防火墙已存在多年,并且随着威胁形势的变化,这一技术也在不断发展。以下是一些在选购下一代防火墙(NGFW)中需要注意的技巧,以便选购的防火墙能够满足企业当前和未来的业务需求。
不要信任防火墙性能统计信息
要明白NGFW的运行方式需要的不仅仅是查看供应商的规范或是让一些流量流经它们。当流量负载较轻时,大多数防火墙都能正常运行。重要的是要了解防火墙如何响应大规模流量,尤其是在加密被打开时。目前大约80%的流量都是加密的,防火墙在处理大量加密流量时维持性能水平的能力至关重要。
此外,请确保在测试期间打开所有主要功能(包括应用程序和用户识别、IPS、反恶意软件、URL过滤和日志记录),以查看防火墙在生产环境中的表现。防火墙供应商经常吹嘘的性能是在关闭核心功能后的单一性能。市场研究公司ZK Research的数据显示,许多IT专业人员都是在费尽一番周折后才学到这一教训的。58%的安全专家称,为了保持性能,他们不得不关闭一些功能。
在向供应商提交订单之前,请确保使用尽可能多的不同类型流量和各种类型应用程序展开测试。要查看的重要指标包括应用程序吞吐量、每秒连接数、IPv4和IPv6的最大会话数以及SSL性能。
NGFW需要适应更广泛的安全平台
最佳策略或与单一供应商合作是否可以提供更好的安全性?这个问题多年来一直存在争议。事实是,这两种方法都不完美。重要的是要清楚各个地方的最佳策略并不能确保一流的安全性。拥有太多供应商会导致出现无法管理的复杂性,从而使公司面临风险。更好的方法是采用安全平台,可以将其视为一种开放式架构,能够插入第三方产品。
任何NGFW都必须能够插入到平台之中,以便它们能够“看到”从物联网端点到云流量再到最终用户设备的所有内容。此外,一旦NGFW汇总了数据,它们应该能够进行分析以提供洞察力。这将使NGFW能够在整个网络中采取行动和策略。
一致的安全功能
防火墙曾经被部署在企业数据中心。如今网络已经大规模普及,客户需要在网络中的每个点都设置一致的功能集。NGFW供应商应具备适应下列多种形态的能力以优化性价比:
● 数据中心数据 中心● 互联网边缘
● 中型分支机构数 据● 小型分支机构
● 物联网环境数据 中● 云交付
● 在私有云和公有云中运行的虚拟机
此外,NGFW供应商还应该要能够适应容器化。这可不是一项微不足道的事情。 尽管大多数供应商还没有针对容器的产品,但是他们应该对此展开规划。
单一窗格的防火墙管理
如果产品需要单独管理,那么拥有广泛的产品线并不是什么优势。这会让策略和规则难以保持最新,并且会导致功能不一致。防火墙供应商必须拥有能够提供端到端可见性的单一管理工具,管理员能够通过它们进行修改设置并可立即在网络中将其推送出去。可见性必须扩展到所有地方,包括云、物联网边缘、运营技术(OT)环境和分支机构。单一仪表板也是实现和维护基于软件的分段的正确方式,这样可以不必配置每台设备。
防火墙自动化功能
自动化的目标是帮助消除许多人工操作,因为人工操作在安全处理中会产生“人为延迟”。几乎所有供应商都将一些自动化功能宣传为可节省员工人数的一种方式,但是真正的自动化远不止于此。自动化可通过行为预测和更快地执行保护措施从而更好地保护企业。如果使用得当,自动化可以减轻人工负担并防止网络攻击。
以下是NGFW自动化的三个用例:
● 工作流自动化。通过消除许多琐碎的日常任务,简化了安全工程师的工作。跨多个环境管理多个设备会增加复杂性,并带来配置错误的风险。工作流自动化可以被视为规则生命周期管理,旨在实现自动化变更管理过程的每个阶段。工作流应该是可定制的,以适应安全目标和标准。此外,自动化可以减轻一些繁琐任务的负担,例如识别应用程序和设备。如果NGFW有足够大的数据库,那么几乎所有应用和端点都会被识别。如果没有,那么管理员需要查看一长串未知设备并手动识别它们。
● 策略自动化。使得安全性更加灵活。由于企业不再像往常那样一成不变,并且分支机构越来越多,变革如今已经成为了企业的常态。这使得用手动方法让策略保持最新几乎成为了不可能的事情。策略自动化可确保策略的连续性和一致性,即使情况发生了变化,策略仍然能够被遵守。例如,如果所有的物联网设备都要保留在安全段内,但是有一台设备发生了移动,那么策略需要自动跟随设备而不必重新配置网络。
● 安全识别和执行自动化。可以帮助更快地发现威胁并近实时地对其作出反应。在企业发现威胁之前,威胁通常已经持续了数天、数周甚至数月,导致企业蒙受重大损失。平台的强大之处在于它们可以看到所有的东西并且能够识别最微小的异常,例如物联网设备定期尝试访问销售点系统。自动化可用于查找异常并在安全段中隔离该端点。理想情况下,自动化功能应包括执行和修复功能,这样它们就能够删除威胁并让设备重返网络。
最后,自动化需要一个通俗易懂的界面。所有IT项目的一般经验法则是解决方案需要比原始问题更简单。许多自动化工具都有陡峭的学习曲线,这限制了它们的实用性。企业应该要能够增加自动化的使用,而不是增加更多的人。
NGFW的高级功能
除了基本的阻止和处理之外,该功能集还应包括可以优化性能和提供新功能的能力。这些可用的高级功能的列表非常长。以下这些功能可以解决当前的企业一些主要痛点。
● 优化服务。该功能可让客户最大限度提高安全投资的投资回报率,这可通过供应商提供的一组工具和资源来完成,以帮助客户采用最佳实践,从而确保正确配置和部署。
● 策略优化。该功能可以分析规则,然后确定哪些规则需要保留、删除或清理。传统防火墙使用的是基于端口的规则,NGFW使用的是基于应用程序的白名单规则。企业将从基于端口调整为基于应用程序所面临的挑战之一是,规则集可能变得庞大且难以管理。许多企业拥有数百万条的防火墙规则,在调整前根本无法清理它们。策略优化可以帮助删除不使用的规则,保持规则集整齐有序,减少受攻击面。
● DNS安全性。该功能使用机器学习功能来阻止DNS攻击。DNS作为攻击媒介的使用率正在继续升高,因为攻击者很容易通过网络钓鱼将用户引导到有问题的域。目前虽然出现了DNS安全工具,但是它们与防火墙是分开的。将DNS安全性与NGFW集成在一起可使保护变得自动化,并且不再需要独立的工具。这样可以更快地识别恶意域,消除DNS隧道中隐藏的威胁。
● 凭证防盗保护。该功能可帮助企业保护密码。盗取密码是获取网络访问权的最古老、最简单的方法。一旦威胁者可以访问被盗的凭证,那么他们就可以通过冒充可信用户来绕过所有的安全工具。然后,攻击者就可以在企业内自由移动,挑选想要窃取的数据或进行破坏。作为平台组成部分的NGFW可以通过阻止有效凭证进入非法网站来识别和阻止窃取凭证的企图。NGFW还会自动执行相应的规则以防止这些有效凭证被横向移动到其他系统,从而使企业有时间通知用户并更改密码。此外,企业还需要防范已经被盗的凭证被滥用。为了防止这种情况发生,NGFW供应商应与领先的多因素身份验证(MFW)供应商展开合作。
尽管NGFW已经出现了很长一段时间,但是它们远未成为商品。它们应被视为安全平台战略的基础,帮助网络提升安全性。公司不应被营销和漂亮的参数所迷惑。相反,企业应当自己展开测试以确保在所有情况下都满足自己的需求。因为对于NGFW来说,性能上的微小差异会对威胁防护产生重大影响。
作者:Zeus Kerravala为市场研究公司ZKResearch的创始人兼首席分析师。
编译:陈琳华
原文网址:https://www.networkworld.com/article/3390686/how-to-shop-for-enterprise-firewalls.html