压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

傳統(tǒng)防火墻跟蹤記錄流量來(lái)源域名及其流向的端口。下一代防火墻則做的多的多——監(jiān)視消息內(nèi)容以防惡意軟件和數(shù)據(jù)滲漏，還能實(shí)時(shí)反應(yīng)阻止威脅。最新的防火墻還加入了行為分析、應(yīng)用安全、內(nèi)容監(jiān)視，零日惡意軟件檢測(cè)、對(duì)云和混合環(huán)境的支持，甚至終端防護(hù)，可以防止未授權(quán)訪問(wèn)和數(shù)據(jù)滲漏，且未來(lái)還能做到更多。

簡(jiǎn)直堪稱一攬子工程。其主要思想是：將所有東西都集中到一處，管理工作就會(huì)簡(jiǎn)化。一些防火墻供應(yīng)商和第三方提供商，已經(jīng)開(kāi)始通過(guò)提供基于意圖的安全來(lái)解決管理問(wèn)題了——用戶可以為管理和配置設(shè)置協(xié)調(diào)一致的策略，還能設(shè)置合規(guī)相關(guān)的策略。

Gartner預(yù)測(cè)，到2020年，下一代防火墻將覆蓋幾乎所有互聯(lián)網(wǎng)終端。但絕大多數(shù)企業(yè)只會(huì)用到一兩個(gè)下一代功能。

下一代防火墻市場(chǎng)將如何改變

下一代防火墻面世已近十年，獨(dú)立安全研究及測(cè)評(píng)機(jī)構(gòu)NSS實(shí)驗(yàn)室報(bào)告顯示，超過(guò)80%的企業(yè)目前已部署有下一代防火墻。下一代防火墻堪稱公司企業(yè)頭號(hào)安全控制措施。

然而，NSS實(shí)驗(yàn)室今年夏天的安全測(cè)試中，沒(méi)有任何一個(gè)下一代防火墻展現(xiàn)出對(duì)攻擊變種的完全適應(yīng)力——雖然10個(gè)被測(cè)對(duì)象中有6個(gè)得分上了90。可提高的空間還很大。

NSS實(shí)驗(yàn)室的下一代防火墻推薦

NSS實(shí)驗(yàn)室最新防火墻安全對(duì)比測(cè)試結(jié)果出爐，下列供應(yīng)商在下一代防火墻的安全有效性方面得分最高：

• Barracuda Networks CloudGen Firewall F800.CCE v7.2.0
• Forcepoint NGFW 2105 Appliance v6.3.3 build 19153 (更新包：1056)
• Fortinet FortiGate 500E V5.6.3GA build 7858
• Palo Alto Networks PA-5220 PAN-OS 8.1.1
• SonicWall NSa 2650 SonicOS Enhanced 6.5.0.10-73n
• Versa Networks FlexVNF 16.1R1-S6

市場(chǎng)研究公司 Markets & Markets 預(yù)測(cè)，下一代防火墻市場(chǎng)規(guī)模將從2017年的23.9億美元，增長(zhǎng)到2022年的42.7億美元，復(fù)合年增長(zhǎng)率達(dá)12.3%。原因是過(guò)去幾年中威脅態(tài)勢(shì)和企業(yè)邊界都發(fā)生了巨大變化。

Gartner的調(diào)查表明，典型的防火墻生命周期是3到5年。2011和2012年間，下一代防火墻有一波購(gòu)買小高峰。于是，未來(lái)一年內(nèi)，這批防火墻將迎來(lái)大批量替換潮——因?yàn)樗鼈儾辉贊M足當(dāng)前網(wǎng)絡(luò)吞吐量和出站TLS通信解密的需求。今天的公司企業(yè)還更傾向于使用云或混合基礎(chǔ)設(shè)施，用戶能通過(guò)Web應(yīng)用和移動(dòng)設(shè)備隨時(shí)隨地接入。

下一代防火墻試圖適應(yīng)云技術(shù)發(fā)展

目前為止，下一代防火墻供應(yīng)商尚未能完全將其功能應(yīng)用到云環(huán)境。這需要大量的工程攻關(guān)，而目前供應(yīng)商們還不具備完美的云副本，無(wú)論是虛擬化的還是實(shí)體的。

不過(guò)，他們正利用云技術(shù)提供的其他功能，包括威脅情報(bào)數(shù)據(jù)實(shí)時(shí)共享。新出現(xiàn)的首例威脅相當(dāng)難以阻斷。但只要給個(gè)一兩分鐘，憑借防火墻的云功能，在實(shí)時(shí)更新加持下，后面的第10例、15例、20例都能做到有效防護(hù)。

下一代防火墻能提供終端安全嗎？

下一代防火墻延有可能伸進(jìn)終端安全空間嗎？如果能融合，企業(yè)管理起安全來(lái)就更容易了。但這種情況大概是不會(huì)發(fā)生的。

在可預(yù)見(jiàn)的未來(lái)，邊界防護(hù)和終端防護(hù)將依然是兩個(gè)完全不同的領(lǐng)域，但這兩種技術(shù)集能彼此互利。終端上感知的信息可以輔助防火墻更有效地工作。

防火墻供應(yīng)商 Check Point Software Technologies 預(yù)測(cè)，企業(yè)安全的下一場(chǎng)變革——將當(dāng)前下一代防火墻與云、移動(dòng)和終端防護(hù)結(jié)合到一起，將產(chǎn)生全新的一類安全工具，而不再是一個(gè)防火墻。

Check Point 的 Infinity Architecture 就是此思維下的產(chǎn)物，是新品類的產(chǎn)品，不是下一代防火墻。Check Point 認(rèn)為，著眼整個(gè)基礎(chǔ)設(shè)施，將其作為一個(gè)統(tǒng)一的可擴(kuò)展的系統(tǒng)，從各個(gè)不同拓?fù)浼右杂^察，是更為健康的方式。

單憑防火墻不足以確保整個(gè)企業(yè)的安全。防火墻將成為高級(jí)威脅解決方案中的一個(gè)層級(jí)，或者一個(gè)組件。

高級(jí)威脅解決方案，或者說(shuō)高級(jí)威脅防護(hù)，還包括能自動(dòng)評(píng)估威脅并拒之門外的專用威脅情報(bào)網(wǎng)關(guān)、安全DNS服務(wù)、微分隔，以及智能應(yīng)用控制。

下一代防火墻管理及合規(guī)將愈趨復(fù)雜

防火墻安全策略管理及網(wǎng)絡(luò)風(fēng)險(xiǎn)分析解決方案提供商 FireMon 的防火墻現(xiàn)狀報(bào)告中稱，防火墻規(guī)則及策略的復(fù)雜度是企業(yè)安全人員最大的防火墻難題，策略合規(guī)和審計(jì)準(zhǔn)備度位列第二難，防火墻規(guī)則優(yōu)化次之。另外，絕大多數(shù)受訪公司維護(hù)有10個(gè)以上的防火墻，26%的公司報(bào)告稱自家環(huán)境中有超過(guò)100個(gè)防火墻。

怎樣打理防火墻規(guī)則庫(kù)并最小化風(fēng)險(xiǎn)？

1. 清除技術(shù)性錯(cuò)誤

防火墻策略中的技術(shù)性錯(cuò)誤指無(wú)效或不正確的規(guī)則，或者說(shuō)不服務(wù)于業(yè)務(wù)需求的那些(比如：隱藏規(guī)則、影子規(guī)則、冗余規(guī)則和重合規(guī)則)。

2. 去掉未使用的訪問(wèn)規(guī)則

規(guī)則庫(kù)中或許會(huì)存在一些兼容并提供(或阻止)正確訪問(wèn)權(quán)限的規(guī)則，但這些規(guī)則就是沒(méi)有被用到。確定規(guī)則使用情況的最佳方法，是將活躍策略行為與長(zhǎng)期網(wǎng)絡(luò)流量模式相關(guān)聯(lián)。

3. 精煉過(guò)于寬松的規(guī)則

定義不良的業(yè)務(wù)需求，結(jié)合上嚴(yán)格緊迫的截止期限，往往催生出超過(guò)業(yè)務(wù)所需的寬泛權(quán)限規(guī)則——比如包含“任意”字眼的那些規(guī)則。

4. 持續(xù)監(jiān)視策略

持續(xù)監(jiān)視你的策略，以避免再次搞亂你好不容易理清的防火墻規(guī)則，維持一個(gè)更好的安全及合規(guī)態(tài)勢(shì)。

公司企業(yè)為防火墻設(shè)立的任何規(guī)則及策略，通常會(huì)被鏡像到其環(huán)境中的其他安全產(chǎn)品里。普通網(wǎng)絡(luò)里會(huì)有80-90個(gè)終端解決方案在桌面層級(jí)、服務(wù)器層級(jí)和網(wǎng)絡(luò)層級(jí)保護(hù)企業(yè)的安全。

最新的防火墻迭代可以整合某些終端解決方案，某種程度上幫助對(duì)抗愈趨復(fù)雜的威脅態(tài)勢(shì)，但新的威脅層出不窮，企業(yè)環(huán)境也在不斷發(fā)展變化，進(jìn)化不會(huì)終止。同時(shí)，一些新的風(fēng)險(xiǎn)領(lǐng)域，比如某些云環(huán)境或軟件即服務(wù)(SaaS)應(yīng)用，甚至都不在安全團(tuán)隊(duì)控制之下，而是其他部門在管理。

事實(shí)上，復(fù)雜性的問(wèn)題正變得越來(lái)越嚴(yán)峻。隨著環(huán)境中復(fù)雜度的不斷增加，出錯(cuò)的概率也在增加——人為錯(cuò)誤、配置錯(cuò)誤。因?yàn)閺?fù)雜度趨于增長(zhǎng)，基礎(chǔ)設(shè)施中的各種問(wèn)題也在發(fā)酵、成熟。

通過(guò)意圖管理安全，也就是基于總體原則來(lái)創(chuàng)建具體防火墻規(guī)則和安全配置，應(yīng)該能解決這一問(wèn)題，但技術(shù)尚未走到這一步。幾乎沒(méi)有公司敢拍胸脯說(shuō)“我的安全策略是安全實(shí)現(xiàn)的真實(shí)反映”。

在未來(lái)，公司企業(yè)將能夠定義其安全意圖，將會(huì)用策略計(jì)算引擎自動(dòng)創(chuàng)建所需防火墻規(guī)則。安全控制或許在數(shù)據(jù)中心，或許在傳統(tǒng)防火墻，或許在云端虛擬防火墻、原生控制或容器中。但我們應(yīng)關(guān)注自身安全意圖，關(guān)注如何從技術(shù)上自動(dòng)化實(shí)施我們的安全策略，用上下文化的情報(bào)，無(wú)需人工干預(yù)。在業(yè)務(wù)速度和安全實(shí)施速度之間造成差距的傳統(tǒng)過(guò)程都應(yīng)該被去除。

幸運(yùn)的是，安全供應(yīng)商正轉(zhuǎn)向允許信息在某中心位置交換和處理的開(kāi)放API。所有主流下一代防火墻供應(yīng)商都在提供該API結(jié)構(gòu)。對(duì)FireMon之類集中式管理產(chǎn)品而言，這是很棒的消息。

防火墻供應(yīng)商還在踏入策略及合規(guī)管理領(lǐng)域，不過(guò)通常都只關(guān)注管理自己的產(chǎn)品，而不是環(huán)境中其他供應(yīng)商的產(chǎn)品。

比如說(shuō)，Check Point Compliance Blade 產(chǎn)品就只能與 Check Point 的產(chǎn)品互動(dòng)。供應(yīng)商們并沒(méi)有放眼企業(yè)基礎(chǔ)設(shè)施中部署的所有產(chǎn)品。這一點(diǎn)似乎不會(huì)改變，因?yàn)閷?duì)他們沒(méi)有實(shí)質(zhì)上的觸動(dòng)，他們也只是盡力做好自己能做的工作而已。

Gartner關(guān)于下一代防火墻的炒作曲線：

https://www.gartner.com/doc/3869071/nextgeneration-firewall-hype-obstacle-enterprises

NSS實(shí)驗(yàn)室下一代防火墻測(cè)試報(bào)告：

https://www.nsslabs.com/company/news/press-releases/nss-labs-announces-2018-next-generation-firewall-group-test-results/

Market&Market市場(chǎng)報(bào)告：

https://www.marketsandmarkets.com/Market-Reports/next-generation-firewall-ngfw-market-32240698.html

企業(yè)戰(zhàn)略集團(tuán)2018高級(jí)威脅年文章：

https://www.csoonline.com/article/3239331/security/2018-the-year-of-advanced-threat-prevention.html