有些技术流行语并不会消失,例如下一代防火墙就已经存在了至少十年,它给我们带来了很多革命性的的功能,包括状态数据包过滤、用户身份识别控件、入侵检测/防御和应用可视性/控制等。
整合所有这些功能到一个产品很重要,但其中应用控制是非常重要的进步,因为这让这类型的防火墙首次可以检测和阻止通过企业网络的web应用流量。
这些早期的下一代防火墙(NGFW)构建于不同的时代,早在8到10年前,企业仍然主要依靠围绕网络构建外围来阻止恶意软件。Frost &Sullivan高级行业分析师Chris Rodriguez表示,但这已经不再是全方位的战略。
“防火墙只是企业部署的众多传感器之一,”他表示,“防火墙不再是全方位的战略,它需要结合端点管理和威胁分析,这也是大数据和安全分析变得重要的原因。”
健身公司Beachbody网络工程高级经理William Dugger表示,在他们公司,安全非常重要,因为他们需要确保安全的网络交易,保护合作伙伴以及保护灵活开发环境。
Dugger管理者跨两个西海岸数据中心和五个企业网站中约1700名用户,该公司部署了思科的ASA 5585-X SSP-60防火墙及其采用FirePower模块的ASA 585-X SSP-10防火墙。
在Beachbody公司,SSP-60集中在数据中心核心,每个数据中心有两个,SSP-10则部署在每个数据中心的边缘。
“在我们选择防火墙平台时,我们刚刚部署了新的思科数据中心,并且,思科是唯一提供集群功能的公司之一,他们的集群符合我们的设计,”Duggers解释说,“通过集群功能,我们可以将负载分散在不同的防火墙,每个防火墙可知道其他防火墙在做什么。思科的架构让我们可以利用下一代安全功能的优势。”
例如,ASA现在提供整合思科Sourcefire选项,其中包括URL过滤和高级恶意软件缓解。ASA还整合了思科的身份服务引擎,该公司的安全访问控制系统。
Duggers补充说:“我们还在准备使用其他新的创新技术,例如SSL解密和增强应用感知。”
下一代威胁防御
现在,企业在物理和虚拟环境运行网络,而数据则运行在云端,员工也更加移动化,所以围绕外围构建保护的概念不再可行。员工遍布在世界各地工作,他们远远超出数据中心传统类型防火墙的范围。
Palo Alto Networks公司网络安全产品营销负责人Samantha Madrid表示,“网络正在迅速变化,你的安全需要保持跟进。”
Check Point公司数据中心产品营销负责人Don Meyer表示,移动恶意软件受到越来越多的关注。该公司的移动威胁防御平台可检测iOS和Android设备中的恶意应用,当该平台构建到NGFW时,同样构建了相同的对移动设备的威胁检测和防御功能。
Meyer同意称,虽然NGFW仍然具有相关性,但它们如何与其他威胁检测和端点管理功能整合带来很大差异性。该公司的SandBlast零日保护软件(与其防火墙整合)可在恶意软件编写者部署逃避技术前检测和修复零日攻击以及CPU层面的高级持续性威胁,或者漏洞利用阶段。
传统沙箱很容易受到攻击,因为恶意软件代码编写者已经非常精明。现在新的恶意软件可在它启动之前寻找人类元素并开始运行其代码。
“如果没有CPU级检测,传统沙盒解决方案无法发现和阻止恶意软件感染,因为现在恶意软件越来越复杂,”Meyer表示,“我们想要从最开始检测和防止恶意软件。”
虽然公司仍然需要可检查、检测和阻止受感染应用的防火墙类型,但Palo Alto公司的Madrid表示,企业现在真正需要的是整合NGFW功能与基于云的威胁分析和端点管理的安全平台。
(责任编辑:安博涛)