您的位置: 网界网 > 评测 > 正文

演进中的下一代

 ——思科ASA 5585、5515防火墙测试报告

2013年11月12日 11:09:53 | 作者:《网络世界》评测实验室 董培欣 | 来源:

摘要:评测亮点: 与现有网关安全产品无缝接入 稳健适用的网络应用处理能力 模块化的下一代应用管控功能

标签
思科
防火墙
ASA
测试报告
5585
5515

当今互联网的主要趋势正在向应用发展。如今,一般员工越来越习惯在移动设备上访问基于 Web 的应用服务。这些人员希望能够在企业网络上使用其常用的应用。其次,IT消费化也已成为趋势——员工希望能够在工作场所轻松使用其个人手机、平板电脑和笔记本电脑,而且不用担心会遭到黑客攻击。

因此,网络管理者在准许各种应用、网站和设备的网络访问方面受到持续的压力。与此同时,他们还必须保护企业免遭恶意攻击,并维持对传统企业应用的可靠访问。目前由于网络应用可见性的原因,管理人员无法轻松获知网络中的应用以及正在访问这些应用的设备和用户。如果没有这种可见性,实施有意义的防御根本无从谈起。即使安全人员了解网络上的应用程序,仍然缺乏对这些应用程序的精细管理,以及选择性授权哪些用户和设备访问这些应用程序的能力。

黑客非常清楚网络管理人员面临的窘境。他们设计出各种方法绕过典型安全策略,例如可跳跃端口的应用、即使用户限定仅浏览受信赖站点也能造成路过式恶意下载的 Web 小部件,以及利用各种安全漏洞窃取企业机密数据的高级威胁。

情景感知——应对威胁的新方法

为了应对不断变化的安全形势,企业需要根据某种情况的完整情景来实施安全防护。这里所说的情景包括用户身份(对象)、用户试图访问的应用或网站(内容),以及访问的来源。

一直以来,防火墙都是企业进行安全防御的重要支柱。为了排除当今存在的威胁,防火墙需要具备下一代的应用情景感知功能。也就是说,防火墙需要提取用户身份、应用程序、访问来源和用于访问的设备类型,然后根据这些属性按照已配置策略决定允许访问或拒绝访问。此外,防火墙必须具备检测和防御新兴威胁的能力。

而在防火墙具备部分情景感知属性的情况下,将所需的企业策略转换为防火墙规则是一个难题。以 IP 地址、协议和端口号形式表达的现有防火墙规如果直接割舍势必会造成网络安全管理的混乱,而这些规则上手动添加更多解释新应用、新用户和新移动设备的规则,需要大量的时间和精力。显然,防火墙应该能让安全管理人员使用更加业务友好的语言来表达情景感知策略。安全管理人员需要可以直接“屏蔽 Skype”或者“允许 Yahoo! Messenger 但禁止文件传输”的能力,而非强制使用 IP 地址和协议以及端口号来创建复杂的规则。以这种业务友好型语言表达的策略,执行速度更快,更易维护,并能大大降低安全管理的复杂性和脆弱性。

思科ASA 5500X系列下一代防火墙[注]遵循下面一系列关键原则,成为了目前业界真正意义上的情景感知防火墙:

  • 防火墙需要检测、传播和处理流的完整情景信息。
  • 防火墙可以提供多种灵活的接入,包括各种智能终端的安全接入。
  • 防火墙需要完整实施——需要实施企业所需的所有功能,而非仅实施防御近期威胁的功能。
  • 防火墙的架构需要灵活适应各种机制以应对将来的威胁,而且能够最大限度地缩短所需的维护停机时间。
  • 防火墙需要能够同时使用本地和全局情景——能够同时充分使用企业网络内部和外部的有用信息。
  • 防火墙需要在提供情景感知的同时保持高性能。

在这里,思科ASA 5500X系列下一代防火墙可以通过软件许可满足不同特定环境的安全需求:基本防火墙需求、VPN远程访问需求、IPS入侵防御需求和下一代防火墙精确控制需求。

这些不同的许可能够为适当的地点提供适当的服务,因而能实现卓越的保护。与此同时,它们还支持思科ASA 5500X 系列平台的标准化,以降低管理、培训和备件成本。最后,由于每个许可都提供针对不同位置的预打包安全解决方案,因而能够简化设计和部署。

图1 相互补充的解决方案

123

参考资料

1.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

[责任编辑:董培欣 dong_peixin@cnw.com.cn]

我也说几句