網絡威脅嚴重,來自Web攻擊愈來愈多,令上一代防火牆失去作用。新一代防火牆(NGFW)須具應用控制(Application control),從應用層監察,即使用戶以瀏覽器使用Web應用,亦可按AppID限制使用功能。
新一代應用幾乎全利用Web的協定,上一代只按埠位控制防火牆,幾乎完全不能防禦。故此,防火牆必須可在應用層,準確辨認出應用程式,並知道使用的用戶身份,並且知道存取內容,是否內藏病毒和攻擊等等。
新一代防火牆主要結合IDP(入侵偵測與防禦),偵察辨認應用,抵擋網絡而來的攻擊,並具備Web過濾(Web filtering),以防用戶誤訪惡意網站;甚至按照用戶身份和內容控制,以作更細緻防禦。
新一代防火牆演進極快
但是,據Gartner估計,現時只有約兩成企業,採用了新一代防火牆,預期明年底將增至三成半,增長迅速。但新一代防火牆市場競爭劇烈。眾多廠商包括了Palo Alto、Fortinet、Juniper、CheckPoint。Juniper的SRX防火牆採用Junos作業系統,獲不少網絡營運商採用,AppID可辨認數以千計的應用。
最近,思科也收購了IDP廠商SourceFire,具新一代防火牆的主要功能,馬上補充了ASA防火牆的不足,拉近跟其他新一代防火牆距離。Juniper則公佈了提昇新一代防火牆性能;包括其虛擬防火牆,加入完整新一代防火牆功能,並支援中央化部署。
新一代防火牆須結合企業的目錄系統,以便按企業策略作中央化部署。Juniper亞太區資訊安全資深顧問梁定康指出,絕大部分企業均依靠微軟Active Directory(AD)目錄系統,管理用戶角色和眾多網絡設定。整合AD可憑用戶的角色,實施防火牆的管理策略。不過,大部分防火牆均須在AD上,安裝代理程式(Agent),增加了實施風險,不少企業又不容許在AD上安裝任何程式,Juniper的SRX不再需要AD代理程式,亦可按AD管理用戶在防火牆上權限,避免因部署新一代防火牆,干擾AD正常設定。
梁定康表示,SRX應用控制AppID功能亦已提昇,除了辨識更多應用,即使是已加密的Peer to peer通訊內,亦可準確監視和控制;類似Skype和BitTorrent,以往通訊加密而難於控制,新版SRX可準確認識控制,加強控制社交、視頻和下載等應用。
虛擬防火牆加入應用控制
Juniper也大力開發虛擬平台的防火牆,梁定康表示Juniper虛擬防火牆除了具以往保安和VPN功能,也支援新一代AppID、防毒、防垃圾郵件和IPS等功能,準確辨認惡意程式。而vGW防火牆更針對VMware虛擬平台內核設計,支援vmSafe的API,保護vSphere效能更高,也將支援新版本vSphere 5.5的NSX介面NSX/NetX的網絡虛擬化,效率更高。他表示,虛擬防火牆Firefly Perimeter則同時支援KVM及vSphere兩種Hypervisor,Juniper計畫加入支援更多Hypervisor,全面保護數據中心內不同虛擬基建。
梁定康表示,新版的Junos Space Security Director可同時中央管理實體的SRX和Firefly Perimeter虛擬防火牆,向多部防火牆更新設定,統一管理所有保安設定和升級軟件。「虛擬化數據中心內,隨時會部署數以百計的虛擬防火牆,中央化管理和自動化非常重要。Space Security Director同時管理數以千計防火牆,確保企業隨時均遵從統一的保安策略。」
沒有留言:
發佈留言