虚拟化和SDN将增加防火墙安全复杂性

据国外媒体报道，在过去几十年中，防火墙一直是互联网的基于端口的守护者。而现在供应商都在争相推出所谓的“下一代防火墙”，因为这些“应用感知”防火墙可以基于应用程序使用来监控和控制访问。

此外，很多防火墙中加入了越来越多的功能来试图发现零日攻击，包括入侵防御系统(IPS)、web过滤、VPN、数据丢失防护、恶意软件过滤，甚至还有威胁检测沙箱。对于单独的IPS，因为其应用控制，它可能被称为“下一代IPS”，例如IBM Network Security Protection XGS 5000(网络安全保护XGS 5000)或者McAfee NS系列。

防火墙/IPS供应商竞争非常激烈，他们还推出更高的吞吐量来满足速度的需求，因为经历“虚拟化”的数据中心需要在防火墙提供更高的带宽。

供应商们都渴望得到有影响力的Gartner等公司的赞赏，或者努力在技术评估测试中击败竞争对手，例如NSS实验室或Neohapsis实验室的测试。但其实，成败的关键在于能否赢得Rusty Agee等买家的青睐，Rusty Agee是美国北卡罗来纳州夏洛特市的信息安全工程师，他使用各种防火墙产品。

Agee表示：“防火墙已经大大改进了，”当涉及防火墙和IPS的功能和速度时，“我总是想要更多。”

数据中心虚拟化、移动设备的激增以及该市部署“携带自己设备到工作场所(BYOD)”政策的计划，都是Agee对可能用于保护各政府机构数据的各种方法保持开放态度的原因。他指出，该市的消防部门和警察部门已经开始使用平板电脑和智能手机，所以他现正需要考虑一个BYOD迁移政策。

该市使用移动设备的员工正在利用思科的AnyConnect客户端来建立VPN类型的连接，连接回该市的思科ASA防火墙。除了思科防火墙与单独的思科IPS，该市还使用Check Point防火墙和单独的IPS来封锁到关键服务器、数据中心、互联网接入和该市无线网络的流量。

另外，该市还使用Palo Alto Networks下一代防火墙来监测和控制员工应用程序使用。此外，该市利用F5 Networks应用程序防火墙来寻找针对web服务器的攻击流量。Agee表示，夏洛特市通过LogRhythm的安全信息和事件管理集中化了对这些安全设备的日志管理。

“我们的防火墙每天生成几十万日志到LogRhythm，”Agee表示，该市政府有时候也会收到来自联邦的安全警报相关的feed。集中化防火墙和IPS日志feed，以及服务器日志，能够帮助该市的安全人员从单点确定可能涉及攻击的网络安全问题，以及能够被人力资源或管理更好地处理的员工web使用问题。

在一家企业中有如此混合的防火墙组合可能是特例，并不常见。Gartner分析师Greg Young在6月的Gartner安全与风险管理峰会上表示，Gartner发现大多数公司只使用一家供应商的产品。Gartner一直大力倡导使用下一代防火墙，对于下一代防火墙(NGFW)，Gartner估计，现在只有不到8%的企业使用NGFW，不过这个数字在五年内预计将攀升至30%以上。

Young还指出，很明显，SSL VPN已经完全转移到该防火墙中，不再作为单独的独立的SSL VPN产品。

事实上，防火墙和IPS似乎无处不在。其中一个例子是Fortinet Secure Wireless LAN，这基本上是一个集成到统一威胁管理设备(支持防火墙和IPS功能)的无线接入点和交换机。根据Fortinet营销副总裁John Maddison表示，该产品在零售连锁店很流行，它能够以符合成本效益的方式帮助零售店获得无线网络覆盖和安全保护。

连锁餐厅Jack-in-the-Box最近在其数百家连锁店部署了650台FortiWiFi-60CS设备，这些设备结合了无线接入和防火墙/IPS。该公司IT主管Jim Antoshak表示，Jack-in-the-Box餐厅旧的无线点现在可以“退休”了，这些Fortinet设备将是紧凑型无线和安全的结合体。

一个论据?

业界的辩论主要围绕两个问题：多用途防火墙/IPS能否像独立设备那么有效?交换机或路由器内的安全模块呢?

与思科和瞻博网络一样，惠普提供针对防火墙和入侵防御的安全模块，这种安全模块可用于该供应商的交换机和路由器中。但惠普TippingPoint副总裁兼企业安全产品总经理Rob Greer表示，当涉及入侵防御时，惠普看到的主要部署仍然是专门的独立的设备。他指出，从性能和细粒度控制来看，这通常被认为是惠普下一代应用感知IPS的最佳方法。

思科网络安全和产品营销高级主管Mike Nielsen表示，思科销售的大部分防火墙和IPS产品是“专用安全设备”。其Adaptive Security Appliance系列中的ASA 5585-X系列据称具有40Gbps防火墙吞吐量，Nielsen表示在IPS这可以提高到80Gbps，IPS还包含一个应用控制功能，根据Gartner的定义，这是它被称为“下一代防火墙”的最重要的元素。

Sourcefire公司技术研究组安全策略副总裁Jason Brvenik认为，“在企业应对不断变化的最新威胁时，专用设备能够给你更多自由。”

Check Point产品营销主管Fred Kost表示，需要高吞吐量和低延迟性的客户通常会选择专用功能。但他指出，中小企业客户经常发现多用途防火墙网关和统一威胁管理设备已经够用。Check Point也在争夺“下一代”的称号，该公司最近就增加了“威胁仿真刀片”作为防火墙模块。威胁仿真刀片可以安全地“引爆”沙箱中的文件，试图发现零日攻击。它采用了与Palo Alto在其下一代防火墙中Wildfire威胁检测相同的方法。

现在，沙箱的想法正在迎头赶上。例如，McAfee最近收购了防火墙/VPN/IPS供应商Stonesoft以及ValidEdge来加强其沙箱技术。

NSS实验室分析师Iben Rodriguez表示，对防火墙和IPS的测试表明，在防火墙上运行多个安全服务必然会对性能和效率带来不好的影响。Neohapsis实验室研究主管Scott Behrens对这个问题总结了一个常识性的方法：“如果我是买家，我会问，‘这个捆绑包能否满足我的企业需求?’”

在犹他州的Weber县政府，Matt Mortensen是奥格登市的信息安全官，当地的防火墙/IPS吞吐量需求不超过约10Gbps。多功能戴尔SonicWall Network Security Appliance E8500模型与IPS、URL过滤及杀毒软件一直能够很好地支持该县1200名员工使用的网络，最近他们计划升级到更强大的SonixWall 9400。该县还部署了几个思科ASA，包括思科ASA 5505防火墙—专门用于与法律执法相关的操作，例如电信窃听数据。

SonicWall防火墙的一些非常有价值的用途是：出于安全原因通过应用程序控制来阻止Skype或甚至Java，Mortensen还使用SonicWall来限制带宽。

“我还执行IP过滤，不允许用户访问某些地方，例如东欧、南美或中国，”Mortensen指出犹他州与这些地方没有业务往来，因而我们出于安全考虑对其进行阻止。该县还执行入站地理IP过滤。Mortensen还设置了防火墙来进行出口过滤，以查看僵尸活动的迹象。

互联网的世界现在很危险，很多大学也开始采取安全措施。去年四月，麻省理工学院(MIT)在收到一个假的炸弹威胁后决定部署安全策略。

“现在，MIT网络上的系统每天都会受到来自世界各地成千上万的未经授权连接，这导致MIT每天都会新增10个被盗用户账号，”MIT向其学术委员会解释说，MIT将基于防火墙基础设施来开始阻止来自MIT网络外部的流量。