NGFW - firewalle następnej generacji

Od jakiegoś czasu, oprócz tradycyjnych zapór ogniowych, na rynku licznie oferowane są tzw. firewalle następnej generacji. Spróbujemy przeanalizować, na ile powszechnie używane określenie "next-generation firewall" (NGFW) to tylko chwyt marketingowy, a na ile faktyczne i przełomowe zmiany w podejściu do bezpieczeństwa stref komunikacji? Podsuwamy także kilka porad i praktycznych pytań, które warto zadać producentowi przed ewentualnym zakupem NGFW.

Trochę nowego, trochę starego

Wyjaśnienie tego, czym jest NGFW, można by ująć w stwierdzeniu, że to firewall rozumiejący ruch aplikacyjny i podejmujący wobec niego określone działania. To zasadnicza zmiana, która odróżnia "stare" od "nowego". Tradycyjne zapory to jedynie pełnostanowe filtry działające w warstwach 3. i 4. modelu OSI, w ostatnich latach z elementami inspekcji ruchu w warstwie 7. "Nowe" natomiast to "stare" plus inspekcja ze zrozumieniem, kontrolą, priorytetyzacją i przypisywaniem do użytkownika ruchu w warstwie aplikacyjnej. Nie można niestety zakończyć na tej prostej konstatacji, ponieważ to, co kryje się pod spodem, jest dosyć rozbudowane.

Z opisu producenta wynika, że Barracuda Next Generation Firewall F900 łączy w sobie kontrolę aplikacji  siódmej  warstwy, zapobieganie  włamaniom, filtrowanie  WWW, antywirusa, antyspam i kontrolę dostępu do  sieci.

Z opisu producenta wynika, że Barracuda Next Generation Firewall F900 łączy w sobie kontrolę aplikacji siódmej warstwy, zapobieganie włamaniom, filtrowanie WWW, antywirusa, antyspam i kontrolę dostępu do sieci.

Co w tej sprawie sądzą analitycy? Według Gartnera, urządzenie typu NGFW powinno potrafić realizować funkcje typowe dla tradycyjnego firewalla (kontrola ruchu, NAT, VPN), ale również analizować ruch w sposób charakterystyczny dla IPS-a (deep packet inspection), rozpoznawać i kontrolować aplikacje na poziomie sieciowym oraz gromadzić informacje pozwalające na podejmowanie właściwych decyzji w zakresie kontroli ruchu. Do tego dochodzą elementy związane z kontrolą Web 2.0. Tak zdefiniowane wymagania sprawiają, że trudno tutaj nie dostrzec podobieństw do rozwiązań UTM. Niemniej jednak ten sam Gartner zarzeka się, że przeznaczenie jednych i drugich rozwiązań jest zupełnie różne, bowiem UTM-y są adresowane do niewielkich organizacji lub rozproszonych geograficznie biur, a NGFW - tworzone z myślą o wydajności i dużych sieciach.

Co składa się na NGFW?

Abstrahując od aspektu czysto finansowego, decyzja o wyborze NGFW powinna wynikać z konieczności poddania inspekcji i kontroli aplikacji. I ten kierunek jest coraz częściej widoczny. Musimy mieć możliwość przełożenia decyzji organizacyjnej na język technologii (Pan Tomek z HR ma dostęp do , Facebooka i Naszej Klasy, ale Pani Ania z księgowości już nie za bardzo, a Pan Wojtek z IT ma mieć dostęp do sieci P-2-P). Bez NGFW jest to dość trudne zadanie i wymaga połączenia co najmniej kilku technologii, które niekoniecznie będą centralnie zarządzane.

Receptą na wydajność SuperMassive E10000 - platformy Next-Generation Firewall firmy SonicWALL – ma być 16-rdzeniowa architektura obliczeniowa, a w kolejnych modelach zastosowanie nawet do 96 rdzeni.

Receptą na wydajność SuperMassive E10000 - platformy Next-Generation Firewall firmy SonicWALL – ma być 16-rdzeniowa architektura obliczeniowa, a w kolejnych modelach zastosowanie nawet do 96 rdzeni.

Kluczem do realizacji koncepcji NGFW jest granularna analiza ruchu na poziomie pakietów występujących w pewnym kontekście. Dopiero potem możliwe jest wykorzystanie pozostałej zaawansowanej logiki. Takie rozwiązanie, które potrafi analizować pakiety w obrębie całego stosu TCP/IP - łącząc elementy zapory, IPS-a czy filtrowania URL - wydaje się kuszące. Łatwiejsza jest też korelacja informacji wychwytywanych przez każdy moduł zamknięty w jednej obudowie. Daje też niewątpliwą przewagę nad tradycyjnym firewallem, za pomocą którego możemy co najwyżej otworzyć/zamknąć port 80/443 do konkretnego adresu IP. Pozostaniemy bezradni, jeżeli pod adresem X działa dziesięć różnych aplikacji webowych, z których dozwolone są tylko dwie. Obecność takiej filtracji ma także dodatkowy sens poprzez powiązanie jej z innymi elementami rozwiązania, a w szczególności modułem integracji z katalogiem LDAP, pozwalającym połączyć aplikację z użytkownikiem. Dzięki temu osoby odpowiedzialne za bezpieczeństwo mogą powiedzieć, że są w stanie realizować wymogi dozwolonego użycia już na poziomie zapory.