在过去几十年中,防火墙一直是互联网的基于端口的守护者。而现在供应商都在争相推出所谓的“下一代防火墙”,因为这些“应用感知”防火墙可以基于应用程序使用来监控和控制访问。
此外,很多防火墙中加入了越来越多的功能来试图发现零日攻击,包括入侵防御系统(IPS)、web过滤、VPN、数据丢失防护、恶意软件过滤,甚至还有威胁检测沙箱。对于单独的IPS,因为其应用控制,它可能被称为“下一代IPS”,例如IBM Network Security Protection XGS 5000(网络安全保护XGS 5000)或者McAfee NS系列。
防火墙/IPS供应商竞争非常激烈,他们还推出更高的吞吐量来满足速度的需求,因为经历“虚拟化”的数据中心需要在防火墙提供更高的带宽。
供应商们都渴望得到有影响力的Gartner等公司的赞赏,或者努力在技术评估测试中击败竞争对手,例如NSS实验室或Neohapsis实验室的测试。但其实,成败的关键在于能否赢得Rusty Agee等买家的青睐,Rusty Agee是美国北卡罗来纳州夏洛特市的信息安全工程师,他使用各种防火墙产品。
Agee表示:“防火墙已经大大改进了,”当涉及防火墙和IPS的功能和速度时,“我总是想要更多。”
数据中心虚拟化、移动设备的激增以及该市部署“携带自己设备到工作场所(BYOD)”政策的计划,都是Agee对可能用于保护各政府机构数据的各种方法保持开放态度的原因。他指出,该市的消防部门和警察部门已经开始使用平板电脑和智能手机,所以他现正需要考虑一个BYOD迁移政策。
该市使用移动设备的员工正在利用思科的AnyConnect客户端来建立VPN类型的连接,连接回该市的思科ASA防火墙。除了思科防火墙与单独的思科IPS,该市还使用Check Point防火墙和单独的IPS来封锁到关键服务器、数据中心、互联网接入和该市无线网络的流量。
另外,该市还使用Palo Alto Networks下一代防火墙来监测和控制员工应用程序使用。此外,该市利用F5 Networks应用程序防火墙来寻找针对web服务器的攻击流量。Agee表示,夏洛特市通过LogRhythm的安全信息和事件管理集中化了对这些安全设备的日志管理。
“我们的防火墙每天生成几十万日志到LogRhythm,”Agee表示,该市政府有时候也会收到来自联邦的安全警报相关的feed。集中化防火墙和IPS日志feed,以及服务器日志,能够帮助该市的安全人员从单点确定可能涉及攻击的网络安全问题,以及能够被人力资源或管理更好地处理的员工web使用问题。
在一家企业中有如此混合的防火墙组合可能是特例,并不常见。Gartner分析师Greg Young在6月的Gartner安全与风险管理峰会上表示,Gartner发现大多数公司只使用一家供应商的产品。Gartner一直大力倡导使用下一代防火墙,对于下一代防火墙(NGFW),Gartner估计,现在只有不到8%的企业使用NGFW,不过这个数字在五年内预计将攀升至30%以上。
Young还指出,很明显,SSL VPN已经完全转移到该防火墙中,不再作为单独的独立的SSL VPN产品。
事实上,防火墙和IPS似乎无处不在。其中一个例子是Fortinet Secure Wireless LAN,这基本上是一个集成到统一威胁管理设备(支持防火墙和IPS功能)的无线接入点和交换机。根据Fortinet营销副总裁John Maddison表示,该产品在零售连锁店很流行,它能够以符合成本效益的方式帮助零售店获得无线网络覆盖和安全保护。
连锁餐厅Jack-in-the-Box最近在其数百家连锁店部署了650台FortiWiFi-60CS设备,这些设备结合了无线接入和防火墙/IPS。该公司IT主管Jim Antoshak表示,Jack-in-the-Box餐厅旧的无线点现在可以“退休”了,这些Fortinet设备将是紧凑型无线和安全的结合体。
一个论据?
业界的辩论主要围绕两个问题:多用途防火墙/IPS能否像独立设备那么有效?交换机或路由器内的安全模块呢?
与思科和瞻博网络一样,惠普提供针对防火墙和入侵防御的安全模块,这种安全模块可用于该供应商的交换机和路由器中。但惠普TippingPoint副总裁兼企业安全产品总经理Rob Greer表示,当涉及入侵防御时,惠普看到的主要部署仍然是专门的独立的设备。他指出,从性能和细粒度控制来看,这通常被认为是惠普下一代应用感知IPS的最佳方法。
思科网络安全和产品营销高级主管Mike Nielsen表示,思科销售的大部分防火墙和IPS产品是“专用安全设备”。其Adaptive Security Appliance系列中的ASA 5585-X系列据称具有40Gbps防火墙吞吐量,Nielsen表示在IPS这可以提高到80Gbps,IPS还包含一个应用控制功能,根据Gartner的定义,这是它被称为“下一代防火墙”的最重要的元素。
Sourcefire公司技术研究组安全策略副总裁Jason Brvenik认为,“在企业应对不断变化的最新威胁时,专用设备能够给你更多自由。”
Check Point产品营销主管Fred Kost表示,需要高吞吐量和低延迟性的客户通常会选择专用功能。但他指出,中小企业客户经常发现多用途防火墙网关和统一威胁管理设备已经够用。Check Point也在争夺“下一代”的称号,该公司最近就增加了“威胁仿真刀片”作为防火墙模块。威胁仿真刀片可以安全地“引爆”沙箱中的文件,试图发现零日攻击。它采用了与Palo Alto在其下一代防火墙中Wildfire威胁检测相同的方法。
现在,沙箱的想法正在迎头赶上。例如,McAfee最近收购了防火墙/VPN/IPS供应商Stonesoft以及ValidEdge来加强其沙箱技术。
NSS实验室分析师Iben Rodriguez表示,对防火墙和IPS的测试表明,在防火墙上运行多个安全服务必然会对性能和效率带来不好的影响。Neohapsis实验室研究主管Scott Behrens对这个问题总结了一个常识性的方法:“如果我是买家,我会问,‘这个捆绑包能否满足我的企业需求?’”
在犹他州的Weber县政府,Matt Mortensen是奥格登市的信息安全官,当地的防火墙/IPS吞吐量需求不超过约10Gbps。多功能戴尔SonicWall Network Security Appliance E8500模型与IPS、URL过滤及杀毒软件一直能够很好地支持该县1200名员工使用的网络,最近他们计划升级到更强大的SonixWall 9400。该县还部署了几个思科ASA,包括思科ASA 5505防火墙—专门用于与法律执法相关的操作,例如电信窃听数据。
SonicWall防火墙的一些非常有价值的用途是:出于安全原因通过应用程序控制来阻止Skype或甚至Java,Mortensen还使用SonicWall来限制带宽。
“我还执行IP过滤,不允许用户访问某些地方,例如东欧、南美或中国,”Mortensen指出犹他州与这些地方没有业务往来,因而我们出于安全考虑对其进行阻止。该县还执行入站地理IP过滤。Mortensen还设置了防火墙来进行出口过滤,以查看僵尸活动的迹象。
互联网的世界现在很危险,很多大学也开始采取安全措施。去年四月,麻省理工学院(MIT)在收到一个假的炸弹威胁后决定部署安全策略。
“现在,MIT网络上的系统每天都会受到来自世界各地成千上万的未经授权连接,这导致MIT每天都会新增10个被盗用户账号,”MIT向其学术委员会解释说,MIT将基于防火墙基础设施来开始阻止来自MIT网络外部的流量。
防火墙和IPS在未来将无法满足需求?
防火墙和IPS可以说是“多才多艺”,不仅可以作为硬件设备,还可以作为软件,有时候它们专门旨在推动安全性到虚拟桌面和服务器环境中—主要基于VMware、微软Hyper-V、Red Hat的内核虚拟机(KVM)或者开源Xen管理程序(最近Citrix将其捐赠给Linux基金会)。让一些防火墙软件沮丧的是,在过去几年,VMware通过其自己的基于软件的虚拟防火墙控制也加入了这个阵营。
Check Point公司的Kost承认,“虚拟化正在带来新的挑战,我们现在看到的是,他们需要更多防火墙,”他指出,Check Point 21000和61000代表着Check Point正在推动支持基于VMware的网络。另外VMware本身有“VCloud网络和安全”可用于建立基于VM的防火墙。
Sourcefire公司技术研究组安全策略副总裁Jason Brvenik表示,所有这一切都提出了一个问题,现在究竟谁在掌控防火墙和IPS领域。
基于虚拟机的方法来进行防火墙和IPS正在不断增加
上个月,WatchGuard刚刚向其XTMv统一威胁管理平台增加了Hyper-V支持。瞻博网络产品和策略副总裁Karim Toubba坚持认为“防火墙现在应该是虚拟形式,它不再是以前的形式,”并指出瞻博网络的方法支持KVM和VMware。“外围已经变得很有弹性,在私有云环境中,我们希望防火墙更具弹性。”
Nielsen表示思科有ASA 1000-V Cloud Firewall。Sourcefire今年春天推出了其第一款下一代防火墙FirePower,该公司也开发了一种方法来过滤来自Xen、KPM和VMware工作负载环境的管理程序流量。但他承认,与更传统的IPS相比,这可能存在一些性能挑战。
Palo Alto Networks公司Chris King表示,越来越多的客户开始同时使用其物理和虚拟化下一代防火墙。
但是,NSS实验室分析师John Pirc警告说,基于管理程序的防火墙和IPS仍然相当新,有个问题是防火墙/IPS供应商并不总是支持多虚拟化平台。NSS实验室可能今年会在其实验室测试基于虚拟机的安全性。
然而,根据Gartner表示,虚拟化防火墙只占整个防火墙的5%不到。Young表示,虚拟化防火墙在特定情况下会让事情变复杂,即关于它们应该由网络运营组还是服务器运营组来管理的问题。他指出:“在这个虚拟版本中,存在谁管理什么的复杂性。”
企业正在不断将数据以及数据处理发送到云服务供应商的网络--这有可能是平台即服务、基础设施即服务,或者软件即服务,这种云计算的兴起也引起了大家对防火墙和IPS的未来的思考。现在,你在云服务(例如亚马逊)所做的操作与你在企业内部的操作鲜少有联系,并且,现在防火墙和IPS主要位于企业内部。
与此同时,安全行业还要应对软件定义网络的出现和CloudStack及OpenStack的使用。
“这是一个颠覆性的转变,”Toubba认为,他还指出瞻博网络认为基于软件的防火墙等其他安全服务可以部署到SDN和云计算技术。
初创公司Bromium创始人兼首席技术官Simon Crosby(在XenSource被Ctrix收购前,他曾任该公司XenSource创始人兼首席技术官)并不认为传统防火墙和IPS(或者“下一代”什么)是答案。他表示,公共云技术和OpenStack是推动事情突破的主要力量。
Crosby指出,安全行业已经大范围“破产”,并且供应商在“撒谎”,他警告说“任何断言可以检测到攻击者的技术都是存在问题的。”他认为更好地实现虚拟机安全的方法将通过基于CPU保护和“硬件隔离”来实现,“硬件隔离”是以一种新颖的方式利用内置英特尔和ARM芯片安全功能。Bromium的vSentry虚拟化安全运作方式正如虚拟机内的虚拟机,对于windows的攻击代码,先隔离再“丢弃”。
这种新想法是否能够发挥作用仍然有待观察。
Gartner的Young表示,即将到来的SDN技术并不意味着物理交换机将退出历史舞台,他指出,这种不成熟的网络形式将为通过控制器编排应用程序和自动化服务链带来新的方式。然而,问题是这种技术肯定会影响现在防火墙的运作方式,目前并没有针对SDN的坚实的安全模型,Young表示:“目前的SDN安全机制其实是子虚乌有。”