有些技術(shù)流行語并不會(huì)消失，例如下一代防火墻就已經(jīng)存在了至少十年，它給我們帶來了很多革命性的的功能，包括狀態(tài)數(shù)據(jù)包過濾、用戶身份識別控件、入侵檢測/防御和應(yīng)用可視性/控制等。

整合所有這些功能到一個(gè)產(chǎn)品很重要，但其中應(yīng)用控制是非常重要的進(jìn)步，因?yàn)檫@讓這類型的防火墻首次可以檢測和阻止通過企業(yè)網(wǎng)絡(luò)的web應(yīng)用流量。

這些早期的下一代防火墻(NGFW)構(gòu)建于不同的時(shí)代，早在8到10年前，企業(yè)仍然主要依靠圍繞網(wǎng)絡(luò)構(gòu)建外圍來阻止惡意軟件。Frost &Sullivan高級行業(yè)分析師Chris Rodriguez表示，但這已經(jīng)不再是全方位的戰(zhàn)略。

“防火墻只是企業(yè)部署的眾多傳感器之一，”他表示，“防火墻不再是全方位的戰(zhàn)略，它需要結(jié)合端點(diǎn)管理和威脅分析，這也是大數(shù)據(jù)和安全分析變得重要的原因。”

健身公司Beachbody網(wǎng)絡(luò)工程高級經(jīng)理William Dugger表示，在他們公司，安全非常重要，因?yàn)樗麄冃枰_保安全的網(wǎng)絡(luò)交易，保護(hù)合作伙伴以及保護(hù)靈活開發(fā)環(huán)境。

Dugger管理者跨兩個(gè)西海岸數(shù)據(jù)中心和五個(gè)企業(yè)網(wǎng)站中約1700名用戶，該公司部署了思科的ASA 5585-X SSP-60防火墻及其采用FirePower模塊的ASA 585-X SSP-10防火墻。

在Beachbody公司，SSP-60集中在數(shù)據(jù)中心核心，每個(gè)數(shù)據(jù)中心有兩個(gè)，SSP-10則部署在每個(gè)數(shù)據(jù)中心的邊緣。

“在我們選擇防火墻平臺時(shí)，我們剛剛部署了新的思科數(shù)據(jù)中心，并且，思科是唯一提供集群功能的公司之一，他們的集群符合我們的設(shè)計(jì)，”Duggers解釋說，“通過集群功能，我們可以將負(fù)載分散在不同的防火墻，每個(gè)防火墻可知道其他防火墻在做什么。思科的架構(gòu)讓我們可以利用下一代安全功能的優(yōu)勢。”

例如，ASA現(xiàn)在提供整合思科Sourcefire選項(xiàng)，其中包括URL過濾和高級惡意軟件緩解。ASA還整合了思科的身份服務(wù)引擎，該公司的安全訪問控制系統(tǒng)。

Duggers補(bǔ)充說：“我們還在準(zhǔn)備使用其他新的創(chuàng)新技術(shù)，例如SSL解密和增強(qiáng)應(yīng)用感知。”

下一代威脅防御

現(xiàn)在，企業(yè)在物理和虛擬環(huán)境運(yùn)行網(wǎng)絡(luò)，而數(shù)據(jù)則運(yùn)行在云端，員工也更加移動(dòng)化，所以圍繞外圍構(gòu)建保護(hù)的概念不再可行。員工遍布在世界各地工作，他們遠(yuǎn)遠(yuǎn)超出數(shù)據(jù)中心傳統(tǒng)類型防火墻的范圍。

Palo Alto Networks公司網(wǎng)絡(luò)安全產(chǎn)品營銷負(fù)責(zé)人Samantha Madrid表示，“網(wǎng)絡(luò)正在迅速變化，你的安全需要保持跟進(jìn)。”

Check Point公司數(shù)據(jù)中心產(chǎn)品營銷負(fù)責(zé)人Don Meyer表示，移動(dòng)惡意軟件受到越來越多的關(guān)注。該公司的移動(dòng)威脅防御平臺可檢測iOS和Android設(shè)備中的惡意應(yīng)用，當(dāng)該平臺構(gòu)建到NGFW時(shí)，同樣構(gòu)建了相同的對移動(dòng)設(shè)備的威脅檢測和防御功能。

Meyer同意稱，雖然NGFW仍然具有相關(guān)性，但它們?nèi)绾闻c其他威脅檢測和端點(diǎn)管理功能整合帶來很大差異性。該公司的SandBlast零日保護(hù)軟件(與其防火墻整合)可在惡意軟件編寫者部署逃避技術(shù)前檢測和修復(fù)零日攻擊以及CPU層面的高級持續(xù)性威脅，或者漏洞利用階段。

傳統(tǒng)沙箱很容易受到攻擊，因?yàn)閻阂廛浖a編寫者已經(jīng)非常精明?，F(xiàn)在新的惡意軟件可在它啟動(dòng)之前尋找人類元素并開始運(yùn)行其代碼。

“如果沒有CPU級檢測，傳統(tǒng)沙盒解決方案無法發(fā)現(xiàn)和阻止惡意軟件感染，因?yàn)楝F(xiàn)在惡意軟件越來越復(fù)雜，”Meyer表示，“我們想要從最開始檢測和防止惡意軟件。”

雖然公司仍然需要可檢查、檢測和阻止受感染應(yīng)用的防火墻類型，但Palo Alto公司的Madrid表示，企業(yè)現(xiàn)在真正需要的是整合NGFW功能與基于云的威脅分析和端點(diǎn)管理的安全平臺。

Palo Alto公司的做法是同時(shí)利用Palo Alto的PA和VM系列防火墻;WildFire--基于云的威脅分析引擎;以及Traps--端點(diǎn)安全產(chǎn)品，所有一起來保護(hù)企業(yè)網(wǎng)絡(luò)。例如，當(dāng)Wildfire企業(yè)受到惡意軟件攻擊時(shí)，它會(huì)通知全世界Palo Alto用戶網(wǎng)絡(luò)。WildFire網(wǎng)絡(luò)的防火墻和端點(diǎn)都會(huì)自動(dòng)更新。

IT人員也想要確保他們選擇的防火墻類型支持所有主要的軟件定義網(wǎng)絡(luò)環(huán)境，并可在公共云環(huán)境良好運(yùn)行，例如亞馬遜云技術(shù)網(wǎng)絡(luò)以及微軟Azure。

Check Point公司的防火墻支持VMware的NSX平臺以及OpenStack，還有公共云環(huán)境;該公司正在整合思科的應(yīng)用為中心的基礎(chǔ)設(shè)施。Palo Alto公司的產(chǎn)品也可在AWS運(yùn)行，并可通過該公司的管理平臺Panorama進(jìn)行管理。

“自動(dòng)化和整合是這里的關(guān)鍵，”Madrid表示，“從防火墻的角度來看，企業(yè)需要確保他們的防火墻可同時(shí)在私有和公共云環(huán)境進(jìn)行運(yùn)行。”

采取更全面的方法

Fortinet公司產(chǎn)品與解決方案副總裁John Maddison認(rèn)為，對于可預(yù)測什么以及可提供的保護(hù)水平，行業(yè)存在太多的炒作。

他表示：“我們的方法是將企業(yè)網(wǎng)絡(luò)作為一個(gè)整體，并且將防火墻部署在最適合的位置。”

Fortinet公司采用了單一政策的方法，該政策會(huì)傳遞到網(wǎng)絡(luò)中所有安全設(shè)備。該公司建議客戶在園區(qū)邊緣部署中端邊緣防火墻;在分支機(jī)構(gòu)部署統(tǒng)一威脅管理設(shè)備;內(nèi)部分段網(wǎng)絡(luò)--可根據(jù)用戶或應(yīng)用來分離流量;在中央設(shè)備部署數(shù)據(jù)中心防火墻;在亞馬遜云技術(shù)服務(wù)或微軟Azure部署云防火墻;以及在互聯(lián)網(wǎng)服務(wù)提供商部署運(yùn)營商級的防火墻。

“十年前，我們在分支機(jī)構(gòu)和主要數(shù)據(jù)中心部署防火墻，”Maddison表示，“現(xiàn)在IT人員需要關(guān)注更多的配置，我們試圖讓人們從企業(yè)范圍的方法來考慮防火墻部署。”

思科公司網(wǎng)絡(luò)安全產(chǎn)品營銷主管Dave Stuart表示，防火墻不能只是作為基礎(chǔ)設(shè)施采購清單中的勾選項(xiàng)目，它們需要提供有關(guān)潛在感染的背景感知--不只是提醒IT人員它們發(fā)現(xiàn)威脅，還需要告訴他們這些威脅是否有害。

Stuart表示：“這個(gè)行業(yè)一直善于抵御已知威脅，我們現(xiàn)在需要的是可發(fā)現(xiàn)未知威脅的產(chǎn)品。”

思科的ASA與FirePower服務(wù)包含三個(gè)不同的自動(dòng)化功能。首先，該系統(tǒng)可監(jiān)測進(jìn)入網(wǎng)絡(luò)的威脅，分配一個(gè)響應(yīng)優(yōu)先級，轉(zhuǎn)移它們進(jìn)行隔離并修復(fù)它們。然后，當(dāng)惡意軟件被檢測和修復(fù)后，系統(tǒng)會(huì)自動(dòng)創(chuàng)建新的簽名，以便在未來可隔離或黑名單化該惡意軟件。最后，管理軟件可對看似無關(guān)的惡意軟件進(jìn)行關(guān)聯(lián)，并在未來隔離它們。

思科的端點(diǎn)安全軟件被稱為高級惡意軟件保護(hù)或者AMP，它被設(shè)計(jì)用于沙箱化、分析和修復(fù)可疑惡意軟件。它會(huì)警告IT人員該惡意軟件可對網(wǎng)絡(luò)造成多么嚴(yán)重的影響。

“人們需要明白典型的狀態(tài)防火墻仍然有用，”Stuart表示，“但現(xiàn)在企業(yè)可在一臺設(shè)備中得到所有功能。”

現(xiàn)在的網(wǎng)絡(luò)很復(fù)雜，在端點(diǎn)的NGFW和防病毒軟件不再可行，所以保護(hù)網(wǎng)絡(luò)需要企業(yè)付出更多努力。

盡管行業(yè)分析師仍然將這些類型的防火墻視為獨(dú)立的類別，但企業(yè)在評估沒有基于云的威脅分析和端點(diǎn)戰(zhàn)略的NGFW時(shí)需要進(jìn)一步深入分析。