Computerworld News Service: Den traditionelle port-baserede virksomheds-firewall, der efterhånden ligner mindre og mindre en rigtig vagt og i højere grad et lille pitstop for de internetapplikationer, der ræser af sted gennem de som regel åbne porte 80 og 443, er langsomt ved at tabe kampen til en ny generation af stærkere, hurtigere og mere intelligente firewalls.
De såkaldte "næste-generations firewalls" (NGFW) er betegnelsen for en firewall/VPN til virksomheder, som har muskelkraft nok til effektivt at forebygge indtrængen på netværket og intelligente nok til at være bevidste nok om de applikationer, der kommer forbi, til at kunne håndhæve politikker med udgangspunkt i den tilladte identitets-baserede applikationsbrug.
Derudover skulle de også være i stand til at anvende analyser af internet-omdømme til at gennemføre malware-filtrering eller interagere med Active Directory.
Men hvor lang tid vil der gå, inden NGFW'erne for alvor begynder at gøre sig gældende?
Opstartsvirksomheden Palo Alto Networks bliver generelt anset for at være den første leverandør, der tog NGFW-kappen på sig med sin linje af multi-purpose applikations-bevidste sikkerhedsprodukter i 2007, og virksomheden har i dag mere end 2200 kunder.
Blandt andre er leverandørerne Fortinet, Cisco, Check Point, McAfee og Barracuda Networks desuden begyndt at udvide eller omskabe deres firewall-produkter for at komme med på vognen. Derudover har IPS-leverandøren Sourcefire fortalt, at den regner med at have en applikationsbevidst firewall med IPS klar til næste år.
Men på trods af det, så er den faktiske anvendelse af den slags avancerede firewalls i dag stadig meget lav, fortæller analysehuset Gartner, som har talt for NGFW'er igennem de sidste par år.
"Vi regner med, at mindre end en procent af de sikre forbindelser i dag anvender en NGFW," siger analytiker hos Gartner, Greg Young. Han forudser dog, at det vil ændre sig og nå op på 35 procent i 2014.
Men NGFW - ikke ligefrem en videnskabelig betegnelse, men nærmere ren marketing - er endnu ikke faldet rigtigt til. Der er endnu ikke foretaget uafhængige tredjeparts-test af de såkaldte NGFW-produkter, understreger flere leverandører.
ICSA Labs er i gang med at diskutere muligheden for NGFW-test af forskellige produkter, fortæller Fortinet, men en del af udfordringen består i at få styr på definitionen af, hvad NGFW egentlig betegner.
Større fokus på kontrollen
Gartner, som har sin egen definition, anerkender, at "nogle leverandører inkluderer applikationskontrol, andre er mere avancerede inden for IPS," siger Greg Young og tilføjer, at "hovedparten af firewall-leverandørerne stadig er i den tidlige fase. Palo Alto trækker de andre med."
Problemerne med terminologien er blevet endnu mere forvirrende af begrebet "Unified Threat Management", som er en betegnelse opfundet af Charles Kolodgy, der er analytiker ved IDC, og som selv siger, at UTM er en betegnelse for nogenlunde det samme som NGFW.
Men Gartner argumenterer for, at UTM kan fungere som betegnelse for sikkerhedsudstyr, der bliver anvendt af små og mellemstore virksomheder, mens NGFW er til store virksomheder med mere end 1000 medarbejdere.
Men trods idiomernes sammenstød og det, at der stadig kun eksisterer en lillebitte kundebase, så lader leverandørerne til at anerkende, at efterspørgslen efter konsolideret, multi-purpose sikkerhed til virksomheder sandsynligvis vil øges.
"Markedstendensen peger i den retning," siger Patrick Bedwell, der er vice president for produktmarketing hos Fortinet, der i sidste uge kunne annoncere sin Fortingate-5001B sikkerhedsblad til virksomhedens 5000-serie af sikkerhedsplatforme, som kan nå 40Gbps - et betydeligt spring fra grænsen på 8Gbps på de tidligere produkter.
"Nedarvede firewalls kan ikke holde trit med udviklingen. Efterhånden som truslerne bliver mere komplekse, er der nødt til at komme mere fokus på applikationskontrollen," understreger Patrick Bedwell.
Oversat af Marie Dyekjær Eriksen
