云计算、虚拟化和SDN将完善防火墙安全复杂性
NSS实验室分析师Iben Rodriguez表示,对防火墙和IPS的测试表明,在防火墙上运行多个安全服务必然会对性能和效率带来不好的影响。Neohapsis实验室研究主管Scott Behrens对这个问题总结了一个常识性的方法:“如果我是买家,我会问,‘这个捆绑包能否满足我的企业需求?’”
在犹他州的Weber县政府,Matt Mortensen是奥格登市的信息安全官,当地的防火墙/IPS吞吐量需求不超过约10Gbps。多功能戴尔SonicWall Network Security Appliance E8500模型与IPS、URL过滤及杀毒软件一直能够很好地支持该县1200名员工使用的网络,最近他们计划升级到更强大的SonixWall 9400。该县还部署了几个思科ASA,包括思科ASA 5505防火墙—专门用于与法律执法相关的操作,例如电信窃听数据。
SonicWall防火墙的一些非常有价值的用途是:出于安全原因通过应用程序控制来阻止Skype或甚至Java,Mortensen还使用SonicWall来限制带宽。
“我还执行IP过滤,不允许用户访问某些地方,例如东欧、南美或中国,”Mortensen指出犹他州与这些地方没有业务往来,因而我们出于安全考虑对其进行阻止。该县还执行入站地理IP过滤。Mortensen还设置了防火墙来进行出口过滤,以查看僵尸活动的迹象。
互联网的世界现在很危险,很多大学也开始采取安全措施。去年四月,麻省理工学院(MIT)在收到一个假的炸弹威胁后决定部署安全策略。
“现在,MIT网络上的系统每天都会受到来自世界各地成千上万的未经授权连接,这导致MIT每天都会新增10个被盗用户账号,”MIT向其学术委员会解释说,MIT将基于防火墙基础设施来开始阻止来自MIT网络外部的流量。
[page] 防火墙和IPS在未来将无法满足需求?
防火墙和IPS可以说是“多才多艺”,不仅可以作为硬件设备,还可以作为软件,有时候它们专门旨在推动安全性到虚拟桌面和服务器环境中—主要基于VMware、微软Hyper-V、Red Hat的内核虚拟机(KVM)或者开源Xen管理程序(最近Citrix将其捐赠给Linux基金会)。让一些防火墙软件沮丧的是,在过去几年,VMware通过其自己的基于软件的虚拟防火墙控制也加入了这个阵营。
Check Point公司的Kost承认,“虚拟化正在带来新的挑战,我们现在看到的是,他们需要更多防火墙,”他指出,Check Point 21000和61000代表着Check Point正在推动支持基于VMware的网络。另外VMware本身有“VCloud网络和安全”可用于建立基于VM的防火墙。
Sourcefire公司技术研究组安全策略副总裁Jason Brvenik表示,所有这一切都提出了一个问题,现在究竟谁在掌控防火墙和IPS领域。
基于虚拟机的方法来进行防火墙和IPS正在不断增加
(编辑:PHP编程网 - 湛江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |