下一代防火墻提供了很多新功能,但是如何將下一代防火墻添加到安全產(chǎn)品組件里面,這是個(gè)值得考慮的問(wèn)題……
在信息安全界,下一代防火墻(Next-generation firewalls, NGFW)目前非常熱門(mén)。廠商都吵著要用新的增強(qiáng)型產(chǎn)品在企業(yè)內(nèi)站穩(wěn)腳跟,承諾新的產(chǎn)品可以給網(wǎng)絡(luò)安全帶來(lái)更強(qiáng)的智能意識(shí)。網(wǎng)絡(luò)專家認(rèn)為在開(kāi)展第一次下一代防火墻( NGFW)部署項(xiàng)目前應(yīng)該先解決一些關(guān)鍵問(wèn)題。這些問(wèn)題包括部署技術(shù)的原理,確定可以受益最多的部署位置,適用于特定環(huán)境的性能。
從利基產(chǎn)品轉(zhuǎn)移到下一代防火墻(NFGW)
目前很多組織的安全環(huán)境中都涉及到不同技術(shù)的使用,且分別專注于安全策略中的一個(gè)特定組件。例如,網(wǎng)絡(luò)安全服務(wù)常常是以防火墻,入侵檢測(cè)和防御系統(tǒng),網(wǎng)絡(luò)訪問(wèn)控制以及數(shù)據(jù)丟失預(yù)防服務(wù)等形式出現(xiàn)。如果要讓企業(yè)在每個(gè)類(lèi)別中選擇一個(gè)最合適的產(chǎn)品,如何管理和監(jiān)控這些獨(dú)立系統(tǒng)對(duì)于企業(yè)而言又是一個(gè)挑戰(zhàn)。
下一代防火墻可以在單個(gè)設(shè)備上將許多不同的安全技術(shù)整合起來(lái)。網(wǎng)絡(luò)安全特性融合桌面安全,內(nèi)容過(guò)濾和安全基礎(chǔ)設(shè)施的其它組成部分。這為網(wǎng)絡(luò)管理員提供了一個(gè)單一的管理界面來(lái)監(jiān)管多個(gè)系統(tǒng),更重要的是,可以讓這些功能共享威脅和資產(chǎn)信息。下一代防火墻(NGFW)的真正價(jià)值是其所提供的統(tǒng)一監(jiān)控,為管理員提供了一個(gè)更為清晰的視野來(lái)了解企業(yè)網(wǎng)絡(luò)安全狀況。
將下一代防火墻部署到網(wǎng)絡(luò)中
當(dāng)然,下一代防火墻的優(yōu)勢(shì)也是有代價(jià)的。與其它技術(shù)相比,下一代防火墻的標(biāo)價(jià)更高。網(wǎng)絡(luò)專家認(rèn)為部署下一代防火墻之前應(yīng)該慎重考慮部署位置,如何能讓下一代防火墻最大程度增強(qiáng)網(wǎng)絡(luò)安全性。例如,將下一代防火墻部署在組織邊界可能不會(huì)符合成本效益。相反,將下一代防火墻部署在內(nèi)部網(wǎng)絡(luò)的關(guān)卡上可能產(chǎn)生最大的價(jià)值。
在大多數(shù)組織中,部署下一代防火墻的首要任務(wù)是要保護(hù)那些暴露在互聯(lián)網(wǎng)中的服務(wù)。允許公眾訪問(wèn)的Web服務(wù)器,郵件服務(wù)器等設(shè)備面臨最大的攻擊風(fēng)險(xiǎn),因此這些設(shè)備應(yīng)該受到下一代防火墻最大的保護(hù)。由于這個(gè)原因,任何對(duì)外網(wǎng)絡(luò)(DMZ)都是下一代防火墻防護(hù)的最佳候選。
一旦保護(hù)好了對(duì)外網(wǎng)絡(luò)(DMZ),就可以考慮轉(zhuǎn)向保護(hù)其它高價(jià)值的網(wǎng)段。有沒(méi)有一些特定類(lèi)別的用戶面臨著更大的風(fēng)險(xiǎn)呢?抑或由于他們處理的數(shù)據(jù)類(lèi)型或從事的活動(dòng)面臨更大的安全風(fēng)險(xiǎn)?例如,一個(gè)包含信用卡POS終端的網(wǎng)段就是下一代防火墻技術(shù)部署的極好位置,當(dāng)威脅(像BackOff這種感染POS的惡意軟件)來(lái)臨時(shí)就可以提供快速響應(yīng)。
選擇下一代防火墻的性能
當(dāng)挑選將要部署的下一代防火墻特定性能時(shí),網(wǎng)絡(luò)和安全團(tuán)隊(duì)?wèi)?yīng)該合作。用一個(gè)保守的方法來(lái)挑選性能是比較適合的,有兩個(gè)原因。首先,負(fù)責(zé)網(wǎng)絡(luò)安全的管理員必須能熟練操作和監(jiān)控新的性能。其次,許多功能都是單獨(dú)授權(quán)的,需要前期和持續(xù)的資金來(lái)維持。
最直接的方法就是選擇一個(gè)能提供所有你所希望部署的服務(wù)的下一代防火墻平臺(tái),但是只購(gòu)買(mǎi)那些要立即使用的服務(wù)的授權(quán)。推出一套能緊密匹配目前你所擁有的利基產(chǎn)品的服務(wù),然后慢慢妥善過(guò)渡到下一代防火墻。一旦一切都在掌握中,就可以開(kāi)始考慮部署新的功能之一,直到慢慢達(dá)到你期望的最終狀態(tài)。
下一代防火墻對(duì)于提供網(wǎng)絡(luò)和安全團(tuán)隊(duì)的效率和效益有著巨大潛力。組織應(yīng)該謹(jǐn)慎地選擇下一代防火墻策略,將其部署在可以實(shí)現(xiàn)最大價(jià)值的位置,并精心部署一組能平衡安全需求與運(yùn)營(yíng)要求的服務(wù)。