防火墙爆破:提高分支安全性的新方法
发布时间:2022-09-25 09:36:52 376
相关标签: # 恶意软件# 支付# 软件# 网络安全# 软件

但现实情况是,大多数边缘设备缺乏处理能力,无法对所有必要的流量应用全部功能。
如果部署在分支中的防火墙无法扩展以满足关键的安全需求,则必须使用替代策略。批发设备升级很容易,但很昂贵。区域安全中心非常复杂,成本也很高。
一种叫做防火墙爆破,利用云的可扩展性,为分支办公室安全提供更简单、更具成本效益的替代方案。(你可以在这里找到一个比较不同防火墙方法的好表格。)
昂贵的设备升级和安全的集线器体系结构
现有的分支安全改进方法迫使IT部门做出艰难的权衡:管理设备扩展的成本和复杂性,或者两层网络安全体系结构的复杂性。
升级所有分支防火墙为了提高性能,下一代分支防火墙无疑提高了网络安全性。分支机构将获得更深入的数据包检查,并在更多流量上应用更多保护。这是实现更高安全性的一个相对简单但成本非常高的解决方案。
除了显而易见的防火墙升级成本,还有操作和维护设备的成本,包括强制升级。正确调整分支防火墙设备的大小可能很棘手。
该设备需要足够的电力来支持所有流量的安全服务组合—;加密和未加密—;在接下来的三到五年里。
单凭这一点就很复杂,但不断增长的交通量只会使预测变得复杂。加密流量已经成为几乎所有互联网流量的新标准,它不仅在增长,而且必须首先解密,这对设备造成了沉重的处理代价。
所有这一切都意味着,它最终要么支付超过必要的费用以适应增长,要么供应不足,并可能危及公司的安全态势。
区域中心避免升级所有分支防火墙的问题。取而代之的是,各组织继续使用其分支路由器和防火墙,但将所有流量回送到一个更大的防火墙,该防火墙具有公共互联网接入,通常托管在一个区域共用位置中心。
该区域中心使IT部门能够保持最低限度的分支安全能力,同时受益于高级安全性。
然而,区域中心也带来了自身的问题。部署成本增加,因为区域中心必须以巨大的托管费用和设备成本进行建设。我们所说的不仅仅是在某个低级托管设施中扔掉一台设备。
枢纽停运不仅影响一个小办公室,还影响整个地区。他们需要高可用性、弹性、运行最新软件,并由专家人员维护。
即便如此,由于流量增加和加密流量共享,仍然存在同样的强制升级问题,不过这一次只有集线器防火墙设备。
网络架构也变得更加复杂,尤其是对于全球组织而言。它们不仅必须推出多个区域枢纽,而且必须在地理位置分散的地区或分支机构高度集中的地区部署多个枢纽。
简言之,虽然防火墙实例的数量可以减少,但区域中心带来的复杂性和成本对许多组织来说往往过高。
防火墙爆破:将防火墙延伸到云端
云计算为解决边缘防火墙困境提供了一种新方法。随着“云爆炸”,当流量激增或耗尽物理数据中心的资源时,企业可以无缝地将物理数据中心的容量扩展到云数据中心。
防火墙爆破的作用类似于容量不足的分支防火墙。在防火墙容量受限的情况下,边缘安全处理被最小化,在资源可伸缩且具有弹性的云中应用高级安全性。
本地防火墙处理基本的数据包转发,但任何需要“繁重工作”的东西,比如解密、反恶意软件或IP,都会被发送到云端。这避免了强制的分支防火墙升级。
防火墙爆破与区域集线器方法类似,但有一个关键区别:IT团队不负责集线器的构建和运行。集线器由云服务提供商创建、扩展和维护。
谁提供防火墙爆破功能?
作为云服务提供的安全web网关(SWG)可以为互联网流量提供防火墙。然而,由于防火墙需要对WAN流量应用相同的检查,SWG只能提供部分解决方案。
另一种选择是专门构建的全球防火墙即服务(FWaaS)。FWaaS提供商,如Cato Networks,创建了一个全球存在点网络(PoPs),提供了专门为云可扩展性构建的完整网络安全堆栈。
虽然POP是分布式的,但它们“一起”作为一个逻辑防火墙实例。POP具有高度的冗余性和弹性,如果出现中断,处理能力会在POP内部或之间无缝转移,因此防火墙服务始终可用。
POP能够处理大量的广域网和互联网流量。因为在PoPs内或通过添加新PoPs来增加处理能力对客户来说是透明的,所以您不必调整策略或重新配置环境以适应负载或流量组合的变化。
总结
随着防火墙的崩溃,客户可以保留他们当前的边缘防火墙,同时仍然可以提高安全性。如果你的边缘防火墙的汽油用完了,你可以选择。
除了防火墙升级和中心及分支机构设置等显而易见的方法外,FWaaS等新的创新现在已经面世。
FWaaS利用云的弹性和可扩展性在全球范围内扩展网络安全,对当前网络设计的影响最小。
防火墙更新、容量升级、合并和收购,都是一个很好的机会,可以看到防火墙崩溃和FWaaS,从而使您的网络安全超越边缘。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报