国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　在過往幾十年中，防火墻一向是互聯(lián)網(wǎng)的基于端口的守護者。而此刻供給商都在爭相推出所謂的“下一代防火墻”，因為這些“利用感知”防火墻可以基于利用法度利用來監(jiān)控和節(jié)制拜候。

　　別的，良多防火墻中加進了愈來愈多的功能來試圖發(fā)現(xiàn)零日報復(fù)打擊，包含進侵防御系統(tǒng)(IPS)、web過濾、VPN、數(shù)據(jù)丟掉防護、歹意軟件過濾，乃至還有威脅檢測沙箱。對伶仃的IPS，因為其利用節(jié)制，它可能被稱為“下一代IPS”，例如IBM Network Security Protection XGS 5000(收集安然呵護XGS 5000)或McAfee NS系列。

　　防火墻/IPS供給商競爭很是狠惡，他們還推出更高的吞吐量來知足速度的需求，因為經(jīng)歷“虛擬化”的數(shù)據(jù)中間需要在防火墻供給更高的帶寬。

　　供給商們都渴看獲得有影響力的Gartner等公司的贊美，或盡力在手藝評估測試中擊敗競爭敵手，例如NSS嘗試室或Neohapsis嘗試室的測試。但其實，成敗的關(guān)頭在于可否博得Rusty Agee等買家的青睞，Rusty Agee是美國北卡羅來納州夏洛特市的信息安然工程師，他利用各類防火墻產(chǎn)品。

　　Agee暗示：“防火墻已大年夜大年夜改進了，”當觸及防火墻和IPS的功能和速度時，“我老是想要更多?！?/P>

　　數(shù)據(jù)中間虛擬化、移動設(shè)備的激增和該市擺設(shè)“攜帶本身設(shè)備到工作場合(BYOD)”政策的打算，都是Agee對可能用于呵護各當局機構(gòu)數(shù)據(jù)的各類編制保持開放立場的啟事。他指出，該市的消防部門和***部門已開端利用平板電腦和智妙手機，所以他現(xiàn)正需要考慮一個BYOD遷徙政策。

　　該市利用移動設(shè)備的員工正在操縱思科的AnyConnect客戶端來成立VPN類型的連接，連接回該市的思科ASA防火墻。除思科防火墻與伶仃的思科IPS，該市還利用Check Point防火墻和伶仃的IPS來封鎖到關(guān)頭辦事器、數(shù)據(jù)中間、互聯(lián)網(wǎng)接進和該市無線收集的流量。

　　別的，該市還利用Palo Alto Networks下一代防火墻來監(jiān)測和節(jié)制員工利用法度利用。別的，該市操縱F5 Networks利用法度防火墻來尋覓針對web辦事器的報復(fù)打擊流量。Agee暗示，夏洛特市經(jīng)由過程LogRhythm的安然信息和事務(wù)治理集中化了對這些安然設(shè)備的日記治理。

　　“我們的防火墻每天生成幾十萬日記到LogRhythm，”Agee暗示，該市當局有時辰也會收到來自聯(lián)邦的安然警報相干的feed。集中化防火墻和IPS日記feed，和辦事器日記，可以或許幫忙該市的安然人員從單點肯定可能觸及報復(fù)打擊的收集安然標題問題，和可以或許被人力資本或治理更好地措置的員工web利用標題問題。

　　在一家企業(yè)中有如斯同化的防火墻組合多是特例，其實不常見。Gartner闡發(fā)師Greg Young在6月的Gartner安然與風(fēng)險治理峰會上暗示，Gartner發(fā)現(xiàn)大年夜大都公司只利用一家供給商的產(chǎn)品。Gartner一向大年夜力倡導(dǎo)利用下一代防火墻，對下一代防火墻(NGFW)，Gartner估計，此刻只有不到8%的企業(yè)利用NGFW，不外這個數(shù)字在五年內(nèi)估計將爬升至30%以上。

　　Young還指出，很較著，SSL VPN已完全轉(zhuǎn)移到該防火墻中，不再作為伶仃的自力的SSL VPN產(chǎn)品。

　　事實上，防火墻和IPS仿佛無處不在。此中一個例子是Fortinet Secure Wireless LAN，這根基上是一個集成到統(tǒng)一威脅治理設(shè)備(撐持防火墻和IPS功能)的無線接進點和互換機。按照Fortinet營銷副總裁John Maddison暗示，該產(chǎn)品在零售連鎖店很風(fēng)行，它可以或許以合適成本效益的編制幫忙零售店獲得無線收集籠蓋和安然呵護。

　　連鎖餐廳Jack-in-the-Box比來在其數(shù)百家連鎖店擺設(shè)了650臺FortiWiFi-60CS設(shè)備，這些設(shè)備連絡(luò)了無線接進和防火墻/IPS。該公司IT主管Jim Antoshak暗示，Jack-in-the-Box餐廳舊的無線點此刻可以“退休”了，這些Fortinet設(shè)備將是緊湊型無線和安然的連絡(luò)體。

　　一個論據(jù)?

　　業(yè)界的辯論首要環(huán)繞兩個標題問題：多用處防火墻/IPS可否像自力設(shè)備那么有效?互換機或路由器內(nèi)的安然模塊呢?

　　與思科和瞻博收集一樣，惠普供給針對防火墻和進侵防御的安然模塊，這類安然模塊可用于該供給商的互換機和路由器中。但惠普TippingPoint副總裁兼企業(yè)安然產(chǎn)品總經(jīng)理Rob Greer暗示，當觸及進侵防御時，惠普看到的首要擺設(shè)仍然是專門的自力的設(shè)備。他指出，從機能和細粒度節(jié)制來看，這凡是被覺得是惠普下一代利用感知IPS的最好編制。

　　思科收集安然和產(chǎn)品營銷高級主管Mike Nielsen暗示，思科發(fā)賣的大年夜部門防火墻和IPS產(chǎn)品是“專用安然設(shè)備”。其Adaptive Security Appliance系列中的ASA 5585-X系列據(jù)稱具有40Gbps防火墻吞吐量，Nielsen暗示在IPS這可以進步到80Gbps，IPS還包含一個利用節(jié)制功能，按照Gartner的定義，這是它被稱為“下一代防火墻”的最首要的元素。

　　Sourcefire公司手藝研究組安然策略副總裁Jason Brvenik覺得，“在企業(yè)應(yīng)對不竭改變的最新威脅時，專用設(shè)備可以或許給你更多自由?！?/P>

　　Check Point產(chǎn)品營銷主管Fred Kost暗示，需要高吞吐量和低延遲性的客戶凡是會選擇專用功能。但他指出，中小企業(yè)客戶常常發(fā)現(xiàn)多用處防火墻網(wǎng)關(guān)和統(tǒng)一威脅治理設(shè)備已夠用。Check Point也在爭奪“下一代”的稱號，該公司比來就增加了“威脅仿真刀片”作為防火墻模塊。威脅仿真刀片可以安然地“引爆”沙箱中的文件，試圖發(fā)現(xiàn)零日報復(fù)打擊。它采取了與Palo Alto在其下一代防火墻中Wildfire威脅檢測不異的編制。

　　此刻，沙箱的設(shè)法正在迎頭趕上。例如，McAfee比來收購了防火墻/VPN/IPS供給商Stonesoft和ValidEdge來加強其沙箱手藝。

　　NSS嘗試室闡發(fā)師Iben Rodriguez暗示，對防火墻和IPS的測試表白，在防火墻上運行多個安然辦事必定會對機能和效力帶來不好的影響。Neohapsis嘗試室研究主管Scott Behrens對這個標題問題總結(jié)了一個常識性的編制：“假定我是買家，我會問，‘這個***包可否知足我的企業(yè)需求?’”

　　在猶他州的Weber縣當局，Matt Mortensen是奧格登市的信息安然官，本地的防火墻/IPS吞吐量需求不超越約10Gbps。多功能戴爾SonicWall Network Security Appliance E8500模型與IPS、URL過濾及殺毒軟件一向可以或許很好地撐持該縣1200名員工利用的收集，比來他們打算進級到更強大年夜的SonixWall 9400。該縣還擺設(shè)了幾個思科ASA，包含思科ASA 5505防火墻—專門用于與法令法律相干的把持，例如電信***數(shù)據(jù)。

　　SonicWall防火墻的一些很是有價值的用處是：出于安然啟事經(jīng)由過程利用法度節(jié)制來禁止Skype或乃至Java，Mortensen還利用SonicWall來限制帶寬。

　　“我還履行IP過濾，不承諾用戶拜候某些處所，例如東歐、南美或中國，”Mortensen指出猶他州與這些處所沒有營業(yè)來往，因此我們出于安然考慮對其進行禁止。該縣還履行進站地輿IP過濾。Mortensen還設(shè)置了防火墻來進行出口過濾，以查看僵尸勾當?shù)嫩E象。

　　互聯(lián)網(wǎng)的世界此刻很危險，良多大年夜學(xué)也開端采納安然辦法。往年四月，麻省理工學(xué)院(MIT)在收到一個假的炸彈威脅后決定擺設(shè)安然策略。

　　“此刻，MIT收集上的系統(tǒng)每天城市遭到來自世界各地不計其數(shù)的未經(jīng)授權(quán)連接，這導(dǎo)致MIT每天城市新增10個被盜用戶賬號，”MIT向其學(xué)術(shù)委員會詮釋說，MIT將基于防火墻根本舉措措施來開端禁止來自MIT收集外部的流量。

　　防火墻和IPS在將來將沒法知足需求?

　　防火墻和IPS可以說是“多才多藝”，不但可以作為硬件設(shè)備，還可以作為軟件，有時辰它們專門旨在鞭策安然性到虛擬桌面和辦事器環(huán)境中—首要基于VMware、微軟Hyper-V、Red Hat的內(nèi)核虛擬機(KVM)或開源Xen治理法度(比來Citrix將其捐贈給Linux基金會)。讓一些防火墻軟件懊喪的是，在過往幾年，VMware經(jīng)由過程其本身的基于軟件的虛擬防火墻節(jié)制也加進了這個陣營。

　　Check Point公司的Kost承認，“虛擬化正在帶來新的挑戰(zhàn)，我們此刻看到的是，他們需要更多防火墻，”他指出，Check Point 21000和61000代表著Check Point正在鞭策撐持基于VMware的收集。別的VMware本身有“VCloud收集和安然”可用于成立基于VM的防火墻。

　　Sourcefire公司手藝研究組安然策略副總裁Jason Brvenik暗示，所有這一切都提出了一個標題問題，此刻事實誰在掌控防火墻和IPS范疇。

　　基于虛擬機的編制來進行防火墻和IPS正在不竭增加

　　上個月，WatchGuard方才向其XTMv統(tǒng)一威脅治理平臺增加了Hyper-V撐持。瞻博收集產(chǎn)品和策略副總裁Karim Toubba對峙覺得“防火墻此刻應(yīng)當是虛擬情勢，它不再是之前的情勢，”并指出瞻博收集的編制撐持KVM和VMware。“外圍已變得很有彈性，在私有云環(huán)境中，我們希看防火墻更具彈性?！?/P>

　　Nielsen暗示思科有ASA 1000-V Cloud Firewall。Sourcefire本年春季推出了其第一款下一代防火墻FirePower，該公司也開辟了一種編制來過濾來自Xen、KPM和VMware工作負載環(huán)境的治理法度流量。但他承認，與更傳統(tǒng)的IPS比擬，這可能存在一些機能挑戰(zhàn)。

　　Palo Alto Networks公司Chris King暗示，愈來愈多的客戶開端同時利用其物理和虛擬化下一代防火墻。

　　可是，NSS嘗試室闡發(fā)師John Pirc警告說，基于治理法度的防火墻和IPS仍然相當新，有個標題問題是防火墻/IPS供給商其實不老是撐持多虛擬化平臺。NSS嘗試室可能本年會在其實驗室測試基于虛擬機的安然性。

　　但是，按照Gartner暗示，虛擬化防火墻只占全部防火墻的5%不到。Young暗示，虛擬化防火墻在特定環(huán)境下會讓工作變復(fù)雜，即關(guān)于它們應(yīng)當由收集運營組仍是辦事器運營組來治理的標題問題。他指出：“在這個虛擬版本中，存在誰治理甚么的復(fù)雜性?！?/P>

　　企業(yè)正在不竭將數(shù)據(jù)和數(shù)據(jù)措置發(fā)送到云辦事供給商的收集--這有多是平臺即辦事、根本舉措措施即辦事，或軟件即辦事，這類云計較的鼓起也引發(fā)了大年夜家對防火墻和IPS的將來的思慮。此刻，你在云辦事(例如亞馬遜)所做的把持與你在企業(yè)內(nèi)部的把持鮮少有聯(lián)系，并且，此刻防火墻和IPS首要位于企業(yè)內(nèi)部。

　　與此同時，安然行業(yè)還要應(yīng)對軟件定義收集的呈現(xiàn)和CloudStack及OpenStack的利用。

　　“這是一個傾覆性的改變，”Toubba覺得，他還指出瞻博收集覺得基于軟件的防火墻等其他安然辦事可以擺設(shè)到SDN和云計較手藝。

　　草創(chuàng)公司Bromium初創(chuàng)人兼首席手藝官Simon Crosby(在XenSource被Ctrix收購前，他曾任該公司XenSource初創(chuàng)人兼首席手藝官)其實不覺得傳統(tǒng)防火墻和IPS(或“下一代”甚么)是謎底。他暗示，公共云手藝和OpenStack是鞭策工作沖破的首要力量。

　　Crosby指出，安然行業(yè)已大年夜范圍“破產(chǎn)”，并且供給商在“扯謊”，他警告說“任何斷言可以檢測到報復(fù)打擊者的手藝都是存在標題問題標?！彼X得更好地實現(xiàn)虛擬機安然的編制將經(jīng)由過程基于CPU呵護和“硬件隔離”來實現(xiàn)，“硬件隔離”是以一類別致的編制操縱內(nèi)置英特爾和ARM芯片安然功能。Bromium的vSentry虛擬化安然運作編制正如虛擬機內(nèi)的虛擬機，對windows的報復(fù)打擊代碼，先隔離再“丟棄”。

　　這類新設(shè)法是不是可以或許闡揚感化仍然有待不雅察。

　　Gartner的Young暗示，即將到來的SDN手藝其實不料味著物理互換機將退出汗青舞臺，他指出，這類不成熟的收集情勢將為經(jīng)由過程節(jié)制器編排利用法度和主動化辦事鏈帶來新的編制。但是，標題問題是這類手藝必定會影響此刻防火墻的運作編制，今朝并沒有針對SDN的堅實的安然模型，Young暗示：“今朝的SDN安然機制其實是化為烏有。”