量。

防火墻和IPS在未來將無法滿足需求?

防火墻和IPS可以說是“多才多藝”，不僅可以作為硬件設(shè)備，還可以作為軟件，有時候它們專門旨在推動安全性到虛擬桌面和服務(wù)器環(huán)境中—主要基于VMware、微軟Hyper-V、Red Hat的內(nèi)核虛擬機(jī)(KVM)或者開源Xen管理程序(最近Citrix將其捐贈給Linux基金會)。讓一些防火墻軟件沮喪的是，在過去幾年，VMware通過其自己的基于軟件的虛擬防火墻控制也加入了這個陣營。

Check Point公司的Kost承認(rèn)，“虛擬化正在帶來新的挑戰(zhàn)，我們現(xiàn)在看到的是，他們需要更多防火墻，”他指出，Check Point 21000和61000代表著Check Point正在推動支持基于VMware的網(wǎng)絡(luò)。另外VMware本身有“VCloud網(wǎng)絡(luò)和安全”可用于建立基于VM的防火墻。

Sourcefire公司技術(shù)研究組安全策略副總裁Jason Brvenik表示，所有這一切都提出了一個問題，現(xiàn)在究竟誰在掌控防火墻和IPS領(lǐng)域。

基于虛擬機(jī)的方法來進(jìn)行防火墻和IPS正在不斷增加

上個月，WatchGuard剛剛向其XTMv統(tǒng)一威脅管理平臺增加了Hyper-V支持。瞻博網(wǎng)絡(luò)產(chǎn)品和策略副總裁Karim Toubba堅持認(rèn)為“防火墻現(xiàn)在應(yīng)該是虛擬形式，它不再是以前的形式，”并指出瞻博網(wǎng)絡(luò)的方法支持KVM和VMware。“外圍已經(jīng)變得很有彈性，在私有云環(huán)境中，我們希望防火墻更具彈性。”

Nielsen表示思科有ASA 1000-V Cloud Firewall。Sourcefire今年春天推出了其第一款下一代防火墻FirePower，該公司也開發(fā)了一種方法來過濾來自Xen、KPM和VMware工作負(fù)載環(huán)境的管理程序流量。但他承認(rèn)，與更傳統(tǒng)的IPS相比，這可能存在一些性能挑戰(zhàn)。

Palo Alto Networks公司chris

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊