Zapory sieciowe nowej generacji
- Józef Muszyński,
- 21.01.2013
W czasach, gdy na komputerze uruchamiano kilka aplikacje korzystających z określonych portów, klasyczne zapory, umożliwiające proste kontrolowanie i blokowanie ruchu, dobrze spełniały swe zadanie. Jednak rosnąca liczba aplikacji mających połączenie z internetem (wykorzystujących porty, które nie mogą być blokowane) wymaga zupełnie innego sposobu myślenia o zadaniach ochronnych zapór sieciowych. Ochrona sieci w warstwie aplikacyjnej jest coraz ważniejszym elementem bezpieczeństwa.
Z opublikowanego w czerwcu 2012r., przez Palo Alto Networks, raportu "Application Usage and Risk Report" wynika, że od listopada 2011 do maja 2012, ruch związany z wideo wzrósł o 300% zajmując 13% całkowitego pasma przepustowości, a ruch związany z wymianą plików o 700% (14% pasma). W każdej badanej firmie wykryto średnio 34 aplikacje do strumieniowego przesyłania danych i 13 wariantów oprogramowania do współdzielenia plików, wykorzystującego przeglądarki. Stwarza to problem używania tych aplikacji zgodnie z polityką bezpieczeństwa firmy.
Tradycyjne zapory sieciowe przedsiębiorstw, których działanie jest oparte głównie na blokowaniu portów, powoli są wypierane przez nową generację tych urządzeń - szybsze i inteligentniejsze "zapory aplikacyjne". Zapory sieciowe nowej generacji (NGFW - Next-Generation FireWalls) mają wykrywać ataki na poziomie aplikacyjnym i wymuszać polityki dostosowane do aplikacji, przy jednoczesnym zapewnieniu wysokiej przepustowości z włączonymi mechanizmami zintegrowanej ochrony (UTM).
Przewiduje się, że rynek tradycyjnych zapór sieciowych będzie malał na rzecz technologii NGFW. Firma badawcza Forrester Research uważa, że w perspektywie 10 lat NGFW ostatecznie zastąpi dzisiejsze tradycyjne zapory sieciowe, chociaż te ostatnie nadal będą główną linią cyberochrony jeszcze przez kilka następnych lat.
Zadanie dla zapór nowej generacji
NGFW to zapora "rozumiejąca" ruch aplikacyjny i podejmująca wobec niego określone działania. Tradycyjne zapory to filtry działające w warstwach 3. i 4. modelu OSI, czasami z elementami inspekcji ruchu w warstwie 7. Z kolei NGFW są wyposażane w inteligentną kontrolę, priorytetyzację i przypisywanie do użytkownika ruchu w warstwie aplikacyjnej.
Zapory nowej generacji są zorientowane na aplikacje, umożliwiając przedsiębiorstwom egzekwowanie stosowania się pracowników do - opartych na tożsamości - reguł użytkowania aplikacji. NGFW mogą zawierać także funkcje VPN i możliwość wykonywania analiz ruchu pod kątem zapobiegania włamaniom. Mogą również wykorzystywać techniki filtrowania według reputacji i integrują się z usługami katalogowymi w obszarze zarządzania tożsamością i politykami. Tak z grubsza wygląda definicja nowych zapór zaproponowana przez Gartnera, a dostawcy rozwiązań bezpieczeństwa (m.in. Check Point, Fortinet, McAfee, Palo Alto Networks i Sonic Wall) zaczęli tym terminem określać swoje niektóre produkty.