http://wenku.baidu.com/view/953c3d3310661ed9ad51f31d.html
合肥工业大学 贾庆磊
摘要:自出现之日起,下一代防火墙(Next-Generation Firewall,简称NGFW)
就一直在争议中前行,在2011年的上半年达到了一个顶峰,国内外的安全厂家相继推出了自己的下一代防火墙产品,梭子鱼与深信服科技在国内先后发布了各自的NGFW产品,加上产品已经正式在售的SonicWALL、Check
oint和Palo Alto,市场上俨然一副山雨欲来风满楼的景象。但热潮退去,下一代防火墙市场逐渐趋于冷静,与此同时,市场上也出现了一些质疑的声音。究其原因,还是概念提出得比较超前,产品跟进却相对缓慢。那么,NGFW究竟是如何定义的?它与传统防火墙、UTM又有哪些不同?其产品与市场前景究竟如何?用户部署NGFW又需从哪些角度考虑?面对云计算带来的挑战,下一代网络安全产品和防火墙的出路在哪里?现在让我们一去走进NGFW的神奇世界,共同领略这类新产品的价值和魅力。
关键字:下一代防火墙(NGFW) 应用识别与控制 云火墙
一、NGFW的出现——顺应时代潮流
何为NGFW:什么是下一代防火墙?这一代、上一代防火墙指的又是什么?在讨论NGFW之前,我们必须先正确认识“防火墙”这个概念。在经历了多次技术变革后,防火墙的概念正在变得模糊,在不同语境中有着不同的含义。在描述具体产品时,防火墙大部分指代的是采用状态检测机制、集成IPSec VPN、支持桥/路由/NAT工作模式的作用在2-4层的访问控制设备;而宏观意义上的防火墙,实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备(Gateway)。 虽然下一代防火墙产品还没有一个统一的标准,但业内普遍认同的关于NGFW的定义,则来自Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文档。2009 年,Gartner 在《Defining the Next-Generation Firewall》一文中首次定义了NGFW 这个术语,用来形容应对攻击行为、业务流程和使用IT 方式的不断变化,防火墙产品发展所要经历的必然阶段。Gartner 认为,下一代防火墙(NGFW)是一种多功能集成式线速网络安全处理平台,包含所有标准功能,即常见的网络功能,如网络地址转换(NAT)、包过滤和全状态包检测功能,而应用识别、控制和可视化是其重要的核心特性。
NGFW包含第一代防火墙的所有标准功能,即常见的网络功能,如网络地址转换(NAT)、包过滤和全状态包检测功能。
NGFW的主要特点是应用感知以及网络堆栈的完全可视化。NGFW不会像传统防火墙一样只依靠端口或协议来阻止流量,而是会根据深度包检测引擎识别到的流量在应用层执行网络安全策略。流量控制不再是单纯地阻止或允许特定应用,而是可用来管理带宽或优先排序应用层流量。深度流量检测让IT部门可针对单个应用组件执行细粒度策略。例如,可允许用户使用即时通讯客户端,但禁止文件共享。
NGFW还集成了网络入侵防御功能,这可不是在传统防火墙架构上简单添加入侵防御子系统这么简单。NGFW集成的入侵防御功能是安全引擎的核心组件,无需经多个独立的安全层传输同样的流量,从而提高了性能,增强了安全性。
动态应对变化多端的威胁是NGFW的另一大重要特点。设备的签名库将不断更新,用于识别新的威胁,更从容地应对不断升级的恶意软件。 顺应时代潮流:当我们思考下一代防火墙推动力的时候,用户需求所趋是我们的答案,NGFW的出现顺应了时代潮流。归纳起来,下一代防火墙产品的出现有以下几个原因。
第一,以太网标准现在已经由万兆开始向40G/100G迈进,网络带宽的增长十分迅猛。另外,数据量也在成爆炸性增长,我国各类数据中心和机房总量已经达到50余万个。无论是带宽增长还是数据增长,都对网关安全产品的性能和功能提出了新的要求。对于一些大型企业来说,网络环境趋于复杂,需要寻找新的安全解决方案来满足除了抵挡外部攻击以外的安全需求。 第二,网络环境的变化。传统的网络攻击手段一般都是基于第三层的网络层,而随着Web2.0时代的到来,大量的应用程序都建立在了http和https等协议之上,而传统的防火墙对这些应用程序却望尘莫及。基于网络层的操作就意味着传统防火墙只能根据与数据包源地址和目标地址有关的信息来检测流量,但是对于上述的http和https流量却是无能为力。虽然现在有针对应用层的IPS设备,但是IPS却无法识别具体的应用,达不到目前用户所需的精细力度的应用层控制,因而也无法对特定应用进行防护。
第三,自防火墙的概念诞生以来已经经过了十几年的发展,但是可以发现,在这么长的时间里防火墙的功能并没有变革性的改进,功能、性能方面与网络的飞速前进并不匹配,网络环境的新需求迫使防火墙进行根本性的变革。
第四,概念炒作的嫌疑。就像UTM的出现一样,下一代防火墙一出现就成了安全厂商,尤其是传统防火墙厂商占据制高点的关键。
第五,安全厂商竞相发布下一代防火墙产品,不管是否是概念炒作,也不管产品是否成熟。从市场需求来看,下一代防火墙产品的出现很大一部分程度上是代表了时代的潮流。传统防火墙产品的不足已是共识,新产品的出现已是必然。
二、应用识别与控制——下一代防火墙的焦点
应用识别是防火墙未来发展的重要技术方向,基于应用的攻击的不断变化也要求防御技术必须有所提升。对于这样的变化,传统防火墙只能望而兴叹,因为它在应用层无法起到良好的防御效果;而IPS 仅关注应用层检测,防火墙功能极弱,这也是有些用户把IPS 当做IDS 使用的一个原因;UTM 则是一个集大成的产品,能够很好的融合各种安全技术,但一个缺乏统一指挥、统一资源调配的庞大团队,其效率低下是无法避免的。NGFW 的使命,就是在性能、安全性、易用性、可管理性等方面有一个质的飞跃,满足用户新的防御和管理需求。 相对传统防火墙和UTM 产品而言,NGFW 与它们的主要区别在于:
一、传统防火墙局限于IP 地址、接口层面的安全防护。从基于简单包过滤技术防火墙到基于状态检测技术的防火墙,重点的防护还仅仅是停留在OSI 模型的四层以内。
二、UTM 是在“瘦防火墙”基础上发展而来的,集防火墙、IPS、VPN 等安全功能于一体的集成安全网关,或者说是“胖防火墙”,其不足之处在于处理机制繁琐,效率低下,内部安全模块间缺少智能关联。
三、NGFW 除了具备传统防火墙功能外,更关注针对应用层面的安全防护。
实时性、准确性、高效性也将成为下一代防火墙的主要特点。它会根据深度包检测引擎的检测结果,自动识别到该流量在应用层执行的安全策略。流量控制需要更“精细化”的管理,不仅仅能够对异常攻击流量进行阻止或允许动作,更可用来进行基于应用层的QoS 控制。控制粒度更为细致:例如,可允许用户使用Netmeeting 会议,但禁止其白板功能等。检测顺序也更为高效:设备对数据流仅需进行一次检测,IPS、FW 模块将会并行进行识别判断。当然,高效面对变化多端的应用威胁也将成为该产品的重要特点。
三、NGFW的市场现状以及前景分析
市场现状--百家争鸣:2 0 1 0 年5 月1 2 日,SonicWALL公司推出业内首个能够以 40Gbps的性能检测和控制应用、防御入侵、封阻恶意软件,且不损害网络性能的下一代安全平台ProjectSuperMassive。Project SuperMassive的主要组件包括:SonicWALL的大规模可扩展下一代网络安全平台(Massively ScalableNext-Generation Network SecurityPlatform)架构、SonicWALL的下一代防火墙(Next-Generation Firewall)技术以及SonicWALL拥有专利的免重组深度数据包检查(Reassembly-FreeDeep
acket Inspection/RF-DPI)引擎这是该公司19年发展史上一个最重要的里程碑。 2011 年4 月11 日消息,在互联网安全领域首屈一指的Check
oint 软件技术有限公司宣布,该公司日前通过NSS Labs 的评测,在防火墙、身份识别以及应用程序控制执行的各项评测中取得100%的有效率,并且成为业界首个获得NSS Labs 下一代防火墙(NGFW)“推荐”级别的厂商。
2011年以来,锐捷网络、梭子鱼、深信服陆续在国内发布下一代防火墙(Next Generation Firewall,以下简称NGFW)产品,加上已经在市场上耕耘的SonicWALL、juniper、Check
oint等厂商,这个在2009年Gartner定义的来形容防火墙进化发展的产品似乎迎来了春天。 除了遵循Gartner所提出的NGFW定义之外,下一代防火墙厂商都自己的产品添加了特色功能,以满足不同用户的需求。
梭子鱼产品经理潘渊认为,在NGFW产品中应该增加网络性能提升的功能,如自适应网络路由,带宽管理,远程接入控制,网络延展性等技术。而使用梭子鱼下一代防火墙产品的信息管理人员就可以轻松管理基于应用的路由配置,根据多链路、多通道和不同的流量情况安排链路的优先顺序。
深信服将目光锁定在了本土化应用的识别问题上,利用其有优势的应用层技术,其NGAF可以基于应用做流量管控,保障关键流量。另外,它还可以做到第二层至第七层的全面防护。
SonicWALL的NGFW的独特之处在于其免重组深度数据包检测技术。它允许用户检测网络内外的一切情况,并且不会造成延迟。因此用户在应用任何标准协议或者临时协议之前,仍然可以保持原有的性能。
而以软刀片架构著称的CheckPoint,虽然在下一代防火墙的概念上一直很低调,但在“一体化”的概念上却很有发言权,它的每款设备都可以运行多个软刀片,用户可根据需要自行选择所需要的功能刀片。最为独特的是,用户在以后的功能添加过程中,无需购买新的设备,也无需更改自身的网络设置,只需要更新一下原有设备即可完成。更是为用户提供了统一的管理平台,这也是刘刚认为下一代防火墙应该具有的特征。
应运而生的NGFW是否存在独立市场:NGFW产品是最终网络安全需求的深入和目前时刻面临的多变的基于应用和内容网络安全威胁而诞生的,从目前情况看,未来两年将是NGFW 产品高速发展的一段时间,相信它会成为传统防火墙、IPS 的阶段性终结者。根据Gartner的预测,到2014年底,35%的企业会在采购安全设备的时候转向下一代防火墙,60%新购买的防火墙将是NGFW。在这种趋势下,传统安全设备厂商不可能熟视无睹,他们的产品都会向高性能的应用识别和应用防护的方向转变,最终实现普遍的应用层安全。
四、NGFW选择的五项注意
Gartner研究公司建议企业在更换防火墙和/或入侵防御技术时,要求供应商提供NGFW解决方案。但是,当企业评估NGFW时,一些网络安全技术提供商会宣称其产品同样具备NGFW的功能。那么,真正的企业级NGFW应具备哪些功能呢? 第一,性能 Gartner表示,NGFW可在不影响网络运行的情况下在网络中进行嵌入式配置。换句话说,NGFW只会带来极低的网络延迟。而IPS与其它功能的紧密集成是实现这一点的关键。单通道引擎实现了无缝的策略部署和策略执行,而且不会给网络带来任何延迟或大幅降低性能。这一点非常重要,因为启用NGFW服务不应该导致网络运行中断。
第二,强大的扫描功能
与第一代防火墙相同,NGFW也集成了全状态检测功能。但NGFW与上一代产品的主要不同之处在于它支持深度包检测(DPI)功能。许多NGFW提供商都在大肆宣传DPI功能,但对这些产品的测试发现,DPI功能会大幅降低网络的安全防御能力。许多NGFW必须代理文件,才能在网关扫描文件并阻止恶意软件,这会给网络性能造成严重负面影响。为了避免出现网络中断,一些提供商选择直接允许数据包进入网络,而不对其进行扫描。
评估NGFW时,请选择具备以下功能的NGFW:
●可扫描各种大小的文件,查找其中的病毒、恶意软件、僵尸网络和其它威胁 ●可解密、扫描和重新加密SSL数据包
●可扫描穿越所有端口的原始TCP流量以及大量协议 第三,易管理性
随着企业开始重视多个站点的安全性,可扩展的、经验证的分布式管理解决方案对于实现安全性和提高投资回报率至关重要。 第四,应用智能、控制和可视化 NGFW有一大基本特点,即控制应用并优化网络中运行的流量。但是,如果NGFW不具备以下功能,也无法实现这一特点: ● 将应用智能和控制功能扩展至无线终端; ● 支持自定义应用; ● 实时查看网络情况;
● 根据不断扩展的签名库对应用进行扫描。
NGFW可不同程度地支持以上功能。为了确保网络得到正确、有效的保护,企业必须了解具体型号的NGFW具备和不具备的功能:
● 强大的签名数据库:NGFW的有效性与可检测和控制的应用数量息息相关。 -实时可视化:显然,对于看不见的事情,企业无法实现控制和优化。评估NGFW时,企业必须考虑到NGFW是否支持实时查看应用和用户流量。
● 对自定义应用的考量:尽管网络中有许多web应用企业希望及时纳入掌控,但大多数NGFW却无法控制贵公司的自定义应用。但是,要提高有效性,NGFW必须能够识别企业的自定义应用,并优先处理自定义应用,再处理其它流量。 ● 无线端点控制:企业网络边缘的无线端点数量正在不断增多。如果贵公司也面临这样的情况,请考虑使用NGFW,它可针对无线用户提供强大的应用智能、控制和可视化功能。只控制有线用户的流量,而无视大量使用无线网络的笔记本电脑的用户对企业来说毫无益处。
第五,经带扩展的NetFlow和IPFix报告的能力
NetFlow和IPFix是向外部收集程序报告网络流量的两大行业标准。NetFlow部署于交换机和路由器,可导出各种数据,如IP地址源和目的地、源端口和目标端口、3层协议类型和服务等级。IPFix和NetFlow版本9经扩展后,还可导出网络设备的其它数据,如应用数据、用户数据和URL数据。
五、云时代下NGFW的未来——云火墙
云计算代表着防火墙终结?
随着越来越多的企业将很多的信息和很多应用程序转移到云计算,云供应商提供的安全水平成为热门话题。人们现在开始考虑,在未来的几年或者几十年后,信息被高度集中在云中,基于防火墙的信息保护可能是完全没有必要的。例如虚拟化的安全问题、云计算的安全问题,以及最近大数据引起的数据爆炸对安全产品的影响等,这是否应该成为下一代防火墙产品需要纳入的新功能?未来到底还需不需要防火墙?NGFW是防火墙的终结会被迫退出历史舞台还是会被超越,再铸辉煌?
SonicWAll认为,任何的事情都有两面性,例如GPS技术,它能帮助用户熟悉新环境,但又可以随时泄露位置信息。我们不能怕泄露信息就放弃使用GPS。所以在云计算背景下,要研究如何使用防火墙技术,不能因为防火墙技术有缺点,就放弃这项技术。锐捷网络产品总监杨红飞认为,下一代的安全业务平台,应具备高性能、多业务特征,支持通过软件、硬件方式灵活扩展真正做到随需而动。NGWF能否坐上云计算这班高速列车、抓住机遇,还需要克服诸多挑战。潘渊从用户的角度给出了另外一个答案:防火墙架设在本地还是云端,对用户来讲,变化在于从设备安全转为服务安全。只要能够提供安全防护,用户并不关心网关架设在哪里。最重要的是下一代防火墙如何适应云计算的新功能,快速融入云计算,为用户提供安全防护的铜墙铁壁。
未来属于新一代的防火墙——云火墙 锐捷网络产品总监杨红飞认为,面向云计算的下一代安全架构将会呈现出以下几个发展趋势:首先,数据中心级安全的实现。安全架构的发展需要与数据中心业务相匹配,从高性能、高可靠性,到虚拟化等等,安全不能成为数据中心级网络的阿喀琉之踵。其次,安全技术的进一步的集成。云计算时代,用户越来越集聚于业务本身,而不是盲目崇拜于各种安全技术实现。下一代的安全业务平台,应 当具备高性能、多业务特征,支持通过软件、硬件方式灵活扩展真正做到随需而动。第三,人成为网络的边界。移动办公、信息公开带来从外到内的访问;云服务、视频会议带来从内到外的访问。人和服务的交互突破网络物理边界,人成为网络的边界,同样安全边界也需要落实到人。最后,网络和安全进一步融合。解决方案的融合,网络、安全、软件等产品能有效整合。硬件形态的融合,如交接机防火墙模块、高端口密度防火墙。技术架构的融合,分布式、AS IC、多核等 传统网络设备技术的应用,推动安全产品更快速地实现突破性创新。