信息化觀察網(wǎng)

防火墻已存在多年，并且隨著威脅形勢(shì)的變化，這一技術(shù)也在不斷發(fā)展。以下是一些在選購(gòu)下一代防火墻（NGFW）中需要注意的技巧，以便選購(gòu)的防火墻能夠滿足企業(yè)當(dāng)前和未來(lái)的業(yè)務(wù)需求。

不要信任防火墻性能統(tǒng)計(jì)信息

要明白NGFW的運(yùn)行方式需要的不僅僅是查看供應(yīng)商的規(guī)范或是讓一些流量流經(jīng)它們。當(dāng)流量負(fù)載較輕時(shí)，大多數(shù)防火墻都能正常運(yùn)行。重要的是要了解防火墻如何響應(yīng)大規(guī)模流量，尤其是在加密被打開(kāi)時(shí)。目前大約80％的流量都是加密的，防火墻在處理大量加密流量時(shí)維持性能水平的能力至關(guān)重要。

此外，請(qǐng)確保在測(cè)試期間打開(kāi)所有主要功能（包括應(yīng)用程序和用戶識(shí)別、IPS、反惡意軟件、URL過(guò)濾和日志記錄），以查看防火墻在生產(chǎn)環(huán)境中的表現(xiàn)。防火墻供應(yīng)商經(jīng)常吹噓的性能是在關(guān)閉核心功能后的單一性能。市場(chǎng)研究公司ZK Research的數(shù)據(jù)顯示，許多IT專業(yè)人員都是在費(fèi)盡一番周折后才學(xué)到這一教訓(xùn)的。58％的安全專家稱，為了保持性能，他們不得不關(guān)閉一些功能。

在向供應(yīng)商提交訂單之前，請(qǐng)確保使用盡可能多的不同類型流量和各種類型應(yīng)用程序展開(kāi)測(cè)試。要查看的重要指標(biāo)包括應(yīng)用程序吞吐量、每秒連接數(shù)、IPv4和IPv6的最大會(huì)話數(shù)以及SSL性能。

NGFW需要適應(yīng)更廣泛的安全平臺(tái)

最佳策略或與單一供應(yīng)商合作是否可以提供更好的安全性？這個(gè)問(wèn)題多年來(lái)一直存在爭(zhēng)議。事實(shí)是，這兩種方法都不完美。重要的是要清楚各個(gè)地方的最佳策略并不能確保一流的安全性。擁有太多供應(yīng)商會(huì)導(dǎo)致出現(xiàn)無(wú)法管理的復(fù)雜性，從而使公司面臨風(fēng)險(xiǎn)。更好的方法是采用安全平臺(tái)，可以將其視為一種開(kāi)放式架構(gòu)，能夠插入第三方產(chǎn)品。

任何NGFW都必須能夠插入到平臺(tái)之中，以便它們能夠“看到”從物聯(lián)網(wǎng)端點(diǎn)到云流量再到最終用戶設(shè)備的所有內(nèi)容。此外，一旦NGFW匯總了數(shù)據(jù)，它們應(yīng)該能夠進(jìn)行分析以提供洞察力。這將使NGFW能夠在整個(gè)網(wǎng)絡(luò)中采取行動(dòng)和策略。

一致的安全功能

防火墻曾經(jīng)被部署在企業(yè)數(shù)據(jù)中心。如今網(wǎng)絡(luò)已經(jīng)大規(guī)模普及，客戶需要在網(wǎng)絡(luò)中的每個(gè)點(diǎn)都設(shè)置一致的功能集。NGFW供應(yīng)商應(yīng)具備適應(yīng)下列多種形態(tài)的能力以優(yōu)化性價(jià)比：

● 數(shù)據(jù)中心數(shù)據(jù) 中心● 互聯(lián)網(wǎng)邊緣

● 中型分支機(jī)構(gòu)數(shù) 據(jù)● 小型分支機(jī)構(gòu)

● 物聯(lián)網(wǎng)環(huán)境數(shù)據(jù) 中● 云交付

● 在私有云和公有云中運(yùn)行的虛擬機(jī)

此外，NGFW供應(yīng)商還應(yīng)該要能夠適應(yīng)容器化。這可不是一項(xiàng)微不足道的事情。 盡管大多數(shù)供應(yīng)商還沒(méi)有針對(duì)容器的產(chǎn)品，但是他們應(yīng)該對(duì)此展開(kāi)規(guī)劃。

單一窗格的防火墻管理

如果產(chǎn)品需要單獨(dú)管理，那么擁有廣泛的產(chǎn)品線并不是什么優(yōu)勢(shì)。這會(huì)讓策略和規(guī)則難以保持最新，并且會(huì)導(dǎo)致功能不一致。防火墻供應(yīng)商必須擁有能夠提供端到端可見(jiàn)性的單一管理工具，管理員能夠通過(guò)它們進(jìn)行修改設(shè)置并可立即在網(wǎng)絡(luò)中將其推送出去。可見(jiàn)性必須擴(kuò)展到所有地方，包括云、物聯(lián)網(wǎng)邊緣、運(yùn)營(yíng)技術(shù)（OT）環(huán)境和分支機(jī)構(gòu)。單一儀表板也是實(shí)現(xiàn)和維護(hù)基于軟件的分段的正確方式，這樣可以不必配置每臺(tái)設(shè)備。

防火墻自動(dòng)化功能

自動(dòng)化的目標(biāo)是幫助消除許多人工操作，因?yàn)槿斯げ僮髟诎踩幚碇袝?huì)產(chǎn)生“人為延遲”。幾乎所有供應(yīng)商都將一些自動(dòng)化功能宣傳為可節(jié)省員工人數(shù)的一種方式，但是真正的自動(dòng)化遠(yuǎn)不止于此。自動(dòng)化可通過(guò)行為預(yù)測(cè)和更快地執(zhí)行保護(hù)措施從而更好地保護(hù)企業(yè)。如果使用得當(dāng)，自動(dòng)化可以減輕人工負(fù)擔(dān)并防止網(wǎng)絡(luò)攻擊。

以下是NGFW自動(dòng)化的三個(gè)用例：

● 工作流自動(dòng)化。通過(guò)消除許多瑣碎的日常任務(wù)，簡(jiǎn)化了安全工程師的工作。跨多個(gè)環(huán)境管理多個(gè)設(shè)備會(huì)增加復(fù)雜性，并帶來(lái)配置錯(cuò)誤的風(fēng)險(xiǎn)。工作流自動(dòng)化可以被視為規(guī)則生命周期管理，旨在實(shí)現(xiàn)自動(dòng)化變更管理過(guò)程的每個(gè)階段。工作流應(yīng)該是可定制的，以適應(yīng)安全目標(biāo)和標(biāo)準(zhǔn)。此外，自動(dòng)化可以減輕一些繁瑣任務(wù)的負(fù)擔(dān)，例如識(shí)別應(yīng)用程序和設(shè)備。如果NGFW有足夠大的數(shù)據(jù)庫(kù)，那么幾乎所有應(yīng)用和端點(diǎn)都會(huì)被識(shí)別。如果沒(méi)有，那么管理員需要查看一長(zhǎng)串未知設(shè)備并手動(dòng)識(shí)別它們。

● 策略自動(dòng)化。使得安全性更加靈活。由于企業(yè)不再像往常那樣一成不變，并且分支機(jī)構(gòu)越來(lái)越多，變革如今已經(jīng)成為了企業(yè)的常態(tài)。這使得用手動(dòng)方法讓策略保持最新幾乎成為了不可能的事情。策略自動(dòng)化可確保策略的連續(xù)性和一致性，即使情況發(fā)生了變化，策略仍然能夠被遵守。例如，如果所有的物聯(lián)網(wǎng)設(shè)備都要保留在安全段內(nèi)，但是有一臺(tái)設(shè)備發(fā)生了移動(dòng)，那么策略需要自動(dòng)跟隨設(shè)備而不必重新配置網(wǎng)絡(luò)。

● 安全識(shí)別和執(zhí)行自動(dòng)化?？梢詭椭斓匕l(fā)現(xiàn)威脅并近實(shí)時(shí)地對(duì)其作出反應(yīng)。在企業(yè)發(fā)現(xiàn)威脅之前，威脅通常已經(jīng)持續(xù)了數(shù)天、數(shù)周甚至數(shù)月，導(dǎo)致企業(yè)蒙受重大損失。平臺(tái)的強(qiáng)大之處在于它們可以看到所有的東西并且能夠識(shí)別最微小的異常，例如物聯(lián)網(wǎng)設(shè)備定期嘗試訪問(wèn)銷售點(diǎn)系統(tǒng)。自動(dòng)化可用于查找異常并在安全段中隔離該端點(diǎn)。理想情況下，自動(dòng)化功能應(yīng)包括執(zhí)行和修復(fù)功能，這樣它們就能夠刪除威脅并讓設(shè)備重返網(wǎng)絡(luò)。

最后，自動(dòng)化需要一個(gè)通俗易懂的界面。所有IT項(xiàng)目的一般經(jīng)驗(yàn)法則是解決方案需要比原始問(wèn)題更簡(jiǎn)單。許多自動(dòng)化工具都有陡峭的學(xué)習(xí)曲線，這限制了它們的實(shí)用性。企業(yè)應(yīng)該要能夠增加自動(dòng)化的使用，而不是增加更多的人。

NGFW的高級(jí)功能

除了基本的阻止和處理之外，該功能集還應(yīng)包括可以優(yōu)化性能和提供新功能的能力。這些可用的高級(jí)功能的列表非常長(zhǎng)。以下這些功能可以解決當(dāng)前的企業(yè)一些主要痛點(diǎn)。

● 優(yōu)化服務(wù)。該功能可讓客戶最大限度提高安全投資的投資回報(bào)率，這可通過(guò)供應(yīng)商提供的一組工具和資源來(lái)完成，以幫助客戶采用最佳實(shí)踐，從而確保正確配置和部署。

● 策略優(yōu)化。該功能可以分析規(guī)則，然后確定哪些規(guī)則需要保留、刪除或清理。傳統(tǒng)防火墻使用的是基于端口的規(guī)則，NGFW使用的是基于應(yīng)用程序的白名單規(guī)則。企業(yè)將從基于端口調(diào)整為基于應(yīng)用程序所面臨的挑戰(zhàn)之一是，規(guī)則集可能變得龐大且難以管理。許多企業(yè)擁有數(shù)百萬(wàn)條的防火墻規(guī)則，在調(diào)整前根本無(wú)法清理它們。策略優(yōu)化可以幫助刪除不使用的規(guī)則，保持規(guī)則集整齊有序，減少受攻擊面。

● DNS安全性。該功能使用機(jī)器學(xué)習(xí)功能來(lái)阻止DNS攻擊。DNS作為攻擊媒介的使用率正在繼續(xù)升高，因?yàn)楣粽吆苋菀淄ㄟ^(guò)網(wǎng)絡(luò)釣魚(yú)將用戶引導(dǎo)到有問(wèn)題的域。目前雖然出現(xiàn)了DNS安全工具，但是它們與防火墻是分開(kāi)的。將DNS安全性與NGFW集成在一起可使保護(hù)變得自動(dòng)化，并且不再需要獨(dú)立的工具。這樣可以更快地識(shí)別惡意域，消除DNS隧道中隱藏的威脅。

● 憑證防盜保護(hù)。該功能可幫助企業(yè)保護(hù)密碼。盜取密碼是獲取網(wǎng)絡(luò)訪問(wèn)權(quán)的最古老、最簡(jiǎn)單的方法。一旦威脅者可以訪問(wèn)被盜的憑證，那么他們就可以通過(guò)冒充可信用戶來(lái)繞過(guò)所有的安全工具。然后，攻擊者就可以在企業(yè)內(nèi)自由移動(dòng)，挑選想要竊取的數(shù)據(jù)或進(jìn)行破壞。作為平臺(tái)組成部分的NGFW可以通過(guò)阻止有效憑證進(jìn)入非法網(wǎng)站來(lái)識(shí)別和阻止竊取憑證的企圖。NGFW還會(huì)自動(dòng)執(zhí)行相應(yīng)的規(guī)則以防止這些有效憑證被橫向移動(dòng)到其他系統(tǒng)，從而使企業(yè)有時(shí)間通知用戶并更改密碼。此外，企業(yè)還需要防范已經(jīng)被盜的憑證被濫用。為了防止這種情況發(fā)生，NGFW供應(yīng)商應(yīng)與領(lǐng)先的多因素身份驗(yàn)證（MFW）供應(yīng)商展開(kāi)合作。

盡管NGFW已經(jīng)出現(xiàn)了很長(zhǎng)一段時(shí)間，但是它們遠(yuǎn)未成為商品。它們應(yīng)被視為安全平臺(tái)戰(zhàn)略的基礎(chǔ)，幫助網(wǎng)絡(luò)提升安全性。公司不應(yīng)被營(yíng)銷和漂亮的參數(shù)所迷惑。相反，企業(yè)應(yīng)當(dāng)自己展開(kāi)測(cè)試以確保在所有情況下都滿足自己的需求。因?yàn)閷?duì)于NGFW來(lái)說(shuō)，性能上的微小差異會(huì)對(duì)威脅防護(hù)產(chǎn)生重大影響。

作者：Zeus Kerravala為市場(chǎng)研究公司ZKResearch的創(chuàng)始人兼首席分析師。

編譯：陳琳華

原文網(wǎng)址：https://www.networkworld.com/article/3390686/how-to-shop-for-enterprise-firewalls.html