改變網(wǎng)絡(luò)安全現(xiàn)狀:何不求諸下一代防火墻?
責(zé)編:admin |2014-12-19 20:52:20下一代防火墻提供了很多新功能,但是如何將下一代防火墻添加到安全產(chǎn)品組件里面,這是個值得考慮的問題……
在信息安全界,下一代防火墻(Next-generation firewalls, NGFW)目前非常熱門。廠商都吵著要用新的增強型產(chǎn)品在企業(yè)內(nèi)站穩(wěn)腳跟,承諾新的產(chǎn)品可以給網(wǎng)絡(luò)安全帶來更強的智能意識。網(wǎng)絡(luò)專家認(rèn)為在開展第一次下一代防火墻( NGFW)部署項目前應(yīng)該先解決一些關(guān)鍵問題。這些問題包括部署技術(shù)的原理,確定可以受益最多的部署位置,適用于特定環(huán)境的性能。
從利基產(chǎn)品轉(zhuǎn)移到下一代防火墻(NFGW)
目前很多組織的安全環(huán)境中都涉及到不同技術(shù)的使用,且分別專注于安全策略中的一個特定組件。例如,網(wǎng)絡(luò)安全服務(wù)常常是以防火墻,入侵檢測和防御系統(tǒng),網(wǎng)絡(luò)訪問控制以及數(shù)據(jù)丟失預(yù)防服務(wù)等形式出現(xiàn)。如果要讓企業(yè)在每個類別中選擇一個最合適的產(chǎn)品,如何管理和監(jiān)控這些獨立系統(tǒng)對于企業(yè)而言又是一個挑戰(zhàn)。
下一代防火墻可以在單個設(shè)備上將許多不同的安全技術(shù)整合起來。網(wǎng)絡(luò)安全特性融合桌面安全,內(nèi)容過濾和安全基礎(chǔ)設(shè)施的其它組成部分。這為網(wǎng)絡(luò)管理員提供了一個單一的管理界面來監(jiān)管多個系統(tǒng),更重要的是,可以讓這些功能共享威脅和資產(chǎn)信息。下一代防火墻(NGFW)的真正價值是其所提供的統(tǒng)一監(jiān)控,為管理員提供了一個更為清晰的視野來了解企業(yè)網(wǎng)絡(luò)安全狀況。
將下一代防火墻部署到網(wǎng)絡(luò)中
當(dāng)然,下一代防火墻的優(yōu)勢也是有代價的。與其它技術(shù)相比,下一代防火墻的標(biāo)價更高。網(wǎng)絡(luò)專家認(rèn)為部署下一代防火墻之前應(yīng)該慎重考慮部署位置,如何能讓下一代防火墻最大程度增強網(wǎng)絡(luò)安全性。例如,將下一代防火墻部署在組織邊界可能不會符合成本效益。相反,將下一代防火墻部署在內(nèi)部網(wǎng)絡(luò)的關(guān)卡上可能產(chǎn)生最大的價值。
在大多數(shù)組織中,部署下一代防火墻的首要任務(wù)是要保護(hù)那些暴露在互聯(lián)網(wǎng)中的服務(wù)。允許公眾訪問的Web服務(wù)器,郵件服務(wù)器等設(shè)備面臨最大的攻擊風(fēng)險,因此這些設(shè)備應(yīng)該受到下一代防火墻最大的保護(hù)。由于這個原因,任何對外網(wǎng)絡(luò)(DMZ)都是下一代防火墻防護(hù)的最佳候選。
一旦保護(hù)好了對外網(wǎng)絡(luò)(DMZ),就可以考慮轉(zhuǎn)向保護(hù)其它高價值的網(wǎng)段。有沒有一些特定類別的用戶面臨著更大的風(fēng)險呢?抑或由于他們處理的數(shù)據(jù)類型或從事的活動面臨更大的安全風(fēng)險?例如,一個包含信用卡POS終端的網(wǎng)段就是下一代防火墻技術(shù)部署的極好位置,當(dāng)威脅(像BackOff這種感染POS的惡意軟件)來臨時就可以提供快速響應(yīng)。
選擇下一代防火墻的性能
當(dāng)挑選將要部署的下一代防火墻特定性能時,網(wǎng)絡(luò)和安全團(tuán)隊?wèi)?yīng)該合作。用一個保守的方法來挑選性能是比較適合的,有兩個原因。首先,負(fù)責(zé)網(wǎng)絡(luò)安全的管理員必須能熟練操作和監(jiān)控新的性能。其次,許多功能都是單獨授權(quán)的,需要前期和持續(xù)的資金來維持。
最直接的方法就是選擇一個能提供所有你所希望部署的服務(wù)的下一代防火墻平臺,但是只購買那些要立即使用的服務(wù)的授權(quán)。推出一套能緊密匹配目前你所擁有的利基產(chǎn)品的服務(wù),然后慢慢妥善過渡到下一代防火墻。一旦一切都在掌握中,就可以開始考慮部署新的功能之一,直到慢慢達(dá)到你期望的最終狀態(tài)。
下一代防火墻對于提供網(wǎng)絡(luò)和安全團(tuán)隊的效率和效益有著巨大潛力。組織應(yīng)該謹(jǐn)慎地選擇下一代防火墻策略,將其部署在可以實現(xiàn)最大價值的位置,并精心部署一組能平衡安全需求與運營要求的服務(wù)。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧