Next Generation Firewall (NGFW) – межсетевой экран (МЭ) следующего поколения.
NGFW обязан поддерживать следующие функции:
- в правилах межсетевого экранирования можно использовать пользователей и группы;
- идентификация приложений и возможность указания приложений в правилах межсетевого экранирования, причем под приложением в NGFW понимается точное приложение
- (например «mail.ru - чат», а не комбинация «IP-Protocol-Port»);
- URL – фильтрация (типы сайтов в правилах МЭ и в отчетах);
- обнаружение и предотвращение:
- вторжений (т.е. NGFW уже обладает функциями IPS);
- атак;
- вредоносного содержимого в трафике.
С точки зрения Gartner явными (и единственными) лидерами в отчете «Enterprise Firewall» по крайней мере, уже на протяжении трех лет являются израильская компания “Check Point” и американская “Palo Alto”.
У обоих вендоров NGFW-функционал реализуется в виде постоянно обновляемых баз следующих сигнатур:- Типов приложений;
- Атак и вредоносных программ;
- Типизация сайтов по содержимому (Спорт, Развлечения, Для взрослых и т.п.).
Так же реализованы встроенные функции:
- интеграцией с каталогами пользователей (типа AD);
- специальным механизмом проведения соответствия между IP хоста и аккаунтом пользователя.
Gartner считает PaloAlto лидером по функционалу и выведению новинок на рынок. В свою очередь CheckPoint лидирует по инсталляционной базе, объемам продаж и широте охвата продуктов безопасности.
Обратите внимание, что к NGWF не предъявляются требования по наличию функций биллинга или квотирования по объему трафика. Так же, не смотря на наличие функций типа QoS (в том числе и по пользователям), функции принудительного ограничения трафика по полосе пропускания обычно отсутствуют. Соответственно, нельзя проводить прямых аналогий между NGFW и прокси (тем более реверсивным прокси). Однако в 90 процентов случаев NGFW прекрасно заменяет решения типа MS TMG. При наличии внешнего сервера хранения логов и формирования отчетов, можно говорить уже о практически 99% заменяемости.
Для тех же, чьи требования настолько велики, что не попали в вышеописанные 99%, придется смотреть в сторону специализированных решений типа Cisco Ironport (Замена TMG) или Citrix NetScaler (Замена UAG).
Комментариев нет:
Отправить комментарий
Примечание. Отправлять комментарии могут только участники этого блога.