NGFW - firewalle następnej generacji
- Patryk Królikowski,
- 01.03.2012, godz. 09:00
Od jakiegoś czasu, oprócz tradycyjnych zapór ogniowych, na rynku licznie oferowane są tzw. firewalle następnej generacji. Spróbujemy przeanalizować, na ile powszechnie używane określenie "next-generation firewall" (NGFW) to tylko chwyt marketingowy, a na ile faktyczne i przełomowe zmiany w podejściu do bezpieczeństwa stref komunikacji? Podsuwamy także kilka porad i praktycznych pytań, które warto zadać producentowi przed ewentualnym zakupem NGFW.
Trochę nowego, trochę starego
Wyjaśnienie tego, czym jest NGFW, można by ująć w stwierdzeniu, że to firewall rozumiejący ruch aplikacyjny i podejmujący wobec niego określone działania. To zasadnicza zmiana, która odróżnia "stare" od "nowego". Tradycyjne zapory to jedynie pełnostanowe filtry działające w warstwach 3. i 4. modelu OSI, w ostatnich latach z elementami inspekcji ruchu w warstwie 7. "Nowe" natomiast to "stare" plus inspekcja ze zrozumieniem, kontrolą, priorytetyzacją i przypisywaniem do użytkownika ruchu w warstwie aplikacyjnej. Nie można niestety zakończyć na tej prostej konstatacji, ponieważ to, co kryje się pod spodem, jest dosyć rozbudowane.
Z opisu producenta wynika, że Barracuda Next Generation Firewall F900 łączy w sobie kontrolę aplikacji siódmej warstwy, zapobieganie włamaniom, filtrowanie WWW, antywirusa, antyspam i kontrolę dostępu do sieci.
Co składa się na NGFW?
Abstrahując od aspektu czysto finansowego, decyzja o wyborze NGFW powinna wynikać z konieczności poddania inspekcji i kontroli aplikacji. I ten kierunek jest coraz częściej widoczny. Musimy mieć możliwość przełożenia decyzji organizacyjnej na język technologii (Pan Tomek z HR ma dostęp do Skype, Facebooka i Naszej Klasy, ale Pani Ania z księgowości już nie za bardzo, a Pan Wojtek z IT ma mieć dostęp do sieci P-2-P). Bez NGFW jest to dość trudne zadanie i wymaga połączenia co najmniej kilku technologii, które niekoniecznie będą centralnie zarządzane.
Receptą na wydajność SuperMassive E10000 - platformy Next-Generation Firewall firmy SonicWALL – ma być 16-rdzeniowa architektura obliczeniowa, a w kolejnych modelach zastosowanie nawet do 96 rdzeni.