Недавно был опубликован очередной Магический квадрант аналитической компании Gartner, на этот раз посвященный современным корпоративным файерволам. В связи с резким ростом числа сложных сетевых угроз многие компании теперь по другому смотрят на эти устройства. В последнем Магическом квадранте компании Gartner эти изменения видны невооруженным взглядом.

Интересно, что четыре из пяти производителей файерволов из верхней половины квадранта поддерживают экспорт NetFlow или IPFIX (Check Point, Cisco, Juniper и Palo Alto Networks). Некоторые производители из нижней части квадранта, такие как Barracuda, Dell-SonicWALL и Sophos также поддерживают эти технологии. Т.е. функциональность файеволов главных мировых производителей существенно изменилась.
Напомним, что недавно компания Gartner утверждала, что при организации защиты сети анализ потоков должен занимать 80% времени, а захват пакетов пробами (зондами) - только 20%. Поскольку большинство файерволов первоначально фокусировались на защите сети от внешних соединений, технология сбора потоковой информации может использоваться для контроля внутренних соединений, а также ряда параметров, создаваемых хостами. Это, согласно докладу аналитиков Mandiant, особенно важно, когда пытаешься обнаружить современные продвинутые угрозы (advanced persistent threats, APT). 
Поскольку данные NetFlow и IPFIX потоков представляют 100% коммуникаций, они могут также использоваться  и для сравнения IP-адресов с базой IP-репутации для проверки коммуникаций с уже известными скомпрометированными хостами. Этот процесс контроля не может быть надежно применен с использованием экспорта sFlow, как это сделано в Fortinet. Это к вопросу о давнем споре о том, что лучше - sFlow или NetFlow. "Единственные люди, которые говорят, что sFlow лучше, чем NetFlow, это те, кто не использовал и то, и другое и не смог увидеть разницы, - утверждает бывший технический директор (CTO) компании Lancope Адам Пауэрс (Adam Powers). - Война sFlow с NetFlow уже давно не ведется".
Сбор потоков с файерволов, маршрутизаторов и коммутаторов также обеспечивает уверенность, что история всех коммуникаций, как извне, так и внутри вашей сети будет сохранена. Даже, если ваша защита будет преодолена, потоковые данные позволят получить информацию, с кем коммуницировали зараженные хосты, а также другие важные данные, такие как имена пользователей, URL, адреса email и многое другое.