随着越来越多的组织考虑实现下一代防火墙(NGFW),网络团队必须考虑在他们的数据中心环境中各种可能出现的设计和防火墙架构的变化。为了寻找最佳的NGFW平台,一定要确定最佳的部署用例。最常见的NGFW部署场景有:
部署下一代防火墙:“用例”和“速度”不容忽视
用NGFW替换传统防火墙:许多组织正在考虑在目前的防火墙基础架构接近到期(EOL)时或需要更新授权时购买NGFW。在这些情况中,NGFW平台很可能会被部署到之前防火墙所在的位置上。和传统防火墙一样,它一样要实现流量的冗余和负载均衡(功能集群)。
用NGFW替换IPS:一些企业也考虑用NGFW设备替换现有的入侵防御系统传感器和基础架构。根据所选择的模型,这种方案可能价格不菲,但是如果一些组织需要在网络中少数位置的IPS功能之上多加一层应用检查,那么可以考虑这么做。NGFW平台的可扩展性可能不如传统IPS基础架构,而且其部署成本可能远远高于传统平台,因为IPS平台通常部署在主入口点、DMZ域和VPN平台后面的位置上。一定要让NGFW平台打开故障放行或绕行机制,允许流量在出现故障时仍然能够通过;在可能的情况下也推荐使用双主动(active-active)或主动-被动(active-passive)等成对配置。
用NGFW替换防火墙及IPS:如果一些组织专门考虑压缩安全基础架构,而且到了EOL和授权更新时间,那么从运营角度考虑可以购买NGFW。如果有一个平台可以满足组织需求,同时又已经有更多的深度防御层次,那么这也是一个减小开支和运维负载的方法。在这种情况下,有可能实现网络整合,因为NFW可以替代多种设备。这种情况要考虑的关键问题是:a) 端口密度;b) 冗余及可用性方法;c) 总吞吐量。
用NGFW作为附加控制:如果一些组织考虑增加多一层防御,特别是那些转换了第二层防火墙层次或刚刚增加了一层防火墙的组织,NGFW平台可以提供许多的安全特性。在架构中的部署将取决于目前所使用的功能。对于用户身份验证和被动监控,一些设备可以在需要时通过使用磁带或镜像技术部署为“编外”设备。但是,如果有任何阻挡操作,则需要在流量通过的位置使用内联部署。
任何下一代防火墙架构都需要评估一个重要属性:速度。由于任何NGFW设备都需要密集处理和分析数据包,因此流量延迟是一个重要问题。许多产品宣传说支持10GB以上的速度,但是在购买之前要尽可能地用真实生产流量去测试这些产品,特别是那些将会部署在内部的产品。如果一些组织想要用NGFW平台去检测安全套接字分层(SSL)流量,那么所有需要检查的SSL流量都必须转发到这个系统上,途径可以是普通流量流,或者使用智能程序或SSL流量分析程序。然而,在启用SSL解密和检查时,许多NGFW平台会出现严重的延迟,所以一定要在部署前认真执行测试。无论是哪一种部署,一定要在负载下进行全面测试,同时应用集群和冗余机制。