新一代品牌防火墙的演进

作者:Anna来源:www.lanyun2009.com时间:2018-12-07

 如今,安全环境日趋复杂,网络攻击快速演变。据思科可视化网络指数研究预测,全球IP流量在2020年前将达到每年2.3 ZB(无线和移动设备流量将占到总IP流量的三分之二),这意味着受攻击面将持续扩大。同时,思科2017年度网络安全报告(ACR2017)指出,黑客变得越来越“企业化”。全数字化所引领的技术环境的动态变化,给网络犯罪可乘之机。企业必须不断寻求尽可能最好的威胁防护解决方案,但是越来越多孤立的安全产品的使用在增加复杂性的同时并没有带来真正的安全有效性,目前趋势是采用集成架构式方法才能实现最有效的安全。与此同时,组织还必须注重威胁检测时间 (TTD),因为网络攻击者正在越来越多地发起能够逃避检测的攻击,所以检测时间也逐渐成为一项重要指标。目前,业界的威胁检测时间测量结果为 100-200 天,大大超出了可接受的范围。

 新一代防火墙 (NGFW) 的推出是业界向前迈出的重要一步,但是传统的 NGFW 主要侧重于应用访问控制,而很少关注威胁防御功能,更缺乏与其它安全产品的集成和信息共享。一些 NGFW 虽然添加了第一代入侵防御系统和各种非集成式产品,但是这些解决方案在经验老道的攻击者和高级恶意软件所带来的风险方面收效甚微。更糟糕的是,在感染发生后,这些 NGFW 所能提供的帮助非常有限,因为它们无法帮助快速确定感染范围、遏制恶意软件,并快速做出补救。如今,持续性威胁通过多种途径不断袭来,IT 环境瞬息万变,用户移动性不断增加,这就迫使有更多的组织开始寻求更有效的 NGFW 解决方案。在他们看来,理想的NGFW 解决方案应满足以下条件:可以使各种一流技术透明地协同工作,并利用这些技术提供多层威胁防护和集成式防御;能够在攻击侵入网络时迅速缓解风险,并且可以实现威胁情报,安全事件等信息的实时共享与其它安全产品自动联动协作。

品牌防火墙

简而言之,新一代NGFW 应具备以下要素:

1.可以实现性能的最优化

2.可紧密集成各种安全功能,以提供有效的威胁防御和高级恶意软件防护

3.可实现全面的统一管理

4.可提供切实有效的危害表现情报,帮助识别整个网络和终端环境中的恶意活动

5.可提供全面的网络可视性

6.可有助于降低复杂性和成本

7.可与第三方安全解决方案进行集成和交互

 8.可提供投资保护

思科Firepower 2100系列新一代防火墙是值得一提的明星产品

思科Firepower2100系列新一代防火墙

品牌防火墙

 Cisco Firepower2100新一代防火墙 (NGFW) 是业内首款具有统一管理功能的完全集成、专注于威胁防御的新一代防火墙。包括最基本的状态检测防火墙、VPN 、NGIPS(主要是应用层的DPI深度包检测)、高级恶意恶意防护(AMP)、应用可视性和可控性、基于信誉度和内容分类的URL过滤。所有这些功能均通过单个设备提供,并通过内容丰富的统一管理控制台进行管理。这里需要强调的是思科近几年非常重视中文本地化,增加了全中文管理界面和大量中文应用的支持。在攻击前、攻击中和攻击后,Cisco Firepower NGFW 均可提供高级威胁全程防护

品牌防火墙

  • 卓越的产品性能:

 随着企业逐步迁移到全数字化业务模式,网络安全解决方案必须进行扩展,以提供新功能,解决最新漏洞和威胁,同时避免影响应用和网络性能。但在过去,情况并非如此。事实上,在 NGFW 上启用入侵检查时,吞吐量性能通常会降低 50%,甚至更多。这对面向客户的网络应用产生严重影响,包括电子商务和网上银行等。这些网络应用需要高性能,同时也经常成为攻击者的目标。为了保障最佳的客户体验,一些企业关闭了关键的安全功能,致使自身和客户都处于风险之中。

 2100系列产品采用了行业首款具有两颗多核CPU的架构,在激活威胁检测时,可将不同工作负载分布到不同芯片,从而保持吞吐量性能。不仅如此,启用威胁防护功能也不会对防火墙吞吐量造成影响,能够显著提升密钥加密、防火墙和威胁防御功能,同时满足客户在安全和性能两方面的需求。即使在开启威胁检测的情况下,相比其他同等价格产品,思科Firepower 2100系列所提供的吞吐量也实现了200%的提升。

      开启IPS功能后思科Firepower 2100系列新一代防火墙性能不会衰减

品牌防火墙

  • 最优化的冗余与性能优化设计,安全不再是网络的瓶颈。

 Firepower 2100 秉承了思科防火墙特有的集群Clustering技术, 能够将多台防火墙无缝的虚拟成一台防火墙,对防火墙的吞吐、新建会话、并发连接、NAT连接等关键指标进行性能扩展。能够提供更高的多活冗余方式,同时又可以提供非常完美的统一管理。

品牌防火墙

 Firepower 2100特有的应用卸载功能,通过独立的策略定义和硬件优化,可以为指定的应用,提供低至3微秒的网络延迟,可以有效满足网络的低延迟/高吞吐需求。每款产品均延续了思科在保证网络正常运行时间方面的卓著可靠性,并在紧凑的 1RU 设计中提供了两倍的万兆以太网联接端口密度。

  • 全面可见性,知己知彼,百战不殆

 Firepower2100新一代防火墙,提供全面的网络可见性,包括所有的用户,移动终端,客户端应用程序,操作系统,虚拟机通讯,漏洞信息,威胁信息,URL等信息。通过这些实时的情景感知信息,可以准确的定义安全策略,保证正确可信的用户可以进入网络,而恶意的未授权的用户受到控制。 

品牌防火墙

  • 专注于威胁防御,高效识别潜在威胁

Firepower 2100新一代防火墙是以威胁为核心的,这是其他品牌的新一代防火墙不曾提过的理念。具体来说,Firepower 2100系列“专注于威胁防御”重要表现在支持所谓的“倒带(go back in time)”能力,针对那些可能漏网的复杂攻击,极大减少威胁检测所需的时间——在发生事件后依旧进行持续分析。这个过程实际上就是期望覆盖攻击的整个过程,尤其在攻击发生之后,通过入侵事件关联分析、异常流量分析和恶意软件防护的攻击跟踪追溯,以期更快做到响应,减少恶意攻击带来的损失。整个过程实际上是NGFW中的状态防火墙、NGIPS、恶意软件引擎进行关联的过程,得出感染指数来帮助用户进行响应。

NGIPS功能在新一代防火墙中起到非常重要的作用。思科的NGIPS在Gartner魔力象限报告里一直处于领导者象限。

Figure 1.Magic Quadrant for Intrusion Prevention Systems

品牌防火墙

 高级恶意程序防护(AMP)也是思科的绝活,基于云安全情报针对恶意程序、APT和目标攻击做防护。这实际上应该算是持续分析和追溯警报的重要核心。如上面提到的“回到过去”的能力,AMP不止是提供单个时间点对高级恶意软件的检测,还提供持续分析,识别、遏制和修复最初逃避了检测的恶意软件。如前文所述,这也是各方联动的结果。

此外就“威胁防御”这一环节值得一提的是,为Firepower系列新一代防火墙提供全球DNS和IP威胁情报的是著名的思科Talos安全情报团队。这个团队由诸多网络安全专家组成,他们进行黑客活动、入侵企图、恶意软件和漏洞最新趋势的分析,。这个团队得到了Snort、ClamAV、Senderbase.org和Spamcop.net社区的资源支持,可算网络安全行业目前最大的安全研究团队。

 

品牌防火墙

 NSS Labs今年8月份发布的《Breach Detection Report》测试报告在专注威胁这部分给予了思科解决方案相当高的评价:

“具备NGIPS和AMP服务的思科FirePOWER 8120威胁检测率达到100.0%。FirePOWER 8120在所有评估技术测试中均表现出高效性。该解决方案也通过了所有的稳定性和可靠性测试。”

并且在所有待测产品中思科安全解决方案实现了最快的检测速度,3分钟内就可以检测出91%以上的威胁。

品牌防火墙

更快速的检测时间是思科安全一直在努力的方向,在最新的思科2017年度网络安全报告中,思科已经将威胁检测时间-TTD 降低到6小时,而业界的威胁检测时间平均为100-200天。

品牌防火墙

所以在“专注威胁防御”这一块,思科还是始终领先一步。 

  • 简单高效的管理:

大量违规行为表明,管理问题可能成为防护的致命要害,错误配置和忽视警报会给安全团队带来严峻挑战。为了解决这一问题,思科增强了本地、集中和基于云的管理工具,让客户能够精简运营,并更加经济高效地满足企业用户的独特要求。

o    Firepower Device Manager:在设备上提供一个基于Web管理的界面,通过引导式设置向导,在短短几分钟内完成对思科Firepower NGFW设备的部署。

o    Firepower Management Center(FMC):支持对多台设备进行简单全面的安全管理,使用户能自动执行安全任务,包括评估、调整、关联、遏制和修复等。

o    Cloud Defense Orchestrator(CDO):提供简单的、基于云的策略管理功能,使团队能够简化和扩展安全策略管理,在企业范围内轻松设计并统一部署策略。

  • 统一平台,智能集成,信息共享

 目前,许多组织都依赖由多家供应商提供的多种解决方案。随着互联网在速度、连网设备和流量方面不断增长,这种做法会让网络保护变得更复杂、更混乱。思科2017年度网络安全报告着重指出,有 65% 的组织在其环境中至少使用 6 种到 50 种以上的安全产品。这种碎片化的安全产品和方案并没有带来有效地安全。

品牌防火墙

 采用集成化的防御架构才是有效的安全方法,将集成化和自动化置于评估标准列表的首位,以提高可见性、简化互操作性、缩短检测时间、缩短阻止攻击所需的时间,以便安全团队集中精力调查和解决真正的威胁, Cisco Firepower NGFW 可以与其他思科安全解决方案(例如用于识别数据和网络分段的思科身份服务引擎 [ISE])以及 Umbrella (OpenDNS) 相集成,从而提供互联网范围内的域可视性。不仅如此,它还能够与其他思科安全产品共享情报、情景和策略控制,这有助于提高效率和敏捷性,并降低管理的难度和成本。自动化网络分段功能有助于您快速遏制威胁。来自思科Talos 的全球 DNS 和 IP 威胁情报可以为早期预警提供信誉威胁指标,从而保证网络安全设备能够在攻击来临之前做好防御准备。

品牌防火墙

本文来自杭州蓝韵网络公司,欢迎转载,转载请注明出处!

TAGS
推荐阅读