部署下一代防火墻:“用例”和“速度”不容忽視
責編:admin |2014-07-29 16:17:38隨著越來越多的組織考慮實現下一代防火墻(NGFW),網絡團隊必須考慮在他們的數據中心環境中各種可能出現的設計和防火墻架構的變化。為了尋找最佳的NGFW平臺,一定要確定最佳的部署用例。最常見的NGFW部署場景有:
部署下一代防火墻:“用例”和“速度”不容忽視
用NGFW替換傳統防火墻:許多組織正在考慮在目前的防火墻基礎架構接近到期(EOL)時或需要更新授權時購買NGFW。在這些情況中,NGFW平臺很可能會被部署到之前防火墻所在的位置上。和傳統防火墻一樣,它一樣要實現流量的冗余和負載均衡(功能集群)。
用NGFW替換IPS:一些企業也考慮用NGFW設備替換現有的入侵防御系統傳感器和基礎架構。根據所選擇的模型,這種方案可能價格不菲,但是如果一些組織需要在網絡中少數位置的IPS功能之上多加一層應用檢查,那么可以考慮這么做。NGFW平臺的可擴展性可能不如傳統IPS基礎架構,而且其部署成本可能遠遠高于傳統平臺,因為IPS平臺通常部署在主入口點、DMZ域和VPN平臺后面的位置上。一定要讓NGFW平臺打開故障放行或繞行機制,允許流量在出現故障時仍然能夠通過;在可能的情況下也推薦使用雙主動(active-active)或主動-被動(active-passive)等成對配置。
用NGFW替換防火墻及IPS:如果一些組織專門考慮壓縮安全基礎架構,而且到了EOL和授權更新時間,那么從運營角度考慮可以購買NGFW。如果有一個平臺可以滿足組織需求,同時又已經有更多的深度防御層次,那么這也是一個減小開支和運維負載的方法。在這種情況下,有可能實現網絡整合,因為NFW可以替代多種設備。這種情況要考慮的關鍵問題是:a) 端口密度;b) 冗余及可用性方法;c) 總吞吐量。
用NGFW作為附加控制:如果一些組織考慮增加多一層防御,特別是那些轉換了第二層防火墻層次或剛剛增加了一層防火墻的組織,NGFW平臺可以提供許多的安全特性。在架構中的部署將取決于目前所使用的功能。對于用戶身份驗證和被動監控,一些設備可以在需要時通過使用磁帶或鏡像技術部署為“編外”設備。但是,如果有任何阻擋操作,則需要在流量通過的位置使用內聯部署。
任何下一代防火墻架構都需要評估一個重要屬性:速度。由于任何NGFW設備都需要密集處理和分析數據包,因此流量延遲是一個重要問題。許多產品宣傳說支持10GB以上的速度,但是在購買之前要盡可能地用真實生產流量去測試這些產品,特別是那些將會部署在內部的產品。如果一些組織想要用NGFW平臺去檢測安全套接字分層(SSL)流量,那么所有需要檢查的SSL流量都必須轉發到這個系統上,途徑可以是普通流量流,或者使用智能程序或SSL流量分析程序。然而,在啟用SSL解密和檢查時,許多NGFW平臺會出現嚴重的延遲,所以一定要在部署前認真執行測試。無論是哪一種部署,一定要在負載下進行全面測試,同時應用集群和冗余機制。