下一代防火墻：網(wǎng)絡(luò)安全防范技術(shù)分析

林鴻

福州職業(yè)技術(shù)學(xué)院 福建 350108

0 引言

2011年歲未，網(wǎng)絡(luò)上盛傳許多網(wǎng)站、論壇數(shù)據(jù)庫(kù)遭黑客攻擊，密碼、賬號(hào)被盜的“泄露門”事件，頻頻攪動(dòng)了國(guó)內(nèi)互聯(lián)網(wǎng)安全的神經(jīng)。截至2011年12月29日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)通過公開渠道獲得疑似泄露的數(shù)據(jù)庫(kù)有26個(gè)，涉及賬號(hào)、密碼 2.78億條。在這場(chǎng)中國(guó)互聯(lián)網(wǎng)有史以來波及面最廣、規(guī)模最大的泄密事件中，人們不禁拷問，企業(yè)的防火墻、IPS(入侵防御系統(tǒng))、UTM(統(tǒng)一威脅管理)都怎么啦？也在深入思考，在面對(duì)當(dāng)今熱門的數(shù)據(jù)中心整合和互聯(lián)、云計(jì)算、移動(dòng)計(jì)算環(huán)境下更為分散和全方位的安全需求時(shí)，傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)體系，是否還能擔(dān)當(dāng)信息安全的防范重任，我們需要什么樣的網(wǎng)絡(luò)安全防范產(chǎn)品。下一代防火墻(Next Generation Firewall,NGFW)，這個(gè)近來在業(yè)界得到廠商熱捧的新一代的網(wǎng)關(guān)安全產(chǎn)品，能否面對(duì)互聯(lián)網(wǎng)的安全現(xiàn)狀，在應(yīng)用模式、業(yè)務(wù)流程、安全威脅不斷變化的今天挑起大梁，迎接挑戰(zhàn)？它是一個(gè)什么樣的安全產(chǎn)品，與傳統(tǒng)的安全產(chǎn)品有什么不同，硬件架構(gòu)的設(shè)計(jì)做了什么改進(jìn)，能實(shí)現(xiàn)什么樣的安全功能，技術(shù)性能上有哪些特色，都值得我們加以關(guān)注和討論。

1 什么是下一代防火墻

防火墻產(chǎn)品從上世紀(jì)九十年代使用至今，雖經(jīng)系統(tǒng)架構(gòu)和軟件形態(tài)的多次改進(jìn)和革新，但在應(yīng)對(duì)和識(shí)別目前日趨復(fù)雜的混合性安全威脅時(shí)已顯力不從心，應(yīng)運(yùn)而生的一款全新安全產(chǎn)品NGFW是否會(huì)取代傳統(tǒng)防火墻、IPS、UTM，成為未來網(wǎng)絡(luò)安全防御的主流產(chǎn)品，它能否解決網(wǎng)絡(luò)新環(huán)境下產(chǎn)生的新安全隱患，NGFW究竟是一個(gè)什么樣的產(chǎn)品？

關(guān)于NGFW，業(yè)界普遍認(rèn)同的定義來自市場(chǎng)分析咨詢機(jī)構(gòu) Gartner于 2009年 10月發(fā)布的一份名為《Defining the Next-Generation Firewall》的文章。Gartner認(rèn)為，NGFW應(yīng)該是一個(gè)線速的網(wǎng)絡(luò)安全處理平臺(tái)，可執(zhí)行深層流量檢測(cè)，應(yīng)用識(shí)別，阻止攻擊的網(wǎng)關(guān)安全產(chǎn)品。在Gartner看來，NGFW至少應(yīng)該具備以下的功能屬性：

傳統(tǒng)防火墻：NGFW必須擁有傳統(tǒng)防火墻的所有功能，如數(shù)據(jù)包過濾、NAT、協(xié)議狀態(tài)檢查、VPN等。

集成IPS：NGFW在同一硬件內(nèi)集成了傳統(tǒng)防火墻和IPS的功能，IPS成為NGFW的核心組件，它不是防火墻和IPS兩個(gè)硬件的簡(jiǎn)單疊加，而是功能的無縫融合。NGFW中防火墻和IPS的無縫融合、自動(dòng)聯(lián)動(dòng)的協(xié)作機(jī)制將大大提升防御性能，增強(qiáng)網(wǎng)絡(luò)安全性。

應(yīng)用識(shí)別、控制與可視化：NGFW與傳統(tǒng)防火墻基于端口和IP協(xié)議進(jìn)行應(yīng)用識(shí)別不同，而是會(huì)根據(jù)深度包檢測(cè)引擎識(shí)別到的流量在應(yīng)用層執(zhí)行訪問控制策略。流量控制不再是單純地阻止或允許特定應(yīng)用，而是可用來管理帶寬或優(yōu)先排序應(yīng)用層流量。深度流量檢測(cè)讓管理員可針對(duì)單個(gè)應(yīng)用組件執(zhí)行細(xì)粒度策略。

超級(jí)智能的防火墻：NGFW可以收集來自防火墻外面的各類信息，用于改進(jìn)阻塞決定，或優(yōu)化阻塞規(guī)則庫(kù)。

2 為什么需要下一代防火墻

網(wǎng)絡(luò)環(huán)境的變化，基于服務(wù)的架構(gòu)與 Web2.0應(yīng)用的普及，大量的應(yīng)用程序都建立在 http和https等協(xié)議之上，網(wǎng)絡(luò)帶寬需求的增加，以太網(wǎng)標(biāo)準(zhǔn)從千兆走向萬兆甚至 10萬兆，都對(duì)網(wǎng)絡(luò)安全產(chǎn)品的性能和功能提出了新的要求。傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)體系中的防火墻、IPS、UTM的安全解決方案已經(jīng)不能勝任新環(huán)境下網(wǎng)絡(luò)安全防范的要求。

傳統(tǒng)防火墻的缺陷是只能檢測(cè)數(shù)據(jù)包的第三層信息，只能根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口和協(xié)議類型等相關(guān)信息來對(duì)流量進(jìn)行檢測(cè)，對(duì)于應(yīng)用層的http和https數(shù)據(jù)流量是無法進(jìn)行控制和甄別的，它不知道到底是什么應(yīng)用通過了防火墻，更無法探測(cè)到針對(duì)具體應(yīng)用的攻擊，因此也談不上進(jìn)行防御。

針對(duì)應(yīng)用層的IPS設(shè)備可以利用簽名技術(shù)檢查針對(duì)操作系統(tǒng)和軟件漏洞的已知網(wǎng)絡(luò)威脅和攻擊方法，但是IPS也無法識(shí)別具體的應(yīng)用，達(dá)不到目前用戶所需的精細(xì)粒度的應(yīng)用層控制，因而也無法對(duì)特定的應(yīng)用進(jìn)行防護(hù)。

對(duì)于UTM，市場(chǎng)分析咨詢機(jī)構(gòu)IDC曾經(jīng)這樣定義UTM：這是一類集成了常用安全功能的設(shè)備，必須包括傳統(tǒng)防火墻、網(wǎng)絡(luò)入侵檢測(cè)與防護(hù)和網(wǎng)關(guān)防病毒功能，并且可能會(huì)集成其他一些安全或網(wǎng)絡(luò)特性。所有這些功能不一定要打開，但是這些功能必須集成在一個(gè)硬件中。從IDC對(duì)UTM的定義，UTM和NGFW功能上似乎非常相似，但UTM的致命缺陷是采用串行掃描方式，集成的安全功能模塊全部啟用時(shí)，處理效率非常低下。面對(duì)網(wǎng)絡(luò)帶寬需求的不斷增加，UTM雖也大而全，但其整體安全防御性能卻倍受質(zhì)疑。

根據(jù)Gartner的定義，NGFW不是UTM和傳統(tǒng)防火墻的簡(jiǎn)單升級(jí)，而是提供了更強(qiáng)大的應(yīng)用和用戶識(shí)別能力，更靈活的控制機(jī)制以及更全面安全防御的產(chǎn)品。在面對(duì)網(wǎng)絡(luò)架構(gòu)的演進(jìn)及更復(fù)雜的終端設(shè)備和用戶應(yīng)用，防范來自 Internet的病毒、木馬、DDoS攻擊、XSS攻擊、網(wǎng)絡(luò)釣魚、SQL注入等種類繁多且危害巨大的威脅時(shí)，NGFW將是構(gòu)建網(wǎng)絡(luò)安全防御體系的首選。

3 下一代防火墻安全技術(shù)特色分析

Gartner只是定義了NGFW應(yīng)該具備的基礎(chǔ)功能屬性，雖說NGFW產(chǎn)品尚沒有統(tǒng)一標(biāo)準(zhǔn)，但各安全產(chǎn)品廠商都根據(jù)自己的研發(fā)和專業(yè)優(yōu)勢(shì)詮釋著對(duì) NGFW 集成安全功能的理解，推出各自的NGFW產(chǎn)品。這些NGFW產(chǎn)品具備了以下幾個(gè)方面的安全技術(shù)特色：

NGFW實(shí)現(xiàn)了全部功能模塊集中式管理。NGFW是一個(gè)線速網(wǎng)絡(luò)安全處理平臺(tái)，集成了傳統(tǒng)防火墻、IPS、UTM等安全技術(shù)主要功能，集中式管理可以大大降低運(yùn)行管理成本，并保證在大型網(wǎng)絡(luò)中安全策略部署的一致性。通過集中式中央控制管理平臺(tái)，無論系統(tǒng)管理員身處什么位置，都可以對(duì)網(wǎng)絡(luò)實(shí)施統(tǒng)一的管理，簡(jiǎn)單、直觀、便捷，大大提升了NGFW產(chǎn)品的可管理性和易用性。此外，集中式管理也使得NGFW在應(yīng)對(duì)網(wǎng)絡(luò)攻擊時(shí)能實(shí)現(xiàn)整體的快速響應(yīng)和快速防御。

NGFW采用了高效的并行處理機(jī)制，滿足網(wǎng)絡(luò)高性能。NGFW應(yīng)用了多CPU、多核的硬件技術(shù)，采用單次解析架構(gòu)解決方案，結(jié)合并行處理模式，對(duì)傳輸?shù)臄?shù)據(jù)流在一個(gè)模塊中一次拆包完成所有識(shí)別、掃描、過濾與控制，保證在復(fù)雜應(yīng)用的網(wǎng)絡(luò)環(huán)境中應(yīng)用控制和安全防護(hù)的時(shí)效性、準(zhǔn)確性和高處理性能。NGFW一次拆包和并行處理架構(gòu)體系，徹底解決了UTM的串行處理機(jī)制下，開啟多個(gè)模塊功能后，一個(gè)數(shù)據(jù)經(jīng)過不同模塊需經(jīng)多次拆包，多次分析，導(dǎo)致數(shù)據(jù)處理效率低下的架構(gòu)體系的設(shè)計(jì)短板。

NGFW具備應(yīng)用識(shí)別、用戶識(shí)別的功能。NGFW可根據(jù)應(yīng)用行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，NGFW采用基于DPI(深度包檢測(cè)技術(shù))/DFI(深度流檢測(cè)技術(shù))的檢測(cè)，能夠深入到應(yīng)用層報(bào)文，通過簽名、行為特征識(shí)別技術(shù)，有效識(shí)別和區(qū)分應(yīng)用或威脅，以采取不同的控制策略；NGFW改變了傳統(tǒng)防火墻/UTM依賴于物理設(shè)備地址(MAC/IP)和用戶身份對(duì)應(yīng)的機(jī)制，結(jié)合身份認(rèn)證機(jī)制和深層防護(hù)，能夠自動(dòng)和精準(zhǔn)地關(guān)聯(lián)用戶的實(shí)際身份，特別是在遠(yuǎn)程或移動(dòng)應(yīng)用環(huán)境中，NGFW還可以準(zhǔn)確判定用戶的位置。

NGFW實(shí)現(xiàn)了流量智能管理和控制。NGFW的智能流量管理和靈活控制策略，可根據(jù)應(yīng)用、用戶或用戶組和內(nèi)容來執(zhí)行相應(yīng)的控制，可使用帶寬管理策略來對(duì)穿越防火墻的應(yīng)用數(shù)據(jù)流進(jìn)行分類、控制和管理。NGFW的深度流量檢測(cè)，還可使其對(duì)單個(gè)應(yīng)用組件執(zhí)行更精細(xì)力度的控制，控制策略不再是單純地阻止或允許特定應(yīng)用，而是可用來管理帶寬或?qū)?yīng)用數(shù)據(jù)流進(jìn)行優(yōu)先排序。 例如NGFW可以通過限制分配給音頻和視頻網(wǎng)站的帶寬，來保證關(guān)鍵應(yīng)用的帶寬；還可以通過創(chuàng)建對(duì)特殊應(yīng)用、或某個(gè)用戶和用戶組的帶寬和優(yōu)先排序策略，保證帶寬的使用和數(shù)據(jù)傳輸?shù)膬?yōu)先權(quán)。

NGFW可視化功能，增強(qiáng)了網(wǎng)絡(luò)管理的可控性。要正確控制網(wǎng)絡(luò)使用狀況，網(wǎng)絡(luò)管理員必須能夠?qū)崟r(shí)查看網(wǎng)絡(luò)應(yīng)用流量，NGFW應(yīng)用可視化功能可以提供相關(guān)應(yīng)用、入口和出口帶寬、訪問的網(wǎng)站以及所有用戶行為的實(shí)時(shí)圖表，讓管理員輕松分辨應(yīng)用流量的性質(zhì)，了解哪些應(yīng)用正在被使用以及哪些用戶在使用，哪些是正常流量，哪些是網(wǎng)絡(luò)濫用，哪些是惡意流量，并根據(jù)觀測(cè)到的狀況制定和調(diào)整網(wǎng)絡(luò)控制策略。NGFW的實(shí)時(shí)可視化使系統(tǒng)管理員真正掌握了網(wǎng)絡(luò)的控制權(quán)。

對(duì)于 NGFW 集成的安全功能，著名信息安全培訓(xùn)機(jī)構(gòu)SANS的專家結(jié)合現(xiàn)有產(chǎn)品和用戶需求給出了未來NGFW產(chǎn)品應(yīng)具有的安全功能列表：FW(防火墻)、IPS(入侵防御系統(tǒng))、AM(反惡意軟件)、VPN(虛擬專用網(wǎng))、URL Filter(URL 過濾)、Content Filter(內(nèi)容過濾)、APP(應(yīng)用識(shí)別、控制與可優(yōu)化)、User(用戶和用戶組識(shí)別)、AS(反垃圾郵件)、DLP(數(shù)據(jù)泄露保護(hù))、NAC(網(wǎng)絡(luò)接入控制)、SSL Proxy(SSL 代理)。從 SANS給出NGFW的功能列表來看，基本涵蓋了目前市場(chǎng)上所有主流安全技術(shù)。

4 結(jié)束語

關(guān)于NGFW產(chǎn)品，Gartner預(yù)測(cè)，到2014年底，35%的企業(yè)會(huì)在采購(gòu)安全設(shè)備時(shí)轉(zhuǎn)向NGFW，60%新購(gòu)買的防火墻將是NGFW。據(jù)相關(guān)資料，北美和歐洲的政府機(jī)構(gòu)，包括國(guó)家基礎(chǔ)設(shè)施，電力、能源、水利等領(lǐng)域?qū)W(wǎng)絡(luò)安全管控要求較高的機(jī)構(gòu)和組織，在最近幾年幾乎摒棄了傳統(tǒng)網(wǎng)絡(luò)防火墻和UTM設(shè)備的采購(gòu)而轉(zhuǎn)向NGFW。全球500強(qiáng)大型跨國(guó)公司包括銀行、保險(xiǎn)等機(jī)構(gòu)，對(duì)網(wǎng)絡(luò)安全的設(shè)備需求也都紛紛轉(zhuǎn)向更加專注于應(yīng)用管控的NGFW為主體。新加坡也從2009年規(guī)定，今后有關(guān)政府、公共安全部門的防火墻采購(gòu)需求將以NGFW為主體，不再考慮對(duì)傳統(tǒng)防火墻和UTM的采購(gòu)。目前，NEFW作為網(wǎng)絡(luò)新一代安全產(chǎn)品的部署在我國(guó)尚處推廣和起步階段，面對(duì)日趨復(fù)雜的應(yīng)用控制和安全威脅，我們迫切需要一款定位于邊界防御的高性能、多功能、穩(wěn)定和高可靠性的安全產(chǎn)品。我們期待著，NGFW產(chǎn)品能成為解決日益增多的企業(yè)網(wǎng)絡(luò)安全問題，日益下降的網(wǎng)絡(luò)性能問題和困擾管理員的網(wǎng)絡(luò)管理問題的最佳選擇。

[1]Gartner.Defining the Next-Generation Firewall [EB/OL]. http://www.gartner.com/DisplayDocument?doc_cd=171540.

[2]吳秀梅.防火墻技術(shù)及應(yīng)用教程[M].北京:清華大學(xué)出版社.2010.

[3][美] Yusuf Bhaiji.網(wǎng)絡(luò)安全技術(shù)與解決方案[M].北京:人民郵電出版社.2010.