2011-06-22 08:21:55微笑的魚

選擇下一代防火墻的五大注意事項

  隨著Web 2.0的廣泛應用和Web化應用的爆發式增長,如今近三分之二的流量都是HTTP和HTTPS流量。Web 2.0應用的主要好處包括可增強協作能力,提高生產效率,以及更深入地了解客戶和潛在客戶的需求。盡管新應用帶來了諸多好處,但也帶來了新的安全威脅,并導致網絡帶寬消耗大幅增長。
  過去,IT管理員只能過濾少量端口的內容,然后阻止其它端口的所有流量,從而避免所有可能的攻擊載體入侵網絡,這種時代已經過去。如今,IT和威脅格局日益復雜,因而企業需要更精準的IT控制能力。
  對傳統防火墻而言,Web應用看起來都差不多,都像是正常的HTTP和HTTPS流量,但IT管理員不會上當。對某個用戶至關重要的生產力工具也許對另一名用戶來說卻存在威脅,且浪費時間。然而,傳統的網絡安全解決方案并不具備這種精準控制能力,也無法對所有流量進行仔細審查,對流量好壞進行分辨。最后導致企業應用極度混亂。
  有效控制應用混亂對于保護網絡遠離Web 2.0威脅以及保留帶寬至關重要。但如何分辨流量的好壞呢?如何能正確識別、分類和控制應用及網絡帶寬呢?
  下一代防火墻簡介
  市場研究公司Gartner認為,下一代防火墻(NGFW)是一種集成式線速網絡平臺,可執行深度流量檢測,阻止攻擊。NGFW包含第一代防火墻的所有標準功能,即常見的網絡功能,如網絡地址轉換(NAT)、包過濾和全狀態包檢測功能。
  NGFW的主要特點是應用感知以及網絡堆棧的完全可視化。NGFW不會像傳統防火墻一樣只依靠端口或協議來阻止流量,而是會根據深度包檢測引擎識別到的流量在應用層執行網絡安全策略。流量控制不再是單純地阻止或允許特定應用,而是可用來管理帶寬或優先排序應用層流量。深度流量檢測讓IT部門可針對單個應用組件執行細粒度策略。例如,可允許用戶使用即時通訊客戶端,但禁止文件共享。
  NGFW還集成了網絡入侵防御功能,這可不是在傳統防火墻架構上簡單添加入侵防御子系統這么簡單。NGFW集成的入侵防御功能是安全引擎的核心組件,無需經多個獨立的安全層傳輸同樣的流量,從而提高了性能,增強了安全性。
  動態應對變化多端的威脅是NGFW的另一大重要特點。設備的簽名庫將不斷更新,用于識別新的威脅,更從容地應對不斷升級的惡意軟件。
  選擇NGFW的五大注意事項
  Gartner研究公司建議企業在更換防火墻和/或入侵防御技術時,要求供應商提供NGFW解決方案。但是,當企業評估NGFW時,一些網絡安全技術提供商會宣稱其產品同樣具備NGFW的功能。那么,真正的企業級NGFW應具備哪些功能呢?
  第一,性能
  Gartner表示,NGFW可在不影響網絡運行的情況下在網絡中進行嵌入式配置。換句話說,NGFW只會帶來極低的網絡延遲。而IPS與其它功能的緊密集成是實現這一點的關鍵。單通道引擎實現了無縫的策略部署和策略執行,而且不會給網絡帶來任何延遲或大幅降低性能。這一點非常重要,因為啟用NGFW服務不應該導致網絡運行中斷。
  第二,強大的掃描功能
  與第一代防火墻相同,NGFW也集成了全狀態檢測功能。但NGFW與上一代產品的主要不同之處在于它支持深度包檢測(DPI)功能。許多NGFW提供商都在大肆宣傳DPI功能,但對這些產品的測試發現,DPI功能塑膠模具會大幅降低網絡的安全防御能力。許多NGFW必須代理文件,才能在網關掃描文件并阻止惡意軟件,這會給網絡性能造成嚴重負面影響。為了避免出現網絡中斷,一些提供商選擇直接允許數據包進入網絡,而不對其進行掃描。
  評估NGFW時,請選擇具備以下功能的NGFW:
  ● 可掃描各種大小的文件,查找其中的病毒、惡意軟件、僵尸網絡和其它威脅
  ● 可解密、掃描和重新加密SSL數據包
  ● 可掃描穿越所有端口的原始TCP流量以及大量協議
  第三,易管理性
  隨著企業開始重視多個站點的安全性,可擴展的、經驗證的分布式管理解決方案對于實現安全性和提高投資回報率至關重要。
  第四,應用智能、控制和可視化
  NGFW有一大基本特點,即控制應用并優化網絡中運行的流量。但是,如果NGFW不具備以下功能,也無法實現這一特點:
  ●  將應用智能和控制功能擴展至無線終端;
  ●  支持自定義應用;
  ●  實時查看網絡情況;
  ●  根據不斷擴展的簽名庫對應用進行掃描。
  NGFW可不同程度地支持以上功能。為了確保網絡得到正確、有效的保護,企業必須了解具體型號的NGFW具備和不具備的功能。
  ?強大的簽名數據庫:NGFW的有效性與可檢測和控制的應用數量息息相關。
  ?實時可視化:顯然,對于看不見的事情,企業無法實現控制和優化。評估NGFW時,企業必須考慮到NGFW是否支持實時查看應用和用戶流量。
  ?對自定義應用的考量:盡管網絡中有許多web應用企業希望及時納入掌控,但大多數NGFW卻無法控制貴公司的自定義應用。但是,要提高有效性,NGFW必須能夠識別企業的自定義應用,并優先處理自定義應用,再處理其它流量。
  ?無線端點控制:企業網絡邊緣的無線端點數量正在不斷增多。如果貴公司也面臨這樣的情況,請考慮使用NGFW,它可針對無線用戶提供強大的應用智能、控制和可視化功能。只控制有線用戶的流量,而無視大量使用無線網絡的筆記本電腦的用戶對企業來說毫無益處。
  第五,經帶擴展的NetFlow和IPFix報告的能力
  NetFlow和IPFix是向外部收集程序報告網絡流量的兩大行業標準。NetFlow部署于交換機和路由器,可導出各種數據,如IP地址源和目的地、源端口和目標端口、3層協議類型和服務等級。IPFix和NetFlow版本9經擴展后,還可導出網絡設備的其它數據,如應用數據、用戶數據和URL數據。
  總結
  通過集成入侵防御、全狀態檢測和深度包檢測功能,NGFW可幫助企業恢復對網絡的控制。
  SonicWALL下一代防火墻提供了:
  ●  應用智能 - SonicWALL可掃描所有網絡流量,包括每個數據包的每個字節,通過了解哪些應用處于使用中以及哪些用戶在使用這些應用,可實現完整的應用智能和控制功能,不管企業采用什么端口或協議。
  ●  應用控制 - 應用智能、控制和可視化增強了管理性和易用性,讓IT管理員可實現對應用和用戶的細粒度控制。管理員可根據預先定義的邏輯類別(如社交媒體或游戲)、個別應用或用戶和用戶組輕松創建帶寬管理策略。
  ●  應用可視化 - 要正確控制網絡使用,管理員必須能實時查看應用流量,并根據觀察到的情況調整網絡策略。SonicWALL Application Flow Monitor提供了有關應用、入口和出口帶寬、訪問的網站以及所有用戶行為的實時圖表。作為SonicWALL NGFW的緊密集成功能,SonicWALL應用智能、控制和可視化將網絡控制權重新還給IT管理員,可輕松分辨好應用和壞應用,從而提升生產效率,而不會影響安全性。