Proč NG Firewall
Klasické firewall chrání naše datové sítě již poměrně dlouhou dobu. Za tuto dobu se ale ve světě IT mnohé změnilo a světlo světa spatřila celá řada nových aplikací, které dokáží klasický firewall obelstít. Položme si tedy oprávněnou otázku, je klasický firewall pořád ještě dostatečnou ochranou?
Abychom mohli zodpovědně odpovědět na úvodní otázku, budeme se nejdříve muset trochu zamyslet nad způsobem fungování klasického firewallu a moderních aplikací, využívajících technologie Web 2.0. Klasický firewall se soustředí na 3. a 4. vrstvu tzv. OSI modelu. To ve své podstatě znamená, že firewall kontroluje procházející IP adresy a TCP/UDP porty.
Navíc kontroluje například také to, jestli procházející provoz odpovídá standardům RFC. Některé firewally, tzv. UTM, navíc integrují antivir, anti spam, nebo IPS (aplikační ochrana). Firewall je tedy schopen zakázat či povolit provoz podle čísla TCP/UDP portu (http – 80, https – 443, SMTP – 25, atd.) a na základě zdrojové/cílové IP adresy.
Klasický firewall již neodpovídá potřebám řízení provozu a firemní bezpečnosti
Naproti tomu moderní aplikace, které jsou dostupné přes internet, velmi často využívají maskování do protokolu HTTP, či HTTPS. Příkladem mohou být aplikace Skype, Youtube, Facebook, Second Life, Twitter, různé free maily, sdílení obsahu, atd.
Současná situace tedy vypadá tak, že administrátor pro firewall povolí HTTP i HTTPS protokol pro interní uživatele a ti mohou libovolně využívat všechny zmiňované aplikace, jelikož firewall všechny „vidí“, jako HTTP, nebo HTTPS provoz, který je povolen. Z výše uvedeného poměrně jednoznačně vyplývá, že současné klasické firewally již neodpovídají potřebám řízení provozu a firemní bezpečnosti.
Co vše může nabídnout NG Firewall?
Řešení od výrobců CheckPoint, Cisco, Zywall, networks, Barracuda se nazývá „NG Firewall“ (NG = Next Generation). Jde o poměrně revoluční řešení firemní bezpečnosti a provozu. Hlavním rozdílem oproti klasickým firewallům je to, že se zaměřuje přímo na samotné aplikace.
V databázi má NG Firewall více než 1 000 aplikací, rozdělených do jednotlivých kategorií. Tato databáze se průběžně aktualizuje, díky službě „Energize Updates“. Administrátor již nenastavuje L4 protokoly, ale samotné aplikace. Je-li tedy například firemní politikou zakázána aplikace Facebook v pracovní době, může jí u NG Firewall jednoduše zakázat v pracovních hodinách a mimo ně Facebook povolit. Naprosto stejně lze nakládat se všemi aplikacemi bez ohledu na to, jakým protokolem se maskují.
Součástí pro NG Firewall je také modul IDS/IPS, který chrání interní síť proti síťovým bezpečnostním hrozbám v reálném čase. Nezodpovědné návštěvníky rizikových webových stránek může administrátor jednoduše limitovat s pomocí funkce „Web filter“ a „Malware protection“.
Další funkce, kterou se NG Firewall může pyšnit a ocení ji všichni uživatelé, je propracovaný „Anti-spam“. Díky tomu je firemní pošta chráněna proti nevyžádaným zprávám. Zmiňme ještě podporu antiviru, centralizované správy pro více zařízení, clusteringu, autorizace uživatelů proti Active Directory, vysoké dostupnosti WAN rozhraní a řízení šířky pásma.
