登录
联系我们
 
 
菜单
登录
联系我们
X

在下一代防火墙中寻找的11种功能

博客首页

在下一代防火墙中寻找的11种功能

在与学校,大学和医院的技术领导者打交道时,对于他们各自如何解决IT问题或挑战有许多不同的意见。那些成功解决BYOD,1:1,Web过滤或简单缺乏可用带宽等问题的人确实有一个共同点:需要更新的基础架构。

下一代防火墙

对于任何这些IT领导者而言,防火墙都是确保组织敏感数据安全并降低遭受攻击风险的关键基础架构。考虑到这一点,这里是您要在下一个防火墙中查找的11个功能:

1.识别和控制任何端口上的应用程序。

随着移动设备和操作系统的兴起,应用程序开发也变得更加容易,这为在向公众提供应用程序之前进行较少的质量控制打开了大门。由于应用程序开发人员不再遵循端口/协议/应用程序映射的旧标准,因此更多的应用程序现在能够在非标准端口上运行或可以跳跃端口(例如,Facebook或Yahoo!即时消息传递应用程序,对等文件共享,例如UTorrent或VOIP)。当今的年轻用户越来越精明,足以迫使某些应用程序通过非标准端口(例如MS RDP,SSH)运行。虽然我们房子里的4岁孩子可能还没有达到这个水平,但要点是,当我们坐在Commodore 64或Tandy上时,孩子们会拿着这些设备长大。 80岁,请想象他们在20年后将具备的能力。

2.识别和控制规避者

大多数组织的网络安全策略和控件旨在实施他们花费大量时间尝试实施的那些策略。恶意黑客使用代理,远程访问和加密隧道应用程序,这些应用程序专门用于在尝试攻击网络时规避防火墙等安全控制措施。如果没有控制这些规避者的能力,组织将无法执行其安全策略,从而使自己面临他们认为自己的控制措施可以阻止的风险。您的下一个防火墙解决方案必须能够应对这些类型的绕行者,同时还要确保定期更新应用程序智能。

3.解密出站SSL

如今,超过15%的网络流量实际上已经过SSL加密。在一些对安全性要求更高的行业(例如金融服务)中,该数字超过50%。鉴于许多高风险,高奖励应用程序越来越多地采用HTTPS,并且用户能够在许多网站上启用SSL,因此网络安全团队就像汽车沿着州际变迁路线行驶,而无需回头且没有后视镜-巨大的盲点已创建。您的下一个防火墙必须能够解密和检查该SSL流量,并且还必须足够灵活以通过策略绕过SSL流量的选定段。例如,来自医疗保健组织的网络流量-巨大的责任和数据将承受风险。

lo网络

4.提供应用功能控制

许多应用程序具有明显不同的功能,呈现出不同的风险状况和好坏的价值。其中的一些示例包括WebEx与WebEx桌面共享以及Yahoo!即时消息与文件传输功能。在受监管的公司IT环境中,或者在严重依赖其敏感知识产权的组织中,这是一个重要问题。 (想想可口可乐的原始配方在网上已经遭到破坏)。您的下一个防火墙必须不断评估流量并注意更改-如果在会话期间引入了其他功能,则防火墙应注意并执行策略检查,同时保持完整功能。

5.扫描允许的应用程序中的病毒和恶意软件

企业继续采用在物理位置之外托管的协作应用程序。无论是托管Sharepoint,Box.net,Google Docs还是Microsoft Office Live,许多组织都要求使用共享文件的应用程序-这是攻击的潜在高风险威胁。许多受感染的文档以及一些包含不应该暴露给外界的敏感信息(例如,客户的个人信息)的文档都存储在协作应用程序中。

6.按政策处理未知流量

总是会有未知的流量,它将始终对任何大小的组织都构成重大风险。对于未知流量,需要考虑几个重要因素-可以将其最小化,可以轻松地对自定义应用程序进行特征化,从而使它们在任何网络安全策略中都是“已知”的,并对未知流量具有可预测的可见性和策略控制。您的下一个防火墙必须尝试对所有流量进行分类,从而提供可靠的实施模型(默认拒绝)。具有负(默认允许)模型的解决方案允许所有未知流量。在这种情况下,您不知道的事情确实会伤害您-因此,“放任所有”不应成为您政策结构的基础。  

7.识别和控制共享同一连接的应用程序

应用程序共享会话。为了确保用户不断使用诸如Google,Facebook,Microsoft或Salesforce之类的应用程序“平台”,应用程序开发人员集成了许多不同的应用程序-这些应用程序通常具有非常不同的风险状况和商业价值。为了更好地说明,这是Gmail的示例,该示例可以从Gmail用户界面中生成Google Talk会话。这些是根本不同的应用程序,您的下一个防火墙必须意识到这一点,并为每个应用程序启用适当的策略响应。  

8.为远程用户启用相同的可见性和控件

用户越来越多地位于学校,大学或医院的四面墙之外。现在,很大一部分企业用户可以远程工作,他们希望通过WiFi,无线宽带或通过完成其职务所需的任何方式连接到其应用程序。无论用户访问的位置和他们访问内部网络的网络(家庭,图书馆,咖啡店),甚至是他们正在使用的应用程序所在的位置,都应使用相同的控制标准。如果您的下一个防火墙能够使应用程序可见性并控制企业的四面墙内部而不是外部的流量,则它会错过某些风险最大的流量的标记。

9.使网络安全更简单

许多企业业务正努力将更多的信息源,更多的策略和更多的管理纳入到已经超负荷的安全流程和人员中。换句话说,如果团队无法管理他们已经拥有的东西,那么增加更多的管理,政策和信息并不能真正解决问题。鉴于典型的防火墙安装具有数千个规则,因此在成千上万的端口上添加数千个应用程序签名将使复杂性提高几个数量级。 (这不是让您受伤吗?)您的下一个防火墙必须根据用户和应用程序应用策略,从而大大简化了策略建模和管理。 (可能想检查一下这是否是您的网络基础结构的其他部分也允许的功能-会使集成变得更加容易)。

10.在完全激活应用程序控制的情况下提供相同的吞吐量和性能

许多企业在许多被认为是性能和安全性之间被迫妥协的企业中挣扎。以前,启用网络安全功能意味着降低吞吐量和性能。如果您以正确的方式构建了下一个防火墙,则无需进行这种折衷。鉴于需要以低延迟在高流量下执行诸如应用程序标识之类的计算密集型任务,因此您的下一个防火墙必须具有针对特定任务(例如网络,安全性和内容扫描)优化的硬件,并且在不牺牲速度或安全性的情况下执行所有这些任务。

11.价格或成本

很多次我们外出寻找解决方案,但也要考虑预算。目标是以最低的价格获得最多的功能。当您购买汽车,玩具甚至杂货时,就会发生这种情况。因此,在考虑下一个企业级防火墙解决方案时,请记住与不前进有关的成本,这一点很重要。您对价格和成本有多大的容忍度?风险可能有各种形式和规模,但是如果您有一个既可以保护您的组织又可以帮助您晚上入睡的解决方案,那么您必须知道,敏感数据和网络可以免受攻击,这当然值得您付出任何额外的前期成本。

现在市场上有许多解决方案可以处理上述情况,并且它们在物理设备上具有各种价格标签。 对于防火墙,我们建议使用Palo Alto防火墙,因为它是包含上述所有功能的完整解决方案。如果您想获得免费的演示或有关下一代防火墙的更多信息,可以 在这里联系我们。另外,请查看以下出色的电子书,以了解更多信息。 

帕洛阿尔托网络;下一代防火墙,企业无线安全性,WiFi服务提供商,