Deze nieuwe generatie firewalls (NGFW) voor bedrijven kunnen effectief indringers van het netwerk weren, maar zijn ook berekend op de daarop draaiende toepassingen, zodat het identiteitsbeleid voor het gebruik hiervan kan worden uitgevoerd. Een NGFW heeft voldoende verstand om bijvoorbeeld Internet reputation-analyses te gebruiken om te helpen bij het filteren van malware of het aansluiten op Active Directory.

Maar hoelang zal het nog duren voordat iedereen de overstap naar NGFW heeft gemaakt?

Starter Palo Alto Networks wordt gezien als de eerste leverancier die NGFW heef toegepast in een reeks application-aware veiligheidstools uit 2007. Momenteel heeft het bedrijf ruim 2.200 klanten. Andere aanbieders, zoals Vendors Fortinet, Cisco, Check Point, McAfee en Barracuda Networks, sleutelen aan hun firewallproducten om aan de nieuwe eisen te voldoen. Daarnaast heeft IPS-leverancier Sourcefire voor komend jaar een application-aware firewall met IPS aangekondigd.

Pioniersfase

Ondanks deze initiatieven gebruiken slechts weinig mensen de nieuwe generatie firewalls, zo becijferde onderzoeksbureau Gartner. 'We schatten dat momenteel minder dan 1 procent van de netwerkverbindingen zijn beveiligd met NGFW', zegt analist Greg Young. Hij voorspelt echter een snelle en fikse groei naar 35 procent in 2014.

Toch blijft NGFW - wat eerder een marketingterm is dan een wetenschappelijk begrip - een buitenbeentje. Er zijn bijvoorbeeld nog geen NGFW-producten getest door onafhankelijke derde partijen, zoals verschillende leveranciers benadrukken. ICSA Labs overweegt een NGFW-test van verschillende producten, zo horen we van Fortinet, maar eerst moet worden uitgemaakt wat er nu precies onder NGFW valt. Gartner heeft een eigen definitief van de tools, maar analist Young geeft toe dat 'sommige leveranciers zich richten op applicatie controle, terwijl andere beter zijn in IPS. 'Een meerderheid van de leveranciers van firewalls voor bedrijfsnetwerken zijn nog in de pioniersfase. Palo Alto betrekt meer gevestigde leveranciers erbij', zo zegt Young.

De kwestie van de terminologie wordt nog ingewikkelder door de term Unified Threat Management (UTM), die IDC-analist Charles Kolodgy noemt. Volgens hem betekent UTM ongeveer hetzelfde als NGFW, maar Gartner beweert dat UTM verwijst naar beveiligingsapparatuur voor het mkb terwijl NGFW is bedoeld voor bedrijven met meer dan 1.000 medewerkers.

Hogere snelheden

Ondanks deze terminologische strijd en de geringe verspreidingsgraad van NGFW beginnen leveranciers van veiligheidsproducten in te zien dat de vraag naar veelzijdige firewalls voor bedrijven zal groeien. 'Trends in de markt wijzen in die richting', meent ook Patrick Bedwell van Fortinet, dat vorige week de 'Fortigate-5001B security blade' aankondigde die 40Gbps aankan, waar de vorige versie niet verder kwam dan 8Gbps. 'Daar kunnen traditionele firewalls niet tegenop. Je moet je richten op applicatie controle omdat de bedreigingen steeds ingewikkelder worden', waarschuwt Bedwell.

De FortiGate firewall/VPN security blade is application-aware voor zo'n 1.300 toepassingen en kan gebruikersgedrag met deze toepassingen controleren en bijvoorbeeld bandbreedte beheren.

Andere leveranciers volgen ook de principes van NGFW. McAfee beschouwt de in juni gemaakte veranderingen aan de Enterprise Firewall versie 8 als een overstap naar NGFW. 'We hebben de engine zo aangepast dat we ruim 1.000 toepassingen kunnen herkennen en controleren', aldus Greg Brown van McAfee. 'De engine is nu uitbreidbaar en er zijn wekelijks updates van applicaties.' McAfee Enterprise Firewall versie 8 haalt 10Gbps. Om hogere snelheden tot 40Gbps te halen, is McAfee een samenwerkingsverband aangegaan met Crossbeam Systems.

Hebben de veelzijdige en intelligente firewalls werkelijk een IPS-functionaliteit die even vruchtbaar is als een standalone IPS? Brown erkent dat dat lastig is na te gaan, omdat er geen onafhankelijke tests zijn uitgevoerd, maar 'het is onze bedoeling net zo effectief te zijn als een standalone IPS'.

Vergeleken met een conventionele firewall, die voornamelijk het IP-netwerkbereik controleert, is de aanpak van NGFW bij applicatie controle nieuw voor de meeste klanten, zegt Brown van McAfee. Het kan aantrekkelijk zijn om met functionaliteiten, zoals de integratie van Microsoft Active Directory, gebruikersgroepen voor geautoriseerde toepassingen op te zetten. Tot dusver proberen McAfee-klanten geavanceerde firewall-functionaliteiten behoedzaam uit met bepaalde applicaties, niet allemaal, om te zien welke gevolgen deze controle kan hebben.

Leerproces

Sinds afgelopen zomer test de fitnessketen 24 Hour Fitness, met 400 vestigingen in de VS en daarbuiten, de application-aware firewall van Palo Alto Networks. Justin Kwong van de IT-afdeling noemt niet alleen kostenbaringen als reden voor de overstap naar deze architectuur. Zijn personeel heeft sindsdien een veel beter beeld van de situatie dankzij onderdelen als reputation-based filtering.

Zijn bedrijf 24 Hour Fitness gebruikt Palo Alto's integratie met Active Directory, zodat beleidsregels over het applicatiegebruik door medewerkers kunnen worden opgesteld. Toch werkt dat in de praktijk 'nog niet erg fijnmazig', zegt Kwong, hoewel hij daarbij aantekent dat applicatie controle een leerproces is. Kwong gelooft echter niet dat zijn organisatie nu al geheel moet overstappen op het NGFW-model, aangezien er niet voor alle onderdelen van het netwerk behoefte is aan application-aware beheer.

Volgens IDC-analist Kolodgy kunnen bedrijven het inzetten van applicatie controle 'beperken totdat zij eraan gewend zijn, zodat je het daarna breder kunt inzetten'. Dat is precies de manier waarop IDS is overgegaan in IPS, voegt Kolodgy eraan toe.

Praktijkdeskundige Kwong heeft zijn twijfels over de NGFW als vervanger voor alle veiligheidstools. Hij wil zijn open source IPS blijven gebruiken 'als een tweede paar ogen' naast de IPS-functionaliteit van Palo Alto. 'Ik zou nooit alles uit één doos willen hebben. Nimmer wil ik slechts van één leverancier afhankelijk zijn', aldus Kwong.

Reizende klanten

En wat heb je aan NGFW-tools als gebruikers niet achter een firewall zitten, bijvoorbeeld omdat zij reizen met laptop of mobiel apparaat? 'We kunnen uitbreiden naar de machine van de eindgebruiker als die niet op het netwerk zit', meent Chris King van Palo Alto Networks. Zijn bedrijf ontwikkelde al een VPN-client die dataverkeer van een gebruiker kan terugvoeren naar het NGFW-punt van de klant, maar begin volgend jaar komt Palo Alto met een 'GlobalProtect smart VPN client'. Deze weet waar de gebruiker zich bevindt en voert de client naar de dichtstbijzijnde netwerkverbinding. 'Er is een hiërarchische lijst van zulke verbindingen en de client weet waar de dichtstbijzijnde is', aldus King. Dankzij deze functionaliteit is het voorkomen van dataverlies mogelijk.

Volgens Palo Alto is de mogelijkheid om SSL-controle uit te voeren een van de grote voordelen van het veiligheidspakket. Hierdoor wordt inkomend en uitgaand dataverkeer doorgelaten op basis van de betrouwbare omgeving van het certificaat van de desktop van de gebruiker. 'Zodra we weten dat het om een toegelaten applicatie gaat, dan wordt de informatie opnieuw versleuteld', aldus King.

Bron: Techworld