Gartner定义下一代防火墙

标签:Gartner定义下一代防火墙

访客:68786  发表于:2012-07-25 13:58:17

源引自:GartnerDefining the Next-Generation Firewall

一、防火墙必须演进

防火墙必须演进,才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。随着攻击变得越来越复杂,企业必须更新网络防火墙和入侵防御能力来保护业务系统。

不断变化的业务流程、企业部署的技术,以及威胁,正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(Web2.0),正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。在这种环境中,简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测,不再有足够的价值。为了应对这些挑战,防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(NextGenerationFirewall,简称NGFW)”的产品。如果防火墙厂商不进行这些改变的话,企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。

二、什么是NGFW?

Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。

NGFW至少具有以下属性:

1.支持联机“bump-in-the-wire”配置,不中断网络运行。

2.发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:

1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。

2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。

3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止GoToMyPC

4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。

三、NGFW将逐渐成功

目前,有一些已经将他们的产品升级为提供应用意识和一些NGFW特性的防火墙和IPS厂商,以及一些关注NGFW能力的新兴公司。随着防火墙和IPS更新周期的自然到来,或者随着带宽需求的增加和随着成功的攻击,促使更新防火墙,大企业将用NGFW替换已有的防火墙。Gartner认为不断变化的威胁环境,以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFWNGFW厂商成功的关键将是以同样或略高于第一代防火墙的价格,提供包含第一代防火墙和IPS特性的NGFW

目前仅有不到1%Internet连接采用NGFW来保护。Gartner认为,到2014年底,这个比例将增加到占安装量的35%60%新购买的防火墙将是NGFW

媒体观点

防火墙必须演进么?

随着互联网的发展,网络安全威胁也在不断发生变化。传统基于网络层的安全威胁已经转变为以应用层攻击行为为主的安全威胁。

——摘自赛迪网

对于通过常用的80端口和443端口来访问的互联网应用来说,基于端口的传统企业防火墙与其说像警卫,还不如说是应用的中转地,传统防火墙此时所起的安全作用正在减弱,它也逐步让位于功能强大的新一代高速智能防火墙。

——摘自网络世界

目前,防火墙仍是很多企业最重要的安全设备之一。但随着新型威胁造成的危害日益严重,传统防火墙越来越力不从心,下一代防火墙顺势而来。

——摘自TechTarget中国

显然,和其他网络设备一样,防火墙必须随需而变,升级到下一代防火墙,才能在变革的大潮中焕发新的生命力。

——摘自IT专家网

下一代的防火墙,这一概念必将为广大用户所接受并传播!

——摘自IT168

什么是NGFW

下一代防火墙不但要能够检测并拦截复杂攻击,还要在应用层(包括端口和协议)执行细化安全策略,具备出色的可视化性能和控制能力,可以及时查看网络中应用程序和用户的相关信息以及整个企业网络的流量内容,并进行相应的控制。

——摘自IT专家网

传统防火墙能够很好地防范网络层攻击。但是,随着富媒体应用的爆炸性增长,以及Web 2.0应用快速向业务环境渗透,隐藏在应用层中的恶意威胁越来越多,用户要求下一代防火墙必须能够检测出隐藏在应用层数据流中的攻击。

——摘自比特网

是否能在性能和效率之间找到完美的平衡点,也成为衡量下一代防火墙产品的重要标志。

——摘自计世网

NGAF VS UTM

不可否认,UTM由于具备2-7层的检测和控制能力,能够起到比较全面的防御作用。然而目前UTM却面临两个问题:一个问题是,对应用层检测的精度。“对症下药”医学领域的一个原则,只有准确定位病情,才能适当下药以治疗。映射到网络安全上也是同样道理,应用层威胁的检测识别是进行控制防护的基础,是关键点和难点。与此同时,防御技术的发展,一些和UTM有类似功能的集成式的防火墙出现了。有一点已经引起了一些用户的注意:在现有防火墙基础上增加功能,肯定会影响到运行效率。若要解决这个问题,有硬件和软件两种解决方式:采用高性能的ASIC硬件平台或采用优化的软件体系架构和技术。

——摘自IT168

IDC分析师Charles Kolodgy创造了另一个术语UTM(统一威胁管理),很快便有了NGFWUTM术语之争,KolodgyUTMNGFW的含义大致相同,但Gartner却不这么认为,它指出UTM安全设备只适合中小型企业使用,NGFW才适合员工大于1000的大型企业使用。

——摘自网络世界

需要马上升级到NGFW么?

目前仅有不到1%Internet连接采用NGFW来保护。Gartner认为,到2014年底,这个比例将增加到占安装量的35%60%新购买的防火墙将是NGFW

——GARTNERDefining the Next-Generation Firewall

安全威胁和IT 流程总在不断变化,没有任何一款安全产品可以永久发挥作用。在更新换代到NGFW 的步骤方面,我们比较认同Gartner 的建议:无论用户现在使用的是防火墙、防火墙+IPS 还是安全服务,都应在下一个更新周期来临时切换到NGFW

——摘自计算机世界

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");