| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
- 구글
- Microsoft
- AWS
- 닌텐도 스위치
- 업데이트
- 오버워치
- 플레이웨어즈
- 배틀그라운드
- 브레인박스
- 문태환기자
- Review
- Bitcoin
- 이원경기자
- 삼성
- 카카오게임즈
- 롤
- 엔비디아
- 리뷰
- 비트코인
- 이벤트
- LEAGUE OF LEGENDS
- 인텔
- 아이폰X
- 공개
- 애플
- Apple
- 출시
- 리그오브레전드
- 마이크로소프트
- Today
- Total
IT & Life
차세대 방화벽을 배치 할 때 고려해야 할 사항 본문
공급 업체 선택, 처리량 용량 및 기능 구성은 방화벽을 새로 고칠 때 해결해야 할 항목의 일부에 지나지 않습니다.
지난 10 년 동안 방화벽은 기업 전반에서 유비쿼터스가되었지만 점점 더 정교 해지는 공격과 결합 된 새로운 액세스 방법과 다양한 액세스 방법의 결합으로 인해 네트워크 운영자와 보안 전문가는 지속적으로 자신의 방어를 평가해야했습니다.
가트너의 연구원 인 아담 힐스 (Adam Hils)에 따르면 일반적으로 방화벽은 5 년의 새로 고침주기를 갖고 있으며 조직이 어떤 유형의 방화벽과 그들의 요구에 가장 적합한 기능을 공정하게 정기적으로 평가할 수있는 기회를 제공합니다.
따라서 차세대 방화벽을 배치 할 때 고려해야 할 주요 요인은 무엇입니까? 처리량 용량, 배포 기준과 같은 선택 사항은 구성 구현에 이르기까지 모두 중요합니다.
차세대 대 전통적인 방화벽
아마도 첫 번째 질문은 잠재적으로 덜 비싼 이전 세대 버전과 달리 차세대 방화벽 (NGFW)이 필요한 이유 일 것입니다. Palo Alto Networks의 백서에 따르면 전통적인 포트 기반의 상태 기반 방화벽은 "근시안적인"것으로 간주됩니다. "그들은 일반적인 사물의 모양을 볼 수는 있지만 실제로 일어나고있는 것의 미세한 세부 사항을 볼 수는 없습니다."NGFW는 훨씬 더 미세한 수준에서 트래픽을 검사 할 수있는 수많은 새로운 기능과 기능으로 가득합니다. 일부 기능은 다음과 같습니다.
- 침입 방지 시스템 (IPS) :이 시스템은 네트워크 패킷 서명을 검사하고 식별 할뿐만 아니라 고급 이상 감지 기능을 사용뿐만 아니라 위협을 차단.
- DPI (Deep Packet Inspection) :이 기술은 NGFW 내의 "검사 지점"을 통과 할 때 트래픽 패킷 내의 알려진 위협을 검색하고 차단하기 위해 패킷 헤더를 검사하는 것 이상의 기능을 수행합니다.
- SSL 검사 :이 기술은 암호화 된 트래픽을 검사하여 알려진 위협이 암호화되어 있어도이를 막습니다.
NGFW의 많은 기능은 IPS, DPI 및 SSL 검사와 같은 독립형으로 구입할 수 있습니다. NGFW는 이러한 기능을 단일 시스템에 통합합니다.
nw 차세대 방화벽 정보 테리 하스 / IDG
보안 전략 수립
NGFW 배포에 대한 공급 업체와상의 할 때 첫 번째 대화 중 하나는 조직의 보안 상태와 관련됩니다. 환경을 평가하고 보호해야하는 가장 중요한 비즈니스 크리티컬 자산의 우선 순위를 정하는 중요한 작업을 대신 할 수있는 기술은 없습니다. 이것은 IT 부서에서부터 네트워크 및 보안 서비스, HR 및 경영진의 리더십에 이르기까지 여러 부서를 포함 할 수있는 대화입니다.
"기본적으로 조직은 데이터의 진주가 어디에 있는지 알지 못하면 파악하고이를 보호하기위한 계획을 세워야합니다."라고 가트너 연구원 Hils는 말합니다. 조직은 일반적으로 이러한 요구 사항을 수집하고 견적을 위해 여러 공급 업체에 접근합니다.
대부분의 방화벽은 여전히 데이터 센터의 경계에 배치되지만 고객이 마이크로 세그먼테이션 및 네트워크 가상화를 채택했는지에 따라 데이터 센터 내에도 방화벽이 배치 될 수 있습니다.
최근 몇 년 동안 방화벽 공급 업체는 고객이 차단되고있는 위협, 본질적으로 군중 보안 보호를 공유하도록 선택할 수있게했습니다. 방화벽 소프트웨어는 정기적으로 공급 업체로부터 업데이트되어 모든 최신 위협 및 취약점에 대한 최신 보호 기능을 제공합니다.
공급 업체 선택
NGFW에 대한 아이디어로 팔리고 보안 요구 사항에 대해 생각해 본 다음에는 NGFW를 제공하는 공급 업체의 포화 된 시장을 평가하는 단계입니다. Gartner의 최신 Magic Quadrant에는 Palo Alto Networks, Fortinet 및 Check Point Software Technologies가 차세대 방화벽 시장에서 선도자로 선정되었습니다. Gartner는 Cisco의 Firepower NGFW 제품 라인과 Huawei를 시장의 도전자로 지명했습니다.
시장을 개척하는 것은 NGFW뿐만 아니라 웹 및 전자 메일 보안 플랫폼을 제공하는 중소 규모의 순수 재생 보안 업체 인 Forcepoint와 같은 회사입니다. 소포스, 주니퍼 네트웍스, 바라쿠다 네트웍스, 와치 가드, 상공, 힐스톤, 소닉 월, 안철수 연구소, 스톰 실드 및 신형 H3C 그룹 모두 NGFW 시장에서 경쟁하고 있습니다.
방화벽 비용 분석
방화벽을 구입할 때 방화벽 하드웨어의 초기 자본 비용 만 고려할 비용이 아닙니다. 방화벽은 하드웨어와 함께 제공되는 복잡한 소프트웨어 시스템을 실행합니다. 대부분의 엔터프라이즈 방화벽 설치에는 소프트웨어 만 또는 하드웨어와 소프트웨어 의 조합이 될 수있는 다중 하드웨어 조각과이를 제어하기위한 중앙 관리 시스템이 필요 합니다. 다른 비용에는 설치, 지속적인 유지 관리, 지원 및 업데이트가 포함됩니다.
인프라 장비에 대한 테스트를 수행하는 NSS Labs는 공급 업체가 네트워크 처리량 수준이 다르기 때문에 방화벽 제품인 사과 대 사과를 비교하기가 어려울 수 있다고 말합니다. 5 대의 방화벽과 중앙 관리 시스템을 포함하는 시스템의 초기 구입 가격은 평균 30,000 달러에서 715,000 달러 사이이며 평균은 약 200,000 달러입니다.
처리량 측정
NSS는 또한 벤더가 광고 한 최대 처리량과 테스트 및 실제 시나리오에서의 처리량간에 차이가있을 수 있다고 경고합니다. NSS는 테스트를 거친 방화벽 처리량이 일부 공급 업체의 보급률보다 최대 80 % 낮을 수 있으므로 구입하기 전에 해당 환경의 시스템을 테스트 할 것을 권장합니다.
방화벽 배포시 가장 중요한 결정 중 하나는 하드웨어 상자가 얼마나 필요한지입니다. 이 결정에 영향을 미치는 주요 요인은 네트워크 연결의 처리량입니다. 네트워크 설정 방법은 방화벽에서 처리 할 수있는 처리량에 영향을줍니다. 알라 메다 카운티 교육청의 Ryan Choate는 최근 처리량 속도가 최대 20Gbps 인 Palo Alto의 방화벽 5050 버전을 최대 200Gbps의 처리량을 지원하는 7080으로 업그레이드했습니다.
왜 그렇게 증가 했습니까? 새로운 시스템이 출시되기 전에는 카운티의 12 개 이상의 교육구가 자체 네트워크 연결과 방화벽을 관리했습니다. 재 설계가 끝나면 교육청은 전체 카운티를위한 중앙 집중식 자원이되었습니다. 이제 모든 들어오고 나가는 트래픽은 중앙 교육청의 방화벽을 통과합니다. 방화벽 하드웨어 배포를 중앙에서 관리하는 소프트웨어 인 방화벽 컨트롤러는 네트워크 내의 특정 사용자 또는 사이트에 따라 정교한 정책 적용을 허용합니다. 방화벽은 차단 된 위협을 파악할뿐만 아니라 최신 취약점에 대한 지속적인 업데이트를 제공합니다.
"위협 요소와 위험 요소가 많으며 컨텐츠 여과 시스템뿐만 아니라 전체 방화벽은 하루, 시간, 심지어 분 단위로 모든 위협 요소를 보게됩니다."라고 Choate는 말합니다. "우리는 자신을 숨기고 있지 않으며 우리는 공공 기관이며 우리는 꽤 큰 목표물입니다. 양심의 가책을 느낀다면 환경에서 방화벽을 실행할 수 없었습니다. "
이 이야기는 "차세대 방화벽을 배치 할 때 고려해야 할 사항"이 Network World 에서 처음 게시되었습니다 .
