• 关于我们 联系我们
当前位置:虚拟化技术专区 → 正文

是否需要虚拟防火墙?

责任编辑:vivian |来源:企业网D1Net  2012-07-06 08:50:43 本文摘自:TechTarget中国

【TechTarget中国原创】尽管现在所有连接互联网的计算机都安装了Flash(Adobe问题不断的Web多媒体格式),但是似乎它很快就会被新标准HTML5所替代。按照Adobe自己话说,“HTML5现在得到主流移动设备的普遍支持,并成为创建和部署面向移动平台浏览器内容的最佳解决方案。”

对于企业攻击者而言,这无疑是一个坏消息。近几年来,Flash已经成为恶意程序黑客的主要攻击目标。根据安全研究公司WhiteHat Security Inc.的数据,与Flash播放器相关的漏洞占他们发现的Web应用程序漏洞的14%左右。

那么,Flash的消失是否是一个安全利好消息?HTML5是否会替代Flash?如果会,那么HTML5安全性能否与Flash对抗?安全人员应该如何做好部署HTML5 Web内容的准备?下面,我们将会针对这些问题展开讨论。

[page]

【TechTarget中国原创】将一种技术扩展到它原先的适用范围之外,可能会产生其他的错误。HTML5是一种异步技术,但是开发者可使用JavaScript将它变成同步技术。如果一个事务在转到下一个状态之前必须获取一个响应,那么必须仔细检查业务逻辑控制机制,保证事务处理的顺序是否正确,如数据库事务。

安全团队需要使用WebSocket API,它可以替代浏览器,向Web服务器请求最新的数据。服务器会在出现新数据时才发送数据,从而减少服务器与浏览器的流量。但是,WebSocket可以绕过许多重要的网络安全控制机制,包括传统的数据包头,而防火墙正是通过检查数据包头来阻挡可疑流量的。基于信誉的防御也会受到影响。这样就增加了防火墙进行深度内容检测的负载,因为只有深度内容检测才能够处理WebSocket流量,检查流量的内容、结构和用途。所以再说一次,白名单过滤的效率确实会更高一些。

企业安全的虚拟化漏洞越来越严重。虚拟防火墙可能是一种解决方法,但是还有许多因素需要考虑。

什么是虚拟防火墙?

虚拟防火墙是虚拟设备,它复制了物理防火墙的功能,运行在与所保护工作负载相同的虚拟环境中。因为它位于虚拟环境之中,所以它可以对通过物理网络的流量应用安全策略,实现安全性而又不影响虚拟化的灵活性。虚拟防火墙不管虚拟机(VM)是否在数据中心内,还是飘到基础架构即服务(IaaS)的云环境中。

为什么需要虚拟防火墙?

目前,97%以上的公司采用虚拟化服务器,而且数据中心内有53%的工作负载运行在虚拟服务器上。在从物理环境转移到虚拟环境的过程中,物理网络中服务器之间的安全结构也要么被丢弃,要么仍然作为物理系统进行维护。

当使用物理防火墙处理虚拟流量时,这种流量必须先路由离开虚拟环境,通过物理安全基础架构,然后再返回虚拟环境。这种发夹式回路让网络更复杂、更脆弱,还降低了工作负载转移能力。而且,随着企业将业务扩展到IaaS环境,情况变得更为复杂。目前,有17%的公司使用了IaaS,越来越多的IT部门使用它处理客户业务。

因此,显然IT必须同时保证内部虚拟环境和外部网络环境的安全性。虚拟防火墙则可支持这两种环境。如果考虑在IaaS或其他共享云环境中使用虚拟防火墙,那么一定要保证所选择的云提供商平台支持公司内部使用的虚拟设备。如果虚拟设备只能运行在VMware中,而又需要在基于Xen或KVM的IaaS环境中运行,那么问题就很难解决。

为什么要为物理和虚拟防火墙应用统一的策略环境?

最好将虚拟和物理防火墙整合到同一个策略环境中,而且最好使用一个工具来支持两种环境。单一环境意味着业务用户能够保证在整个数据流中使用相同的访问控制机制。单一环境也意味着IT不需要:

•维护和同步并行环境的活动;
• 保留多种人员技能集;
• 继续保持策略平等的跨平台验证;
•管理多个供应商和支持关系。

在一个理想的虚拟防火墙场景中,可以由一个防火墙供应商提供虚拟平台在你需要的虚拟机管理程序下运行,并提供同时管理虚拟和物理设备的工具。

支持同时管理一个供应商的虚拟与物理设备的产品有:Cisco的Secure Policy Manager、McAfee的Firewall Enterprise Control Center和StoneSoft的StoneGate Management Center。虽然多供应商环境并不理想,但是有一些工具能够管理多个供应商的防火墙解决方案。这些供应商包括FireMon和Tufin。

虚拟防火墙与IaaS是潜在问题

在开始解决IaaS的这些问题之前,首先要考虑IaaS的虚拟设备是否符合您的规范或安全架构。在IaaS环境中使用虚拟防火墙,即使是您所选择的虚拟设备,都表示需要信任所选择的云提供商,因为该环境的控制者能够查看到虚拟机之间传输的流量。

如果不能确定对云平台的信任,那么您必须使用基于主机的防火墙或VPN解决方案,过滤进出虚拟机的流量。但这样会消耗更多的虚拟设备资源,因为比如一个数据包在一个设备上丢失,那么该设备之后所有服务器可能都会丢失它。然而,这些基于主机的防火墙或VPN解决方案不需要信任云提供商。

打破IT孤岛 实施虚拟防火墙

最后,有一个非常实用的方面:系统、安全性和网络人员不能孤立地部署虚拟防火墙。这三个团队共同参与制定虚拟防火墙指南,确定虚拟防火墙实现的时间、方式和原因。这三个团队都必须参与规划和管理,并且共同监控虚拟防火墙基础架构。如果不合作,这三个团队是是会给彼此带来麻烦。

关键字:防火墙Flash播放器安全

本文摘自:TechTarget中国

x 是否需要虚拟防火墙? 扫一扫
分享本文到朋友圈
当前位置:虚拟化技术专区 → 正文

是否需要虚拟防火墙?

责任编辑:vivian |来源:企业网D1Net  2012-07-06 08:50:43 本文摘自:TechTarget中国

【TechTarget中国原创】尽管现在所有连接互联网的计算机都安装了Flash(Adobe问题不断的Web多媒体格式),但是似乎它很快就会被新标准HTML5所替代。按照Adobe自己话说,“HTML5现在得到主流移动设备的普遍支持,并成为创建和部署面向移动平台浏览器内容的最佳解决方案。”

对于企业攻击者而言,这无疑是一个坏消息。近几年来,Flash已经成为恶意程序黑客的主要攻击目标。根据安全研究公司WhiteHat Security Inc.的数据,与Flash播放器相关的漏洞占他们发现的Web应用程序漏洞的14%左右。

那么,Flash的消失是否是一个安全利好消息?HTML5是否会替代Flash?如果会,那么HTML5安全性能否与Flash对抗?安全人员应该如何做好部署HTML5 Web内容的准备?下面,我们将会针对这些问题展开讨论。

[page]

【TechTarget中国原创】将一种技术扩展到它原先的适用范围之外,可能会产生其他的错误。HTML5是一种异步技术,但是开发者可使用JavaScript将它变成同步技术。如果一个事务在转到下一个状态之前必须获取一个响应,那么必须仔细检查业务逻辑控制机制,保证事务处理的顺序是否正确,如数据库事务。

安全团队需要使用WebSocket API,它可以替代浏览器,向Web服务器请求最新的数据。服务器会在出现新数据时才发送数据,从而减少服务器与浏览器的流量。但是,WebSocket可以绕过许多重要的网络安全控制机制,包括传统的数据包头,而防火墙正是通过检查数据包头来阻挡可疑流量的。基于信誉的防御也会受到影响。这样就增加了防火墙进行深度内容检测的负载,因为只有深度内容检测才能够处理WebSocket流量,检查流量的内容、结构和用途。所以再说一次,白名单过滤的效率确实会更高一些。

企业安全的虚拟化漏洞越来越严重。虚拟防火墙可能是一种解决方法,但是还有许多因素需要考虑。

什么是虚拟防火墙?

虚拟防火墙是虚拟设备,它复制了物理防火墙的功能,运行在与所保护工作负载相同的虚拟环境中。因为它位于虚拟环境之中,所以它可以对通过物理网络的流量应用安全策略,实现安全性而又不影响虚拟化的灵活性。虚拟防火墙不管虚拟机(VM)是否在数据中心内,还是飘到基础架构即服务(IaaS)的云环境中。

为什么需要虚拟防火墙?

目前,97%以上的公司采用虚拟化服务器,而且数据中心内有53%的工作负载运行在虚拟服务器上。在从物理环境转移到虚拟环境的过程中,物理网络中服务器之间的安全结构也要么被丢弃,要么仍然作为物理系统进行维护。

当使用物理防火墙处理虚拟流量时,这种流量必须先路由离开虚拟环境,通过物理安全基础架构,然后再返回虚拟环境。这种发夹式回路让网络更复杂、更脆弱,还降低了工作负载转移能力。而且,随着企业将业务扩展到IaaS环境,情况变得更为复杂。目前,有17%的公司使用了IaaS,越来越多的IT部门使用它处理客户业务。

因此,显然IT必须同时保证内部虚拟环境和外部网络环境的安全性。虚拟防火墙则可支持这两种环境。如果考虑在IaaS或其他共享云环境中使用虚拟防火墙,那么一定要保证所选择的云提供商平台支持公司内部使用的虚拟设备。如果虚拟设备只能运行在VMware中,而又需要在基于Xen或KVM的IaaS环境中运行,那么问题就很难解决。

为什么要为物理和虚拟防火墙应用统一的策略环境?

最好将虚拟和物理防火墙整合到同一个策略环境中,而且最好使用一个工具来支持两种环境。单一环境意味着业务用户能够保证在整个数据流中使用相同的访问控制机制。单一环境也意味着IT不需要:

•维护和同步并行环境的活动;
• 保留多种人员技能集;
• 继续保持策略平等的跨平台验证;
•管理多个供应商和支持关系。

在一个理想的虚拟防火墙场景中,可以由一个防火墙供应商提供虚拟平台在你需要的虚拟机管理程序下运行,并提供同时管理虚拟和物理设备的工具。

支持同时管理一个供应商的虚拟与物理设备的产品有:Cisco的Secure Policy Manager、McAfee的Firewall Enterprise Control Center和StoneSoft的StoneGate Management Center。虽然多供应商环境并不理想,但是有一些工具能够管理多个供应商的防火墙解决方案。这些供应商包括FireMon和Tufin。

虚拟防火墙与IaaS是潜在问题

在开始解决IaaS的这些问题之前,首先要考虑IaaS的虚拟设备是否符合您的规范或安全架构。在IaaS环境中使用虚拟防火墙,即使是您所选择的虚拟设备,都表示需要信任所选择的云提供商,因为该环境的控制者能够查看到虚拟机之间传输的流量。

如果不能确定对云平台的信任,那么您必须使用基于主机的防火墙或VPN解决方案,过滤进出虚拟机的流量。但这样会消耗更多的虚拟设备资源,因为比如一个数据包在一个设备上丢失,那么该设备之后所有服务器可能都会丢失它。然而,这些基于主机的防火墙或VPN解决方案不需要信任云提供商。

打破IT孤岛 实施虚拟防火墙

最后,有一个非常实用的方面:系统、安全性和网络人员不能孤立地部署虚拟防火墙。这三个团队共同参与制定虚拟防火墙指南,确定虚拟防火墙实现的时间、方式和原因。这三个团队都必须参与规划和管理,并且共同监控虚拟防火墙基础架构。如果不合作,这三个团队是是会给彼此带来麻烦。

关键字:防火墙Flash播放器安全

本文摘自:TechTarget中国

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^