10:41
17/1/2020

Poniższy artykuł jest pierwszym z dwóch artykułów ukazujących możliwości współczesnych firewalli (tzw. NGFW). W tym nakreślamy ich funkcje i możliwości, a w kolejnym tekście skupimy się już na praktycznych przykładach i konkretnych konfiguracjach.

Współczesne firewalle

Zapory sieciowe nowej generacji to obecnie wszechstronne rozwiązania, które pozwalają zapewnić bezpieczeństwo na wielu poziomach. Są wyposażone w zintegrowane źródła danych o najnowszych zagrożeniach, zapobiegają włamaniom, gwarantują zaawansowaną ochronę przed złośliwym oprogramowaniem, filtrowanie adresów URL i posiadają funkcje weryfikacji tożsamości użytkownika. Przykładem firewalli nowej generacji są rozwiązania z serii Cisco Firepower. Dzięki bogatej telemetrii sieciowej, dają one najpełniejszy wgląd w informacje o sieci i pozwalają wykrywać nawet subtelne zagrożenia.

Jeśli chcesz bezpłatnie przetestować rozwiązanie NGFW w swoim środowisku wystarczy się zarejestrować na stronie https://engage2demand.cisco.com/LP=16666

Specjaliści Cisco wskazują 5 powodów, dla których firewall jest nadal podstawą systemów cyberbezpieczeństwa:

  • Gotowość na realny cyberatak – ochrona zapobiegawcza to za mało. Zapora sieciowa powinna stanowić źródło najnowszych informacji o zagrożeniach i posiadać funkcje dodatkowe, takie jak wykrywanie adresów URL czy zaawansowane wykrywanie złośliwego oprogramowania, na wypadek, gdyby pokonało ono pierwszą linię obrony.
  • Kompleksowy wgląd w sieć – zapora sieciowa nowej generacji prezentuje całościowy obraz wszystkich działań, niezależnie od tego, czy dotyczą one użytkowników, hostów, sieci, aktywnych aplikacji, stron internetowych czy platform do przesyłania plików.
  • Elastyczne opcje zarządzania i wdrażania – konfigurowalna zapora sieciowa nowej generacji może być zainstalowana w ramach infrastruktury w siedzibie organizacji lub w chmurze. Dodatkowo obsługuje szeroki zakres przepustowości, a także pozwala na scentralizowane zarządzanie wszystkimi urządzeniami lub poszczególnymi rozwiązaniami.
  • Krótki czas wykrywania zagrożeń – średni czas wykrywania zagrożeń wynosi obecnie od 100 do 200 dni. To zdecydowanie za długo. Zapora nowej generacji powinna wykrywać potencjalne zagrożenia w ciągu kilku sekund. Dodatkowo rozwiązanie samo nadaje priorytety wygenerowanym alertom, aby można było podjąć szybkie i precyzyjne działania.
  • Element zintegrowanej architektury bezpieczeństwa – nowoczesna zapora sieciowa powinna komunikować się i współdziałać z resztą architektury bezpieczeństwa, zapewniając możliwość integracji z innymi narzędziami tego samego dostawcy. Zapory sieciowe nowej generacji dają możliwość automatycznego udostępniania informacji o zagrożeniach, danych o zdarzeniach i ich kontekście.

Zapory sieciowe nie są już rozwiązaniem przeznaczonym głównie dla dużych organizacji. W zeszłym roku Cisco zaprezentowało firewalle nowej generacji Firepower NGFW serii 1000, stworzone z myślą o małych i średnich firmach oraz tych zarządzanych z domu (ang. SoHo – small office, home office).

Jak wynika z raportu „Małe, lecz potężne” autorstwa Cisco, 53% organizacji z sektora MŚP doświadczyło w 2018 roku naruszenia bezpieczeństwa infrastruktury IT. Mniejsze organizacje stają się coraz bardziej atrakcyjnym celem dla cyberprzestępców – zarówno bezpośrednim, ale także jako punkt wyjścia dla większych ataków. Małe i średnie firmy zwykle nie posiadają rozbudowanych działów IT. Dlatego niezwykle ważne jest, aby stosowane przez nie rozwiązania charakteryzowała mała złożoność, a także wydajność i szybki czas reakcji.

Na te potrzeby odpowiadają zapory sieciowe nowej generacji Cisco Firepower 1000, które automatycznie korelują informacje o zagrożeniach w ramach zintegrowanych funkcji bezpieczeństwa, dzięki czemu czas wykrycia został maksymalnie skrócony. Cisco Firepower 1000 współpracuje z rozwiązaniem Cisco Threat Response, które automatyzuje integrację z wybranymi produktami Cisco Security i przyspiesza kluczowe funkcje operacji bezpieczeństwa: wykrywanie, badanie i usuwanie zagrożeń. Mniejsze firmy docenią również fakt, że Cisco Firepower NGFW 1000 są prostymi i intuicyjnymi w instalacji i zarządzaniu rozwiązaniami bezpieczeństwa typu all-in-one.

„Inwestycja w firewall nie może oznaczać wywrócenia istniejącego w firmie ekosystemu IT do góry nogami, zwłaszcza w małych czy średnich firmach. Cisco Firepower NGFW z jednej strony jest częścią architektury bezpieczeństwa Cisco, z drugiej – może być zintegrowany z rozwiązaniami innych producentów i płynnie włączony do środowiska, które już funkcjonuje w danej organizacji” – mówi Mateusz Pastewski, menedżer ds. sprzedaży rozwiązań cyberbezpieczeństwa w Cisco Polska.

Należy również pamiętać, że zapora sieciowa nie powinna ograniczać rozwoju i spowalniać realizacji celów biznesowych. Firepower NGFW pozwalają korzystać z ochrony klasy korporacyjnej bez zmniejszenia wydajności sieci. Przepustowość firewalli Cisco NGFW jest nawet trzykrotnie wyższa niż w przypadku podobnych rozwiązań poprzedniej generacji.

Wyróżniki Cisco Firepower NGFW serii 1000

Zapory sieciowe Cisco nowej generacji chronią biznes przed większą ilością zagrożeń niż którekolwiek wcześniejsze rozwiązanie tego typu. Jest to możliwe dzięki zintegrowanemu rozwiązaniu Cisco Advanced Malware Protection (AMP), wsparciu ze strony zespołu Cisco Talos analizującego na bieżąco nowe zagrożenia pojawiąjące się w sieci, w wyniku czego są one blokowane już na wczesnym etapie ich wykrycia, a także funkcji filtrowania adresów URL, które zabezpieczają firmową infrastrukturę IT przed złośliwym oprogramowaniem. Dodatkowo mechanizm sandboxingu, polegający na izolacji uruchamianych programów komputerowych od reszty systemu, gwarantuje ochronę zarówno przed znanym, jak i nieznanym malware’em.

Kolejnym wyróżnikiem Firepower NGFW jest lepszy wgląd w środowisko IT za sprawą systemu zapobiegania włamaniom NGIPS (Next Generation Intrusion Prevention System). Posiada on funkcję automatycznego wykrywania i oznaczania zagrożeń. System nadaje im priorytety i wskazuje specjalistom IT, którymi z nich powinni zająć się w pierwszej kolejności. Mają oni całościowy obraz wszystkich działań, niezależnie od tego, czy dotyczą one użytkowników, hostów, sieci, aplikacji, stron internetowych czy też platform do przesyłania plików typu WeTransfer czy Dropbox.

Jeśli chcesz bezpłatnie przetestować rozwiązanie NGFW w swoim środowisku wystarczy się zarejestrować na stronie https://engage2demand.cisco.com/LP=16666

Niniejszy artykuł jest autorstwa firmy Cisco i za jego publikację redakcja Niebezpiecznika otrzymała wynagrodzenie.

Przeczytaj także:



29 komentarzy

Dodaj komentarz
  1. Takie rzeczy konkurencja (np. FortiGate, czy SonicWall) miała ponad 15 lat temu, a od tamtego czasu rozwinęła się znacznie bardziej.

    • dokladnie, CISCO to teraz drogi szajs, nic wiecej, nawet najnowsze modele od podstawowych po najwyzsze, sa lata swieltne za konkurencja

    • A jakieś konkrety na temat tego w czym są one lata świetlne za konkurencją?

  2. >zintegrowane źródła danych o najnowszych zagrożeniach

    Czy to w ogóle coś znaczy? Wybaczcie, ale generalnie cały artykuł zmieściłby się w 3 linijkach – mało konkretów, pienia pochwalne jak w reklamach proszku.
    Poza tym Cisco Firepower 2130 NGFW – 71 tysięcy złotych – dla małej firmy domowej???

    • Dokładnie. Już Fortigate ma przystępniejsze ceny (chociaż subskrypcja licencji jest dość droga). Zawsze zostaje darmowy Pfsense + osobny komputer z dwoma kartami sieciowymi.

    • Jak przysiądziesz i poczytasz, to takie rozwiązania zmontujesz na sprzęcie z linuksem i odpowiednimi dodatkami! Czyli prawie za darmo, bo sprzęt, np. karty sieciowe kupić trzeba czy nawet sam nośnik jakim jest komputer. W sumie, to każde urządzenie finalne w fazie rozwojowej i testowej jest zbiorem aplikacji linuksowych ulokowanych w jednej maszynie lub kilku. Wszystko zależy od założeń projektowych.

    • I jeszcze jeden mały drobiazg o którym zapomniałem dodać… Poziom bezpieczeństwa rozwiązań IT, podnosi unikalność rozwiązań, a sztampowość. Ale biznes rządzi się swoimi prawami i ma do tego kasę na marketing, dzięki któremu prezesi stają się specjalistami od zabezpieczeń IT.

    • Ale dlaczego proponujesz Cisco Firepower 2130 z wydajnością do 5Gbps dla firmy domowej? Ja bym wyszedł z Cisco Firepower 1000 i modelem do 650Mbps NGFW+NGIPS+AVC dla takiego klienta za nawet około 20x mniejszą cenę, nie biorąc pod uwagę rabatu producenta.

  3. W ostatnich testach NSS Labs CISCO uczestniczyło jak widać na zapowiedziach:
    https://www.nsslabs.com/tested-technologies/next-generation-firewall-ngfw/

    Barracuda Networks CloudGen Firewall F800.CCE v7.2.3
    Check Point Software Technologies 6500 Security Gateway R80.20
    Cisco Firepower 4110 Security Appliance V6.3.0.2
    Forcepoint 2105 NGFW v6.3.11
    Fortinet FortiGate 500E v6.0.4 build 0231
    Huawei USG6620E v600R006C00SPC310
    Juniper Networks SRX4600 V18.4X3.3
    Palo Alto Networks PA-5220 PAN-OS 8.1.6-h2
    Sophos XG 750 Firewall SFOS v17.5
    SonicWall NSa 4650 SonicOS v6.5
    Versa Networks FlexVNF v16.1R2-S7
    WatchGuard Firebox M670 Firmware: 12.3 B589695 Ver-4.907

    Jakoś niestety nie pojawili się w wynikach pod swoją nazwą:

    https://www.fortinet.com/content/dam/fortinet/assets/analyst-reports/nss-labs-2019-ngfw-valuemap.pdf

    Pytanie czy to Vendor A czy Vendor B ?

    • Biorąc pod uwagę ceny Cisco to obstawiałbym że Vendor A.

  4. ciekawe czy przepuszczają HTTP3 i Quick ;-)

  5. Tytuł powinien być całkiem inny. A co do Cisco… Chwalą się tym co inni mieli już dawno. I jeszcze te teksty o analizie szyfrowanego ruchu bez dekrypcji :P

  6. Wydaje się, że czas Cisco w cyberbezpieczeństwie bezpowrotnie przeminął. Z resztą, integracja infrastruktury W/LAN, ochrony końcówek roboczych z rozwiązaniami bezpieczeństwa NGFW pozwala zdecydowanie bardziej zautomatyzować procesy (NAC, skanowanie podatności…) w małych przedsiębiorstwach gdzie multidyscyplinarni specjaliści IT na wagę złota.

  7. Wymyślcie lepiej, jak przekonać właścicieli MŚP z branż poza IT, że w ogóle potrzebują ochrony przed czymkolwiek ;)

  8. Drogi niebezpieczniku wspomnij jeszcze proszę o tym, że przy transakcji kartą (gdy to z karty bankowej ściągnięto pieniądze) można skorzystać z reklamacji w banku i zgodnie z umową bank odda nam pieniądze od razu i w pierwszej kolejności Google będzie musiał się tłumaczyć. To co będzie się działo dalej to już osobna historia aczkolwiek można udowadniać powyższymi zrzutami ekranu, iż zostaliśmy oszukania i wtedy bank może uznać reklamację i klient (deweloper apki i google) będą musieli skarżyć nas do Sądu, aby odzyskać pieniądze. Oczywiście to pozytywny scenariusz.

    Można też iść do Sądu i próbować odzyskać pieniądze w Sądzie. Koszt pozwu to 30zł – może się opłacać, a mało kto o tym wspomina. Wtedy można wskazywać na nieuczciwą praktykę – da się taki proces wygrać. Może być też tak, że Google po otrzymaniu pozwu odda kasę ze względu na ochronę własnego wizerunku skąd wskazywałbym, żeby pozywać google – dewelopera dopozwać.

  9. ah dobry komentarz ale nie do tego artykułu

  10. https://old.reddit.com/r/networking/comments/9363af/cisco_firepower_rant/?ref=share&ref_source=link

    Ja bym się zastanowił przed kupnem FirePower ;)

  11. Chyba tu wiekszosci umknelo ze to artykul sponsorowany :)

  12. Wy tu pitu pitu a w tym czasie złole hakują naszą sieć http://www.bip.olsztyn.piw.gov.pl/index.php?strona=rejestr&bip_sid=GnsmnqFfp0EQNSHlTT4IvKyaAayYUq – to jedna ze stron, jest ich więcej wpiszcie w duckduckgo fraze “Hacked by Nofawkx-Al”

  13. Ah Cisco przeminęło szanowni administratorzy powiadają:
    A Gartner 2019 dla NGFW mówi co innego
    A Gartner 2019 dla NIPS mówi co innego

    Cisco Firepower to zintegrowany bardzo dobry FW warstwy 4 (Cisco ASA) który ma już 15 latek i bardzo fajnie działa + Snort + wiele innych usług opartych na subskrypcjach”
    jak Threat Inteligence
    jak AMP
    jak – wsparcie dla STIX/TAXII i konfigurowanie feedów od firm trzecich np AlienVault albo Infoblox etc

    + PxGrid – wspólna platforma dla wymiany danych nie tylko pomiędzy produktami Cisco. PxGrid wspiera teraz mnóstwo firm jak McAffe, HPE, Checkpoint.

    Cisco Firepower w połączeniu z Cisco ISE to przepotężne rozwiązanie w dziedzinie security

    Oczywiście nie dla użytkowników domowych, ani SOHO ani też małych firm. Tutaj raczej nie szedłbym w kierunku FTD serii 2000 lecz bardziej w ASA-5500X w obrazem FTD – jest w porównywalnej cenie jak każdy inny Fortinet i temu podobne.

    Nie mówię, że Cisco sprawdzi się w każdych warunkach. Trzeba potestować i wybrać urządzenie dla siebie najlepiej pasujące ale nie lekceważyłbym w tzm Cisco.

    Dodatkowo jeśli chodzi o dekrypcję ruchu SSL – Cisco w modelach serii 2000 i powyżej ma wbudowane Crypto-Chipy sprzętowo wspierające deszyfrowanie ruchu sieciowego. Niewielu producentów ma tak rozwiązany ten problem.

    Pozdrawiam

    • Ehhh ten Gartner. Jak dobrze, że każdy ma swój “magiczny kwadrat” w nim :)

  14. osobiście regularnie zdarza mi się obserwować, że podejrzany email trafia z netu do serwera poczty w dmz, a parę minut później, użytkownik w sieci wew. już nie może go pobrać z serwera, gdyż wildfire paloalto w międzyczasie zaktualizowało router. Cisco poszło do piachu bo chcieli ok 10x tyle za to samo, o cenach hardware nie wspomne :>

  15. Kurde, teraz myśli się bardziej o konsolidacji gdzie MTA, Endpoint oraz NGFW potrafią za sobą współpracować. Co do Gartnera to każdy szanujący się inżynier nie spojrzy na ten raport bo to strata czasu. NSSLabs to pierwsze miejsce gdzie zaglądamy aby ocenić rozwiązania nowej generacji. W szczególności NSSLabs BPS 2019. Z całym szacunkiem także do NGFW Fortineta, jeszcze dużo pracy przed nimi. To samo z niebieskimi skrzynkami. Na tym rynku jeżeli mówimy o pełnym rozwiązaniu NGFW z MTA dla Enterprise ,Check Point jest jednak czołowym graczem(chociaż ma swoje bolączki). Na rynku SMB który jest u nas największy Fortinet wygrywa wolumenem oraz ceną jak za złom ale z pewnością nie bezpieczeństwem.

  16. W kwestii przypomnienia:

    “Niniejszy artykuł jest autorstwa firmy Cisco i za jego publikację redakcja Niebezpiecznika otrzymała wynagrodzenie.”

    • Wiemy wiemy, ale z artykułem można się sprzeczać. Szczególnie, że jest Marketingowy.

  17. Dyskutować co jest lepsze zależy od administratora. Nie do wszystkiego jest Cisco i nie do wszystkiego pasuje Palo.

    Cisco zabija Palo wydajnością przy porównywalnej cenie. Aby doskoczyć Palo wypuściło nowe FW z podwojoną ilością CPU – Architektura pozostaje taka sama.

    Checkpoint to Mercedes na rynku – piękna funkcjonalność przy równie niepowtarzalnej cenie. Nie wszystkich na to stać. Teraz jest jeszcze ciekawiej jak CP przejął Dome9 – szczególnie interesujące dla firm migrujących w Cloudy.

    Chciałem powiedzieć przez to, że każdy producent ma swoje zalety i wady. Szanujący się administrator nie polega tylko na jednym rozwiązaniu ale wzbiera takie które się wzajemnie uzupełniają i dobrze integrują.

    A co do NSSLabs powiem tyle, że w porównaniu do Gartnera ma więcej kontrowersji. Najlepiej jest zawsze samemu przeprowadzić PoC albo PoV i podjąć jedynie słuszną decyzję.

  18. Miałem do czynienia tylko z Cisco Meraki, Fortinet i pfSense. Moim zdaniem problemem dla MŚP tych dwóch pierwszych jest sposób licencjonowania, jego cena i dotkliwe skutki nie przedłużenia subskrypcji. W trzecim brak supportu normalnego (bo “wtyczki” potrafią odstawić numer) czy chociażby firmy wdrażającej w PL (chyba że się mylę?)

  19. To co polecacie sensownego dla SOHO

    • router ;)

Odpowiadasz na komentarz Marek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: