在IT行业中,很多时候那些被进一步提升到网络堆栈的防御被认为是最好的防御。至少,这是一些销售商和分析专家们对下一代网络防火墙的预测。
“防火墙是网络安全基础设施的一部分,负责监控进出网络的每一个框架。它是对这些网络应用提供可视性和可控性的完美的地方。”Dave Stevens——位于加利福尼亚卡里夫的Palo Alto Networks公司CEO说。
Gartner的分析师Greg Young说:“供应商越来越多地转向整合IPS(入侵预防系统)和防火墙,但目前真正综合的,功能完整的产品还是供应不求。”他以其所在公司的研究成果为例,表明威胁已经变得更加复杂,而且正逐渐转向网络堆栈的更高层。这迫使防火墙超越仅提供状态协议分析的阶段,进而具备日益丰富的管理和配置工具。
Forrester Research的分析员Robert Whiteley先生也认为,在未来,防火墙将更加紧密地集成所有的网络安全功能。他说:“我们已经看到了融合防火墙、VPN、IPS、反恶意程序和内容过滤的UTM产品——我认为,思科(Cisco)公司的ASA和Juniper公司的SSG就是不错的
当网络应用攻击防火墙时,及时地扫描相关的网络应用的能力将至关重要,Whiteley继续说:“一旦认为传统的防火墙可以将网络保护周全,那么这个机构的安全体系就会出现漏洞。我们看到诸如Web 2.0、Web服务、SOA以及软件与服务等这些趋势正在极大地改变公司的应用架构。这也意味着,更具有关键使命的数据流正使用着标准的网络端口。XML、Java、Flash及其他许多新的网络协议将使用新的、创新性的应用类型,但这也带来了数目不详的弱点。公司将不得不将注意力转移到应用层的保护,以阻止演变得日益复杂和具有针对性的程序开发带来的对网络安全的威胁。这对新一代的防火墙技术是至关重要地,因为它可以提供更好的可见性,以便更好地处理当今的威胁。”
但是,只有在不牺牲防火墙的反应时间和吞吐量的条件下,把所有这些技术集成到防火墙中才有可能获得市场上的成功,分析专家说。为此,Check Point Software Technologies公司一直专注于防火墙性能的表现。“我们正在调整我们的开放性能表现架构,使得性能不单单反映防火墙的运行速度,而且要能够衡量当防火墙开启了网络入侵防护功能以及其他安全保护措施并实时保护网络时的运行速度。”该公司的产品营销经理Bill Jensen说。
今天的企业用户安装一些为了逃避遗产网络防火墙侦查而设计出的个人或商用的应用程序。于是就要有一种新的方案来满足现代企业公司的需要,此方案要能够利用网络防火墙的应用程序控制,IP信誉(IP reputation)技术和网关反病毒过滤等特性,Palo Alto Networks公司官方人员说。
“现代应用程序,正开始采用一种通信模式,通过由一个端口到另一个端口的跳跃或隧道加密链接或仅伪装成80端口等方式相当有效地绕过现有的安全基础设施。结果,企业已大幅度的失去对这些连接的控制,而且在某些商业活动中产生了信息泄漏等问题。为了帮助企业解决这一局面,Palo Alto Networks公司已在其最近发布了防火墙装置PA-4000 Series。因为加入了申请分类技术,所以可识别穿越端口的应用信息流。
如果有必要识别应用,我们还可以打开SSL链接。此外,PA-4000装置进行深度包检测,应用过滤器并执行基于应用的对策。例如,一个组织可能选择允许基于Web的邮件,但又扫描传送文件是否含有病毒”Stemvens说。
思科(Cisco)与Ironport的合并已经完成,思科官员表示,他们会考虑将Ironport的IP信誉技术植入防火墙。武装上了Ironport的SenderBase网站的信誉数据,思科公司的防火墙将可以知道它所连接的服务器的信誉。“这样的防火墙将在2008年上半年首次发布。它将允许你为这些连接提供可见性。这样你可以看到你的网络中有多少客户在连接那些被称为botnet控制节点的服务器。用户将能够阻止、扼杀或拒绝那些可疑的连接。”位于加利福尼亚州的San Jose的Cisco's IronPort事业部的副营销主管Tom Gillis如是说。
阻止连接是信誉技术最明显一个用处,Gillis说。但他也说,他预见到此技术将被用于传送攻击防火墙的信息。举例来说,如果内容是来自一个被认为是“流氓”的服务器,信息流则可以被阻隔;如果服务器看作是无可指摘的,那么信息流会被发送绕过垃圾邮件扫描引擎。来自服务器的不能确定好坏的信息量,可以被传送经过几个不同的基于签名的扫描引擎。
“通过适当的基于连接服务器信誉的扫描检测
,未来的防火墙将会有能力传输信息流。”Gillis说,“防火墙是有效的信息警察”。