雲計算、虛擬化和SDN將增加防火牆安全複雜性

在過去幾十年中，防火牆一直是互聯網的基於埠的守護者。 而現在供應商都在爭相推出所謂的「下一代防火牆」，因為這些「應用感知」防火牆可以基於應用程式使用來監控和控制訪問。

此外，很多防火牆中加入了越來越多的功能來試圖發現零日攻擊，包括入侵防禦系統(IPS)、web過濾、VPN、資料丟失防護、惡意軟體過濾，甚至還有威脅檢測沙箱。 對於單獨的IPS，因為其應用控制，它可能被稱為「下一代IPS」，例如IBM Network Security Protection XGS 5000(網路安全保護XGS 5000)或者McAfee NS系列。

防火牆/IPS供應商競爭非常激烈，他們還推出更高的輸送量來滿足速度的需求，因為經歷「虛擬化」的資料中心需要在防火牆提供更高的頻寬。

供應商們都渴望得到有影響力的Gartner等公司的讚賞，或者努力在技術評估測試中擊敗競爭對手，例如NSS實驗室或Neohapsis實驗室的測試。 但其實，成敗的關鍵在於能否贏得Rusty Agee等買家的青睞，Rusty Agee是美國北卡羅來納州夏洛特市的資訊安全工程師，他使用各種防火牆產品。

Agee表示：「防火牆已經大大改進了，」當涉及防火牆和IPS的功能和速度時，「我總是想要更多。 」

資料中心虛擬化、行動裝置的激增以及該市部署「攜帶自己設備到工作場所(BYOD)」政策的計畫，都是Agee對可能用於保護各政府機構資料的各種方法保持開放態度的原因。 他指出，該市的消防部門和員警部門已經開始使用平板電腦和智慧手機，所以他現正需要考慮一個BYOD遷移政策。

該市使用行動裝置的員工正在利用思科的AnyConnect用戶端來建立VPN類型的連接，連接回該市的思科ASA防火牆。 除了思科防火牆與單獨的思科IPS，該市還使用Check Point防火牆和單獨的IPS來封鎖到關鍵伺服器、資料中心、互聯網接入和該市無線網路的流量。

另外，該市還使用Palo Alto Networks下一代防火牆來監測和控制員工應用程式使用。 此外，該市利用F5 Networks應用程式防火牆來尋找針對web伺服器的攻擊流量。 Agee表示，夏洛特市通過LogRhythm的安全資訊和事件管理集中化了對這些安全設備的日誌管理。

「我們的防火牆每天生成幾十萬日誌到LogRhythm，」Agee表示，該市政府有時候也會收到來自聯邦的安全警報相關的feed。 集中化防火牆和IPS日誌feed，以及伺服器日誌，能夠説明該市的安全人員從單點確定可能涉及攻擊的網路安全問題，以及能夠被人力資源或管理更好地處理的員工web使用問題。

在一家企業中有如此混合的防火牆組合可能是特例，並不常見。 Gartner分析師Greg Young在6月的Gartner安全與風險管理峰會上表示，Gartner發現大多數公司只使用一家供應商的產品。 Gartner一直大力宣導使用下一代防火牆，對於下一代防火牆(NGFW)，Gartner估計，現在只有不到8%的企業使用NGFW，不過這個數位在五年內預計將攀升至30%以上。

Young還指出，很明顯，SSL VPN已經完全轉移到該防火牆中，不再作為單獨的獨立的SSL VPN產品。

事實上，防火牆和IPS似乎無處不在。 其中一個例子是Fortinet Secure Wireless LAN，這基本上是一個集成到統一威脅管理設備(支援防火牆和IPS功能)的無線存取點和交換器。 根據Fortinet行銷副總裁John Maddison表示，該產品在零售連鎖店很流行，它能夠以符合成本效益的方式説明零售店獲得無線網路覆蓋和安全保護。

連鎖餐廳Jack-in-the-Box最近在其數百家連鎖店部署了650台FortiWiFi-60CS設備，這些設備結合了無線接入和防火牆/IPS。 該公司IT主管Jim Antoshak表示，Jack-in-the-Box餐廳舊的無線點現在可以「退休」了，這些Fortinet設備將是緊湊型無線和安全的結合體。

一個論據?

業界的辯論主要圍繞兩個問題：多用途防火牆/IPS能否像獨立設備那麼有效?交換器或路由器內的安全模組呢?

與思科和瞻博網路一樣，惠普提供針對防火牆和入侵防禦的安全模組，這種安全模組可用於該供應商的交換器和路由器中。 但惠普TippingPoint副總裁兼企業安全產品總經理Rob Greer表示，當涉及入侵防禦時，惠普看到的主要部署仍然是專門的獨立的設備。 他指出，從性能和細細微性控制來看，這通常被認為是惠普下一代應用感知IPS的最佳方法。

思科網路安全和產品行銷高級主管Mike Nielsen表示，思科銷售的大部分防火牆和IPS產品是「專用安全設備」。 其Adaptive Security Appliance系列中的ASA 5585-X系列據稱具有40Gbps防火牆輸送量，Nielsen表示在IPS這可以提高到80Gbps，IPS還包含一個應用控制功能， 根據Gartner的定義，這是它被稱為「下一代防火牆」的最重要的元素。

Sourcefire公司技術研究組安全性原則副總裁Jason Brvenik認為，「在企業應對不斷變化的最新威脅時，專用設備能夠給你更多自由。 」

Check Point產品行銷主管Fred Kost表示，需要高輸送量和低延遲性的客戶通常會選擇專用功能。 但他指出，中小企業客戶經常發現多用途防火牆閘道和統一威脅管理設備已經夠用。 Check Point也在爭奪「下一代」的稱號，該公司最近就增加了「威脅模擬刀片」作為防火牆模組。 威脅模擬刀片可以安全地「引爆」沙箱中的檔，試圖發現零日攻擊。 它採用了與Palo Alto在其下一代防火牆中Wildfire威脅檢測相同的方法。

現在，沙箱的想法正在迎頭趕上。 例如，McAfee最近收購了防火牆/VPN/IPS供應商Stonesoft以及ValidEdge來加強其沙箱技術。

NSS實驗室分析師Iben Rodriguez表示，對防火牆和IPS的測試表明，在防火牆上運行多個安全服務必然會對性能和效率帶來不好的影響。 Neohapsis實驗室研究主管Scott Behrens對這個問題總結了一個常識性的方法：「如果我是買家，我會問，‘這個捆綁包能否滿足我的企業需求?’」

在猶他州的Weber縣政府，Matt Mortensen是奧格登市的資訊安全官，當地的防火牆/IPS輸送量需求不超過約10Gbps。 多功能戴爾SonicWall Network Security Appliance E8500模型與IPS、URL過濾及殺毒軟體一直能夠很好地支援該縣1200名員工使用的網路，最近他們計畫升級到更強大的SonixWall 9400。 該縣還部署了幾個思科ASA，包括思科ASA 5505防火牆—專門用於與法律執法相關的操作，例如電信竊聽資料。

SonicWall防火牆的一些非常有價值的用途是：出於安全原因通過應用程式控制來阻止Skype或甚至JAVA，Mortensen還使用SonicWall來限制頻寬。

「我還執行IP過濾，不允許使用者訪問某些地方，例如東歐、南美或中國，」Mortensen指出猶他州與這些地方沒有業務往來，因而我們出於安全考慮對其進行阻止。 該縣還執行入站地理IP過濾。 Mortensen還設置了防火牆來進行出口過濾，以查看僵屍活動的跡象。

互聯網的世界現在很危險，很多大學也開始採取安全措施。 去年四月，麻省理工學院(MIT)在收到一個假的炸彈威脅後決定部署安全性原則。

「現在，MIT網路上的系統每天都會受到來自世界各地成千上萬的未經授權連接，這導致MIT每天都會新增10個被盜使用者帳號，」MIT向其學術委員會解釋說，MIT將基於防火牆基礎設施來開始阻止來自MIT網路外部的流量。

防火牆和IPS在未來將無法滿足需求?

防火牆和IPS可以說是「多才多藝」，不僅可以作為硬體設備，還可以作為軟體，有時候它們專門旨在推動安全性到虛擬桌面和伺服器環境中—主要基於VMware、微軟Hyper-V、Red Hat的內核虛擬機器(KVM) 或者開源Xen管理程式(最近Citrix將其捐贈給Linux基金會)。 讓一些防火牆軟體沮喪的是，在過去幾年，VMware通過其自己的基於軟體的虛擬防火牆控制也加入了這個陣營。

Check Point公司的Kost承認，「虛擬化正在帶來新的挑戰，我們現在看到的是，他們需要更多防火牆，」他指出，Check Point 21000和61000代表著Check Point正在推動支援基於VMware的網路。 另外VMware本身有「VCloud網路和安全」可用於建立基於VM的防火牆。

Sourcefire公司技術研究組安全性原則副總裁Jason Brvenik表示，所有這一切都提出了一個問題，現在究竟誰在掌控防火牆和IPS領域。

基於虛擬機器的方法來進行防火牆和IPS正在不斷增加

上個月，WatchGuard剛剛向其XTMv統一威脅管理平臺增加了Hyper-V支援。 瞻博網路產品和策略副總裁Karim Toubba堅持認為「防火牆現在應該是虛擬形式，它不再是以前的形式，」並指出瞻博網路的方法支援KVM和VMware。 「週邊已經變得很有彈性，在私有雲環境中，我們希望防火牆更具彈性。 」

Nielsen表示思科有ASA 1000-V Cloud Firewall。 Sourcefire今年春天推出了其第一款下一代防火牆FirePower，該公司也開發了一種方法來過濾來自Xen、KPM和VMware工作負載環境的管理程式流量。 但他承認，與更傳統的IPS相比，這可能存在一些性能挑戰。

Palo Alto Networks公司Chris King表示，越來越多的客戶開始同時使用其物理和虛擬化下一代防火牆。

但是，NSS實驗室分析師John Pirc警告說，基於管理程式的防火牆和IPS仍然相當新，有個問題是防火牆/IPS供應商並不總是支援多虛擬化平臺。 NSS實驗室可能今年會在其實驗室測試基於虛擬機器的安全性。

然而，根據Gartner表示，虛擬化防火牆只占整個防火牆的5%不到。 Young表示，虛擬化防火牆在特定情況下會讓事情變複雜，即關於它們應該由網路運營組還是伺服器運營組來管理的問題。 他指出：「在這個虛擬版本中，存在誰管理什麼的複雜性。 」

企業正在不斷將資料以及資料處理發送到雲服務供應商的網路--這有可能是平臺即服務、基礎設施即服務，或者軟體即服務，這種雲計算的興起也引起了大家對防火牆和IPS的未來的思考。 現在，你在雲服務(例如亞馬遜)所做的操作與你在企業內部的操作鮮少有聯繫，並且，現在防火牆和IPS主要位於企業內部。

與此同時，安全行業還要應對軟體定義網路的出現和CloudStack及OpenStack的使用。

「這是一個顛覆性的轉變，」Toubba認為，他還指出瞻博網路認為基於軟體的防火牆等其他安全服務可以部署到SDN和雲計算技術。

初創公司Bromium創始人兼首席技術官Simon Crosby(在XenSource被Ctrix收購前，他曾任該公司XenSource創始人兼首席技術官)並不認為傳統防火牆和IPS(或者「下一代」什麼)是答案。 他表示，公共雲技術和OpenStack是推動事情突破的主要力量。

Crosby指出，安全行業已經大範圍「破產」，並且供應商在「撒謊」，他警告說「任何斷言可以檢測到攻擊者的技術都是存在問題的。 」他認為更好地實現虛擬機器安全的方法將通過基於CPU保護和「硬體隔離」來實現，「硬體隔離」是以一種新穎的方式利用內置英特爾和ARM晶片安全功能。 Bromium的vSentry虛擬化安全運作方式正如虛擬機器內的虛擬機器，對於windows的攻擊代碼，先隔離再「丟棄」。

這種新想法是否能夠發揮作用仍然有待觀察。

　　Gartner的Young表示，即將到來的SDN技術並不意味著物理交換器將退出歷史舞臺，他指出，這種不成熟的網路形式將為通過控制器編排應用程式和自動化服務鏈帶來新的方式。 然而，問題是這種技術肯定會影響現在防火牆的運作方式，目前並沒有針對SDN的堅實的安全模型，Young表示：「目前的SDN安全機制其實是子虛烏有。 」