Miért Cisco ASA Fire Power hagyományos tűzfal helyett?

2015-06-17

Az új generációs tűzfal, (NGN) mint fogalom az elmúlt pár év során szivárgott be a köztudatba, de nyilván sokakban felvetődik a kérdés, hogy tulajdonképpen mit is takar ez a hangzatos, főként az IT-s szakemberek által gyakran használt kifejezés. Miért van az, hogy az új generációs tűzfalak – ilyenek többek között a Cisco ASA FirePower rendszerek is – napjainkra egyre jobban a háttérbe szorítják a hagyományos tűzfalakat? Erre keressük a választ.



Intelligens automatizált működés

A kulcsszó az új generációs tűzfalak esetében – így az ASA FirePower tűzfal rendszernél is – az intelligens automatizált működés. Egy új generációs tűzfal – egy online adatbázis segítéségével – már a kezdet kezdetén képes eldönteni mindenféle felhasználói szintű interakicó nélkül, hogy egy adott applikációnak, külső perifériának van-e egyáltalán bármilyen szintű hozzáférési jogosultsága a rendszerhez és amennyiben ennek csak a legcsekélyebb hiányát is észleli, egyből teljes mértékben elszigeteli a szóban forgó eszközt, vagy alkalmazást a teljes hálózattól, megelőzve ezáltal azt, hogy az adatlopási kísérlet legelső lépése megtörténhessen.

 

Ha egy kártékony alkalmazás (malware) nem jut el addig a pontig, hogy a hálózatot feltérképezze, támadási, behatolási pontokat kereshessen, mert azt onnan azonnali hatállyal leválasztja, majd minden kísérletét csírájában elfojtja a tűzfal, akkor nemhogy magába a hálózatba, hanem annak tágabb értelembe vett virtuális környezetébe sem képes semmiféle negatív hatást sem kifejteni.
 


A hagyományos tűzfal halála

A profi hackerek általában több betörési pontot is megismernek támadás előtt. De ha olyan rendszerrel találják szembe magukat, amely számukra még nem ismert, akkor sem sajnálják a ráfordított energiát és időt, ha anyagilag megéri nekik, hogy megtalálják a tűzfalon azokat a támadási pontokat és biztonsági réseket, amelyeken át gond nélkül járhatnak ki-be az adott cég szervereire, hogy onnan bármilyen számukra fontos adatot pillanatok alatt ellophassanak. Ez a probléma napjainkra üzleti szinten, a webes alkalmazások, felhő alapú applikációk használta folytán olyan méreteket öltött, hogy egyetlen magára is valamit adó, komoly vállalat sem engedheti meg magának azt a luxust, hogy értékes céges adatait, egy már idejétmúlt, gyenge védelmet nyújtó tűzfal rendszerre bízza.

 

A hagyományos L3 tűzfalak napjainkra nem csak, hogy részben alkalmatlanná váltak a modern kori fenyegetések elhárítására, de minden lelkiismeret furdalás nélkül kijelenthetjük ezen rendszerekről, hogy néhány kivételtől eltekintve bizony több más sebből is erősen „véreznek”. A tradicionális tűzfalak meg sem közelítik azt a színvonalat és azokat a biztonságtechnikai megoldásokat, amelyekkel az NGN tűzfalak alapból nyújtanak.


Folyamatos fenyegetettség

Az exponenciálisan megnövekedett hálózati forgalommal egyenes arányban fejlődtek a behatolási kísérletek is. Olyanok is amelyekről a gyanútlan felhasználó tájékozatlansága révén azt feltételezhette, hogy a küldött adat megbízható, valid forrásból érkezett és sajnos csak akkor eszmélt rá az adott esett tényleges mivoltára, amikor már késő volt: adatai illetéktelen behatolók birtokába jutottak. AZ NGN tűzfalak mint például a Cisco ASA FirePower folyamosan frissül így próbál az egyre intelligensebb behatolási, adatlopási kísérletei ellen is hatékonyan fellépni.