Trochę nowego, trochę starego

Wyjaśnienie tego, czym jest NGFW, można by ująć w stwierdzeniu, że to firewall rozumiejący ruch aplikacyjny i podejmujący wobec niego określone działania. To zasadnicza zmiana, która odróżnia "stare" od "nowego". Tradycyjne zapory to jedynie pełnostanowe filtry działające w warstwach 3. i 4. modelu OSI, w ostatnich latach z elementami inspekcji ruchu w warstwie 7. "Nowe" natomiast to "stare" plus inspekcja ze zrozumieniem, kontrolą, priorytetyzacją i przypisywaniem do użytkownika ruchu w warstwie aplikacyjnej. Nie można niestety zakończyć na tej prostej konstatacji, ponieważ to, co kryje się pod spodem, jest dosyć rozbudowane.

Co w tej sprawie sądzą analitycy? Według Gartnera, urządzenie typu NGFW powinno potrafić realizować funkcje typowe dla tradycyjnego firewalla (kontrola ruchu, NAT, VPN), ale również analizować ruch w sposób charakterystyczny dla IPS-a (deep packet inspection), rozpoznawać i kontrolować aplikacje na poziomie sieciowym oraz gromadzić informacje pozwalające na podejmowanie właściwych decyzji w zakresie kontroli ruchu. Do tego dochodzą elementy związane z kontrolą Web 2.0. Tak zdefiniowane wymagania sprawiają, że trudno tutaj nie dostrzec podobieństw do rozwiązań UTM. Niemniej jednak ten sam Gartner zarzeka się, że przeznaczenie jednych i drugich rozwiązań jest zupełnie różne, bowiem UTM-y są adresowane do niewielkich organizacji lub rozproszonych geograficznie biur, a NGFW - tworzone z myślą o wydajności i dużych sieciach.

Co składa się na NGFW?

Abstrahując od aspektu czysto finansowego, decyzja o wyborze NGFW powinna wynikać z konieczności poddania inspekcji i kontroli aplikacji. I ten kierunek jest coraz częściej widoczny. Musimy mieć możliwość przełożenia decyzji organizacyjnej na język technologii (Pan Tomek z HR ma dostęp do Skype, Facebooka i Naszej Klasy, ale Pani Ania z księgowości już nie za bardzo, a Pan Wojtek z IT ma mieć dostęp do sieci P-2-P). Bez NGFW jest to dość trudne zadanie i wymaga połączenia co najmniej kilku technologii, które niekoniecznie będą centralnie zarządzane.

Kluczem do realizacji koncepcji NGFW jest granularna analiza ruchu na poziomie pakietów występujących w pewnym kontekście. Dopiero potem możliwe jest wykorzystanie pozostałej zaawansowanej logiki. Takie rozwiązanie, które potrafi analizować pakiety w obrębie całego stosu TCP/IP - łącząc elementy zapory, IPS-a czy filtrowania URL - wydaje się kuszące. Łatwiejsza jest też korelacja informacji wychwytywanych przez każdy moduł zamknięty w jednej obudowie. Daje też niewątpliwą przewagę nad tradycyjnym firewallem, za pomocą którego możemy co najwyżej otworzyć/zamknąć port 80/443 do konkretnego adresu IP. Pozostaniemy bezradni, jeżeli pod adresem X działa dziesięć różnych aplikacji webowych, z których dozwolone są tylko dwie. Obecność takiej filtracji ma także dodatkowy sens poprzez powiązanie jej z innymi elementami rozwiązania, a w szczególności modułem integracji z katalogiem LDAP, pozwalającym połączyć aplikację z użytkownikiem. Dzięki temu osoby odpowiedzialne za bezpieczeństwo mogą powiedzieć, że są w stanie realizować wymogi dozwolonego użycia już na poziomie zapory.