Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Zapory sieciowe nowej generacji

Zapory sieciowe nowej generacji

W rozwiązaniach NGFW chodzi przede wszystkim o aplikacje i do ich wykrywania potrzebna jest jakaś baza wiedzy o nich. Niektórzy producenci tworzą własne sygnatury, niektórzy podłączają się do bazy firmy trzecich, a jeszcze inni stosują swoje mechanizmy. Jedne rozwiązania rozpoznają kilkaset, inne kilka tysięcy aplikacji. Więcej nie zawsze jednak znaczy lepiej. Ważne jest, czy na liście znajdują się aplikacje, które są wykorzystywane w miejscu zastosowania zapory. A jeżeli nie, to istotne są możliwości ich dopisania.

To, jak reguły kontroli aplikacji mają być zintegrowane w zaporach nowej generacji, jest ciągle dyskutowanym problemem. Jedna szkoła sugeruje, że powinny być włożone bezpośrednio do bazy reguł zapory, tworząc pojedynczą, zunifikowaną politykę, która odnosi się od razu do adresów IP i portów, użytkowników i aplikacji. Inne podejście przenosi kontrolę aplikacji do oddzielnej bazy reguł. Oddzielenie reguł aplikacyjnych od normalnych reguł zapory oznacza, że ruch musi najpierw przejść przez reguły zapory i być dopuszczonym, zanim jakakolwiek reguła aplikacyjna wejdzie do gry.

Wymagania w odniesieniu do zapór nowej generacji to nie tylko identyfikacja aplikacji, ale też sposoby wspomagające zarządców sieci w klasyfikowaniu i kontroli ruchu, jak np. dodawanie do polityk informacji o użytkownikach i grupach. Polityki mogą być opartych na reputacji, częstotliwości występowania i lokalizacji geograficznej. Reguły mogą odnosić się do położenia geograficznego zamiast do adresu IP - blokowanie niektórych aplikacji (takich jak np. FTP) "do lub z" określonych obszarów geograficznych, może być skuteczniejsze.

Bezpieczeństwo Next-Generation
Paweł Pietrzak,

Security Engineer, Check Point

Osoby odpowiedzialne za firmowe bezpieczeństwo stoją przed zadaniem zaprojektowania systemu ochrony następnej generacji - w odpowiedzi na nowe rodzaje zagrożeń. Z pomocą przychodzi tu bez wątpienia Next Generation Firewall, który powinien być dostatecznie wydajny, skalowalny i wiarygodny, aby skutecznie egzekwować politykę bezpieczeństwa naszej organizacji przez następne lata. O wyborze producenta rozwiązania klasy NGFW powinny decydować:

• baza (tzw. core security) - w całym szumie wokół ochrony aplikacji łatwo zapomnieć, że firewall to urządzenie sieciowe wykorzystujące mechanizm inspekcji pakietów, a stabilność usług podstawowych (jak NAT czy VPN) ma nadal kluczowe znaczenie. Zaufajmy więc producentom z doświadczeniem sieciowym, a nie tylko tym, którzy skupiają się wokół kontroli aplikacji.

• Równowaga integracji i najlepszej ochrony - aby zapewnić maksymalną skuteczność, rozwiązanie security musi być silnie zintegrowane. Od technologii bezpieczeństwa oczekujemy bowiem kompleksowej ochrony. Produkt - świetny w jednym obszarze, ale łatwy do spenetrowania w innym - nie jest wart uwagi. Sprawdźmy doświadczenie dostawcy i jego pozycję w niezależnych testach oraz poziom satysfakcji klientów z wdrożonych systemów.

• Bogate portfolio produktów - w dzisiejszych, zróżnicowanych środowiskach IT nie ma jednego rozwiązania security, które uda się zaadaptować zawsze i wszędzie. Szukajmy zatem producentów z elastyczną ofertą w zakresie sprzętu i oprogramowania oraz wieloma scenariuszami implementacji - zarówno w formie fizycznej, jak i wirtualnej.

• Głęboka kontekstowość - pełna świadomość użytkowników, aplikacji, urządzeń, treści i lokalizacji stanowi serce NGFW, które wiodącym dostawcom pozwala na budowanie, egzekucję i monitorowanie polityki na serwerach, stacjach końcowych i sieci.

• Wysoki priorytet dla zarządzania - nie możemy pozwolić sobie na kompromis między bogactwem funkcjonalności NGFW a skomplikowanym jego zarządzaniem. Postawmy wysokie wymagania, żądając centralnego i skalowalnego zarządzania, oferującego kombinację: łatwości użycia, intuicji, inteligencji i automatyki, a zarazem głębokiego poziomu logowania i monitorowania.

• Postawmy na wydajność - sieci korporacyjne szybko zwiększają przepustowość łączy intra- i internetowych, aby przystosować je do nowych aplikacji, usług cloud czy połączeń z urządzeń mobilnych. Jest sprawą kluczową, aby nasz NGFW miał odpowiednią wydajność na starcie i potrafił skalować się adekwatnie do przyszłych potrzeb.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas