下一代防火墙应用实践
1、下一代防火墙选型参考
下一代防火墙对于业界来说已经是一个谈论火热的话题,但对于企业来讲还是一个全新的概念,如果企业要选择下一代防火墙,那具体该怎样选型?黄海给出了参考建议:其实从选型和部署的流程上来讲,下一代防火墙与传统设备之间没有太明显的区别。还是要先明确业务,再确定需求,然后选择设备,最终确定方案,只是在各个环节上需要考虑的问题比以前多了。
在明确业务阶段,过去可能只需要了解下网络规划和网络中的业务类型、流量走向和重要服务器的物理分布就可以开始防火墙组网的规划,但下一代防火墙由于IPS和防病毒等安全功能的出现,在明确业务阶段如果加入信息资产评估和风险管理的相关工作就会对整体的方案选择提供较大帮助和参考。
在确定需求阶段,过去主要就是传统防火墙的几个功能点,现在需要考虑的更多,由于当前下一代防火墙产品众多,良莠不齐,对性能的考虑要比之前更谨慎,单纯的考虑传统三层转发性能已经远远不够,还需要重点参考七层安全性能。
在产品选择阶段重点考虑三点,一是产品对需求的满足程度以及各种功能在未来的扩展性;二是厂商的安全实力和服务能力,这里要考虑的是安全研究方面的储备和安全业务的一个长期稳定性,要保证设备的安全功能长期可用,并且好用,否则投资无法保障;三是价格,要在前面性能需求可以很好满足的情况下去进行参考。
在方案制定阶段,很多厂商都能够提供各种建议并进行实施,而且现在的下一代防火墙在各种组网方案的适应性都要比以前要好,所以这方面用户不需要太过操心。
2、下一代防火墙运维实践
根据业界调研显示,由于下一代防火墙功能的增多,其运维的难度并没有向一些下一代防火墙厂商所说的简化了运维,反而是增加了运维的复杂性。分析原因,黄海解释到,造成这个问题的原因主要有两点:
第一是我国当前的网络发展状况与国际相比还处于稍显落后的位置,很多和下一代防火墙配套的设施和技术发展缓慢,这就让很多下一代防火墙的新理念难以实行,反而成了麻烦事。比如用户识别的概念,这是下一代防火墙为了简化运维,改进溯源而提供的一个重要功能。但现实情况是,有些用户在采购防火墙设备之前根本没有统一的用户认证服务器,即使在采购了下一代防火墙之后也不考虑在下一代防火墙上使用本地认证。原因一方面可能是用户信息较多不愿意去做,另一方面可能是还没认识到用户识别所能带来的好处。最终的结果就是客户用了下一代防火墙之后没有改善运维复杂度,反而还要在所有策略选项里多用户这么一个没用的选项。但随着时间的推移,我们国家的网络管理运维理念会逐渐的升级,那这个问题就能迎刃而解,并不是最主要的问题。
二是当前一些厂家在下一代防火墙的定义和定位上把握不准,产品本身又走了UTM的老路,很多厂商在下一代防火墙产品上集成了大量功能,有些甚至支持了漏洞扫描等功能。从表面看,是下一代防火墙对UTM进行了完全替代,但从内核上看,产品内部各个功能模块之间还是孤立的,这样的产品实际上就是个UTM。而真正的下一代防火墙产品在有了一体化引擎这样一个好的功能实现载体之后,在它上面可以开发出一体化策略配置功能,这个一体化策略配置功能可以让管理员在一个界面就配置完所有的安全策略,而且便于后期查看。