Zapory sieciowe nowej generacji

Za pierwszego dostawcę, który wprowadził funkcje NGFW w swoich produktach (2007 r.), uważa się firmę Palo Alto Networks z kalifornijskiej Doliny Krzemowej (założoną przez Nir Zuka, współtwórcę pierwszych firewalli z technologią stateful inspection, wcześniej pracownika m.in. Check Point). Inni dostawcy - m.in. Check Point, Cisco, Fortinet i McAfee, - rozszerzyli funkcjonalność swoich produktów w tym kierunku. Również firmy specjalizujące się w IPS (np. Sourcefire) włączają do swojej oferty aplikacyjne zapory sieciowe. Chociaż wykorzystanie tych zaawansowanych zapór jest jeszcze niewielkie, to dostawcy rozwijają swoje oferty NGFW i analitycy Gartnera przewidują, że w niedługim okresie czasu NGFW powinna stać się zaporą podstawową.

Jednym z czynników zwiększających zainteresowanie NGW jest potrzeba bardziej wnikliwego przyglądania się działaniom w sieci i konsumpcji pasma. NGFW może zapewnić przedsiębiorstwom możliwość utrzymywania lepszej kontroli aplikacji, związanej z zapotrzebowaniem na pasmo i nadawaniem priorytetów dla określonego ruchu aplikacyjnego. Ponadto niektóre NGFW mogą działać podobnie jak narzędzia DLP (data-loss prevention), blokując wycieki danych na podstawie słów kluczowych czy innych definicji.

Istotne cechy NGFW

Firmy oferujące NGFW albo adaptowały posiadaną technologię (najczęściej IPS lub zapora sieciowa) - obudowując ją dodatkowymi elementami, albo tworzyły ją od podstaw. Oba podejścia mają wady i zalety. Jeżeli NGFW jest budowana od podstaw, to zawsze przechodzi okres dojrzewania zanim osiągnie odpowiedni poziom skuteczności, ale cel od początku jest jasno wyznaczony. Z kolei dobudowywanie nowych funkcji do już istniejących ma tę wadę, że technologia bazowa może zbyt mocno ograniczać, utrudniając zbudowanie dobrego NGFW.

Zapory nowej generacji są coraz szybsze, a kompromis między szybkością działania i bezpieczeństwem zdecydowanie się zmniejsza, choć ciągle istnieje. Wykonując inspekcję na poziomie aplikacyjnym (cecha odróżniająca zapory nowej generacji od tradycyjnych), potrafią przenosić ruch z szybkością gigabitową. Jednak przy ruchu SSL, szybkość spada, a po włączeniu deszyfrowanie SSL - nawet dość istotnie.

SSL stanowi podwójny problem dla NGFW. Jeżeli ruch jest zaszyfrowany, to nie można wykonywać inspekcji na poziomie aplikacyjnym. Z kolei deszyfrowanie ruchu odbywa się kosztem wydajności. Wykonując deszyfrowanie SSL zapora działa jako proxy - przechwytuje zlecenia klienta i zastępuje certyfikat serwera swoim własnym. Ponieważ użytkownicy rzadko sprawdzają podmieniony certyfikat serwera, to myślą ze działają bezpośrednio z oryginalnym serwerem. W międzyczasie zapora deszyfruje i przeprowadza inspekcję zawartości ruchu. Z punktu widzenia architektury ważne jest pytanie: czy inspekcja ruchu odbywa się podczas "jednego przebiegu", czy też wymagane jest wielokrotne przejrzenie tego samego strumienia ruchu? Inny problem to miejsce tej inspekcji. Dobrze, jeżeli jest ona prowadzona na poziomie zapory.

Zapory sieciowe nowej generacji

TOP 200