NGFW - firewalle następnej generacji
- Patryk Królikowski,
- 01.03.2012, godz. 09:00
Od jakiegoś czasu, oprócz tradycyjnych zapór ogniowych, na rynku licznie oferowane są tzw. firewalle następnej generacji. Spróbujemy przeanalizować, na ile powszechnie używane określenie "next-generation firewall" (NGFW) to tylko chwyt marketingowy, a na ile faktyczne i przełomowe zmiany w podejściu do bezpieczeństwa stref komunikacji? Podsuwamy także kilka porad i praktycznych pytań, które warto zadać producentowi przed ewentualnym zakupem NGFW.
Trochę nowego, trochę starego
Wyjaśnienie tego, czym jest NGFW, można by ująć w stwierdzeniu, że to firewall rozumiejący ruch aplikacyjny i podejmujący wobec niego określone działania. To zasadnicza zmiana, która odróżnia "stare" od "nowego". Tradycyjne zapory to jedynie pełnostanowe filtry działające w warstwach 3. i 4. modelu OSI, w ostatnich latach z elementami inspekcji ruchu w warstwie 7. "Nowe" natomiast to "stare" plus inspekcja ze zrozumieniem, kontrolą, priorytetyzacją i przypisywaniem do użytkownika ruchu w warstwie aplikacyjnej. Nie można niestety zakończyć na tej prostej konstatacji, ponieważ to, co kryje się pod spodem, jest dosyć rozbudowane.
Co składa się na NGFW?
Abstrahując od aspektu czysto finansowego, decyzja o wyborze NGFW powinna wynikać z konieczności poddania inspekcji i kontroli aplikacji. I ten kierunek jest coraz częściej widoczny. Musimy mieć możliwość przełożenia decyzji organizacyjnej na język technologii (Pan Tomek z HR ma dostęp do Skype, Facebooka i Naszej Klasy, ale Pani Ania z księgowości już nie za bardzo, a Pan Wojtek z IT ma mieć dostęp do sieci P-2-P). Bez NGFW jest to dość trudne zadanie i wymaga połączenia co najmniej kilku technologii, które niekoniecznie będą centralnie zarządzane.