云计算、虚拟化和SDN将完善防火墙安全复杂性

    NSS实验室分析师Iben Rodriguez表示，对防火墙和IPS的测试表明，在防火墙上运行多个安全服务必然会对性能和效率带来不好的影响。Neohapsis实验室研究主管Scott Behrens对这个问题总结了一个常识性的方法：“如果我是买家，我会问，‘这个捆绑包能否满足我的企业需求？’”

    在犹他州的Weber县政府，Matt Mortensen是奥格登市的信息安全官，当地的防火墙/IPS吞吐量需求不超过约10Gbps。多功能戴尔SonicWall Network Security Appliance E8500模型与IPS、URL过滤及杀毒软件一直能够很好地支持该县1200名员工使用的网络，最近他们计划升级到更强大的SonixWall 9400。该县还部署了几个思科ASA，包括思科ASA 5505防火墙—专门用于与法律执法相关的操作，例如电信窃听数据。

    SonicWall防火墙的一些非常有价值的用途是：出于安全原因通过应用程序控制来阻止Skype或甚至Java，Mortensen还使用SonicWall来限制带宽。

    “我还执行IP过滤，不允许用户访问某些地方，例如东欧、南美或中国，”Mortensen指出犹他州与这些地方没有业务往来，因而我们出于安全考虑对其进行阻止。该县还执行入站地理IP过滤。Mortensen还设置了防火墙来进行出口过滤，以查看僵尸活动的迹象。

    互联网的世界现在很危险，很多大学也开始采取安全措施。去年四月，麻省理工学院（MIT）在收到一个假的炸弹威胁后决定部署安全策略。

    “现在，MIT网络上的系统每天都会受到来自世界各地成千上万的未经授权连接，这导致MIT每天都会新增10个被盗用户账号，”MIT向其学术委员会解释说，MIT将基于防火墙基础设施来开始阻止来自MIT网络外部的流量。

[page]

    防火墙和IPS在未来将无法满足需求？

    防火墙和IPS可以说是“多才多艺”，不仅可以作为硬件设备，还可以作为软件，有时候它们专门旨在推动安全性到虚拟桌面和服务器环境中—主要基于VMware、微软Hyper-V、Red Hat的内核虚拟机（KVM）或者开源Xen管理程序（最近Citrix将其捐赠给Linux基金会）。让一些防火墙软件沮丧的是，在过去几年，VMware通过其自己的基于软件的虚拟防火墙控制也加入了这个阵营。

    Check Point公司的Kost承认，“虚拟化正在带来新的挑战，我们现在看到的是，他们需要更多防火墙，”他指出，Check Point 21000和61000代表着Check Point正在推动支持基于VMware的网络。另外VMware本身有“VCloud网络和安全”可用于建立基于VM的防火墙。

    Sourcefire公司技术研究组安全策略副总裁Jason Brvenik表示，所有这一切都提出了一个问题，现在究竟谁在掌控防火墙和IPS领域。

    基于虚拟机的方法来进行防火墙和IPS正在不断增加

    上个月，WatchGuard刚刚向其XTMv统一威胁管理平台增加了Hyper-V支持。瞻博网络产品和策略副总裁Karim Toubba坚持认为“防火墙现在应该是虚拟形式，它不再是以前的形式，”并指出瞻博网络的方法支持KVM和VMware。“外围已经变得很有弹性，在私有云环境中，我们希望防火墙更具弹性。”

    Nielsen表示思科有ASA 1000-V Cloud Firewall。Sourcefire今年春天推出了其第一款下一代防火墙FirePower，该公司也开发了一种方法来过滤来自Xen、KPM和VMware工作负载环境的管理程序流量。但他承认，与更传统的IPS相比，这可能存在一些性能挑战。

    Palo Alto Networks公司Chris King表示，越来越多的客户开始同时使用其物理和虚拟化下一代防火墙。

    但是，NSS实验室分析师John Pirc警告说，基于管理程序的防火墙和IPS仍然相当新，有个问题是防火墙/IPS供应商并不总是支持多虚拟化平台。NSS实验室可能今年会在其实验室测试基于虚拟机的安全性。

    然而，根据Gartner表示，虚拟化防火墙只占整个防火墙的5%不到。Young表示，虚拟化防火墙在特定情况下会让事情变复杂，即关于它们应该由网络运营组还是服务器运营组来管理的问题。他指出：“在这个虚拟版本中，存在谁管理什么的复杂性。”

    企业正在不断将数据以及数据处理发送到云服务供应商的网络--这有可能是平台即服务、基础设施即服务，或者软件即服务，这种云计算的兴起也引起了大家对防火墙和IPS的未来的思考。现在，你在云服务（例如亚马逊）所做的操作与你在企业内部的操作鲜少有联系，并且，现在防火墙和IPS主要位于企业内部。

    与此同时，安全行业还要应对软件定义网络的出现和CloudStack及OpenStack的使用。

    “这是一个颠覆性的转变，”Toubba认为，他还指出瞻博网络认为基于软件的防火墙等其他安全服务可以部署到SDN和云计算技术。

    初创公司Bromium创始人兼首席技术官Simon Crosby（在XenSource被Ctrix收购前，他曾任该公司XenSource创始人兼首席技术官）并不认为传统防火墙和IPS（或者“下一代”什么）是答案。他表示，公共云技术和OpenStack是推动事情突破的主要力量。

（编辑：源码门户网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!