iThome
前面我們歸納了次世代防火牆(Next Generation Firewall,NGFW)該有的能力應該有哪些,最後,我們要來檢視次世代防火牆這樣概念的設備,可能會替企業的網路架構帶來怎麼樣的改變。
透過虛擬化保留獨立處理流量的效果,但又不會過於複雜
如果NGFW能夠具備先前談到的那些特色,那麼首先最能明顯看到的改變,應該就是設備虛擬化所帶來的網路架構簡化。防火牆其實就像是水閘門,過去為了控管不同網域設備間流量,往往會使得企業設置很多臺不同大小效能的防火牆來控管。但是這樣的做法,卻會讓防火牆管理和網路的架構越趨複雜,維護成本也較高。
較小規模的企業,則是常常只在網路對外的出口放置一臺防火牆,作為守門之用。這樣的做法雖然相對來說管理簡單,但是卻因為企業內網不同網域間沒有控管,很有可能會爆發惡意程式的內部快速感染,防護不夠全面。
而NGFW如果能夠透過虛擬化的方式,無論是一臺設備分割成多臺,或是讓多臺設備虛擬為一臺,都能有效解決這種兩難。網路的架構也會因此而精簡,可以大幅減少實體防火牆的數量。相對的,網路的設計也會較為簡單,因為透過虛擬化能讓實際上通過數臺NGFW的流量,都被視為在單一虛擬的設備上,所以能夠避免過去網路流量左進右出等設計的問題,也能減少設備互相備援上的網路設計難度,因為流量等同於是在同一臺設備上。
在單臺虛擬為多臺的狀況下,也能夠保持獨立處理流量的效果,讓不同網域間的流量能夠被獨立處理,並且能在同一個介面下被管理,相較之下架構簡單了很多。
除此之外,設備本身的虛擬化也能讓硬體資源的分配更為靈活與機動,這讓NGFW的執行效率能夠提高,也不會有過去購買一臺大型設備,只是為了其中某一種功能的效能必須滿足需求,而其他功能都用不到或幾乎沒在使用的狀況發生。
對威脅的反應可以更快,成為政策執行據點
除了前述帶來網路架構精簡的改變外,NGFW的功能也會更多元,並且扮演的角色也將轉型成為網路上的政策執行據點,而不光只是傳統防火牆的單純角色,協助企業加快對資訊威脅的反應速度。
因為NGFW可以看得懂應用層,所以能夠做的事情遠比傳統的防火牆來得多,讓它有能力成為企業內部資安政策的執行據點,甚至和其他不同的設備聯防,扮演NAC等機制的阻斷流量角色。也由於可以看到應用層,DLP的功能整合,也變成可能。能夠提供企業據點式的DLP防護,減少重要資料外洩的可能性。
其實不光是有能力與其它設備聯防, NGFW也必須有能力和自己設備上的不同功能做溝通。部分對於時效性比較敏感的攻擊型態,就能更有效率的防止,而不會有事後才需要亡羊補牢的狀況發生。這一點讓NGFW所具備的優勢變得十分明顯,尤其在面對僵屍網路這一類從內部滲透的攻擊手法時,NGFW這種防患於未然的快速反應阻斷能力,就更形重要。此外,單一管理介面和精簡的設備,也讓管理上也更為簡易。
這種反應的加速,將能有效的協助企業的網路更快速的控制且減輕惡意程式的攻擊嚴重度。傳統防火牆僅能透過第三、第四層的資訊去控管流量,這使得很多透過80埠等,原本就必須會開放的連接埠而造成的威脅,防火牆防不勝防。而NGFW則沒有這個問題,可以透過應用層的資訊,加上與其他網路設備共同互通的能力,達到即時快速反應的效果。
應該逐漸轉向NGFW,才能更有彈性的面對未來威脅
正如先前談到的,NGFW事實上並沒有統一的一個定義,這個名詞所指涉的是一個廣泛包含各種不同防火牆該具備功能的概念,而並不單指具備特定某一種功能設備就是NGFW。所以企業在選購相關設備時,應該要注重的是,哪些功能已經滿足了NGFW的特質。
隨著技術趨勢的發展,或許幾年後,本篇文章談到的6項重要功能,會成為市場上類似設備的主流。但對於現在就有選購相關產品需求的企業來說,這些重要功能正是選購的重要指標。根據調查機構Gartner的預估,目前約有1%網路連線已經被類似NGFW的設備給確保了安全;而到了2014年底,這個比例將會提升到35%。這代表著,將會有越來越多的設備滿足NGFW的條件,而且在接下來4年內,NGFW將會逐漸成為主流。
不過要注意的是,並不是具備特定哪一種功能,就一定叫做NGFW,看事情要看本質,NGFW最終也不過是整個網路安全架構中的一環,從整個網路架構面的考量,會遠比單點防禦來得重要多了。
我記得曾有一位資訊廠商的女性技術顧問曾這麼說過,她覺得IT業界其實和時裝界有點類似。每隔一段時間,總是會有人推出一種新觀念、新名詞,然後過了一陣子後,風潮慢慢退去,又有新的名詞或概念出現。部分觀念,在過了幾年之後,可能還會又被拿出來重新流行一次。於是乎,她下了個結論,「IT業界其實和時裝業界推動流行的手法很相似。」
我們不可否認,次世代防火牆其實也是這種潮流下塑造出的一個新觀念、新名詞。但這並不代表這樣的新觀念就單純只是廠商炒作而已,就像是完美的謊話背後,總是有3分真實,NGFW這樣一個新的觀念,其實也有著一定的參考價值,並且揭示了未來資安設備可能的走向。
企業內網中NGFW的配置架構
-%E7%B6%B2%E9%A0%814-600-1.png)
相關報導請參考「次世代防火牆」
熱門新聞
2024-05-06
2024-05-03
2024-05-06
-%E7%B6%B2%E9%A0%814-600-1-big.png){kind=link}
2024-05-03