虛擬化和SDN將增加防火墻安全復雜性

2013-10-14 16:25:25 EP電力信息化網　點擊量：評論 (0)

據國外媒體報道，在過去幾十年中，防火墻一直是互聯網的基于端口的守護者。而現在供應商都在爭相推出所謂的下一代防火墻，因為這些應用感知防火墻可以基于應用程序使用來監控和控制訪問。此外，很多防火墻中加入

daptive Security Appliance系列中的ASA 5585-X系列據稱具有40Gbps防火墻吞吐量，Nielsen表示在IPS這可以提高到80Gbps，IPS還包含一個應用控制功能，根據Gartner的定義，這是它被稱為“下一代防火墻”的最重要的元素。

Sourcefire公司技術研究組安全策略副總裁Jason Brvenik認為，“在企業應對不斷變化的最新威脅時，專用設備能夠給你更多自由。”

Check Point產品營銷主管Fred Kost表示，需要高吞吐量和低延遲性的客戶通常會選擇專用功能。但他指出，中小企業客戶經常發現多用途防火墻網關和統一威脅管理設備已經夠用。Check Point也在爭奪“下一代”的稱號，該公司最近就增加了“威脅仿真刀片”作為防火墻模塊。威脅仿真刀片可以安全地“引爆”沙箱中的文件，試圖發現零日攻擊。它采用了與Palo Alto在其下一代防火墻中Wildfire威脅檢測相同的方法。

現在，沙箱的想法正在迎頭趕上。例如，McAfee最近收購了防火墻/VPN/IPS供應商Stonesoft以及ValidEdge來加強其沙箱技術。

NSS實驗室分析師Iben Rodriguez表示，對防火墻和IPS的測試表明，在防火墻上運行多個安全服務必然會對性能和效率帶來不好的影響。Neohapsis實驗室研究主管Scott Behrens對這個問題總結了一個常識性的方法：“如果我是買家，我會問，‘這個捆綁包能否滿足我的企業需求?’”

在猶他州的Weber縣政府，Matt Mortensen是奧格登市的信息安全官，當地的防火墻/IPS吞吐量需求不超過約10Gbps。多功能戴爾SonicWall Network Security Appliance E8500模型與IPS、URL過濾及殺毒軟件一直能夠很好地支持該縣1200名員工使用的網絡，最近他們計劃升級到更強大的SonixWall 9400。該縣還部署了幾個思科ASA，包括思科ASA 5505防火墻—專門用于與法律執法相關的操作，例如電信竊聽數據。

SonicWall防火墻的一些非常有價值的用途是：出于安全原因通過應用程序控制來阻止Skype或甚至Java，Mortensen還使用SonicWall來限制帶寬。

“我還執行IP過濾，不允許用戶訪問某些地方，例如東歐、南美或中國，”Mortensen指出猶他州與這些地方沒有業務往來，因而我們出于安全考慮對其進行阻止。該縣還執行入站地理IP過濾。Mortensen還設置了防火墻來進行出口過濾，以查看僵尸活動的跡象。

互聯網的世界現在很危險，很多大學也開始采取安全措施。去年四月，麻省理工學院(MIT)在收到一個假的炸彈威脅后決定部署安全策略。

“現在，MIT網絡上的系統每天都會受到來自世界各地成千上萬的未經授權連接，這導致MIT每天都會新增10個被盜用戶賬號，”MIT向其學術委員會解釋說，MIT將基于防火墻基礎設施來開始阻止來自MIT網絡外部的流量。

防火墻和IPS在未來將無法滿足需求?

防火墻和IPS可以說是“多才多藝”，不僅可以作為硬件設備，還可以作為軟件，有時候它們專門旨在推動安全性到虛擬桌面和服務器環境中—主要基于VMware、微軟Hyper-V、Red Hat的內核虛擬機(KVM)或者開源Xen管理程序(最近Citrix將其捐贈給Linux基金會)。讓一些防火墻軟件沮喪的是，在過去幾年，VMware通過其自己的基于軟件的虛擬防火墻控制也加入了這個陣營。

Check Point公司的Kost承認，“虛擬化正在帶來新的挑戰，我們現在看到的是，他們需要更多防火墻，”他指出，Check Point 21000和61000代表著Check Point正在推動支持基于VMware的網絡。另外VMware本身有“VCloud網絡和安全”可用于建立基于VM的防火墻。

Sourcefire公司技術研究組安全策略副總裁Jason Brvenik表示，所有這一切都提出了一個問題，現在究竟誰在掌控防火墻和IPS領域。

基于虛擬機的方法來進行防火墻和IPS正在不斷增加

上個月，WatchGuard剛剛向其XTMv統一威脅管理平臺增加了Hyper-V支持。瞻博網絡產品和策略副總裁Karim Toubba堅持認為“防火墻現在應該是虛擬形式，它不再是以前的形式，”并指出瞻博網絡的方法支持KVM和VMware。“外圍已經變得很有彈性，在私有云環境中，我們希望防火墻更具彈性。”

Nielsen表示思科有ASA 1000-V Cloud Firewall。Sourcefire今年春天推出了其第一款下一代防火墻FirePower，該公司也開發了一種方法來過濾來自Xen、KPM和VMware工作負載環境的管理程序流量。但他承認，與更傳統的IPS相比，這可能存在一些性能挑戰。

Palo Alto Networks公司chris