基本内容
下一代防火牆,即Next Generation Firewall,簡稱NG Firewall。
處理流程
一體化引擎數據包處理流程大緻分為以下幾個階段:
數據包入站處理階段
入站主要完成數據包的接收及L2-L4層的數據包解析過程,并且根據解析結果決定是否需要進入防火牆安全策略處理流程,否則該數據包就會被丢棄。在這個過程中還會判斷是否經過VPN數據加密,如果是,則會先進行解密後再做進一步解析。
主引擎處理階段
主引擎處理大緻會經曆三個過程:防火牆策略匹配及創建會話、應用識别、内容檢測。
創建會話信息
當數據包進入主引擎後,首先會進行會話查找,看是否存在該數據包相關的會話。如果存在,則會依據已經設定的防火牆策略進行匹配和對應。否則就需要創建會話。
具體步驟簡述為:進行轉發相關的信息查找;而後進行NAT相關的策略信息查找;最後進行防火牆的策略查找,檢查策略是否允許。如果允許則按照之前的策略信息建立對應的會話,如果不允許則丢棄該數據包。
應用識别
數據包進行完初始的防火牆安全策略匹配并創建對應會話信息後,會進行應用識别檢測和處理,如果該應用為已經可識别的應用,則對此應用進行識别和标記并直接進入下一個處理流程。
如果該應用為未識别應用,則需要進行應用識别子流程,對應用進行特征匹配,協議解碼,行為分析等處理從而标記該應用。應用标記完成後,會查找對應的應用安全策略,如果策略允許則準備下一階段流程;如果策略不允許,則直接丢棄。
内容檢測
主引擎工作的最後一個流程為内容檢測流程,主要是需要對數據包進行深層次的協議解碼、内容解析、模式匹配等操作,實現對數據包内容的完全解析;然後通過查找相對應的内容安全策略進行匹配,最後依據安全策略執行諸如:丢棄、報警、記錄日志等動作。
數據包出站處理階段
當數據包經過内容檢測模塊後,會進入出站處理流程。首先系統會路由等信息查找,然後執行QOS,IP數據包分片的操作,如果該數據走VPN通道的話,還需要通過VPN加密,最後進行數據轉發。
與統一策略的關系
統一策略實際上是通過同一套安全策略将處于不同層級的安全模塊有效地整合在一起,在策略匹配順序及層次上實現系統智能匹配,其主要的目的是為了提供更好的可用性。
舉個例子:有些産品HTTP的檢測,URL過濾是通過代理模塊做的,而其他協議的入侵檢測是用另外的引擎。用戶必須明白這些模塊間的依賴關系,分别做出正确的購置才能達到需要的功能,而統一策略可以有效的解決上述問題。
應用
下一代防火牆的執行範例包括阻止與針對細粒度網絡安全策略違規情況發出警報,如:使用Web郵件、anonymizer、端到端或計算機遠程控制等。僅僅根據目的地IP地址阻止對此類服務的已知源訪問再也無法達到安全要求。
細粒度策略會要求僅阻止發向其它允許目的地的部分類型的應用通訊,并利用重新導向功能根據明确的黑名單規則使其無法實現該通訊。這就意味着,即使有些應用程序設計可避開檢測或采用SSL加密,下一代防火牆依然可識别并阻止此類程序。而業務識别的另外一項優點還包括帶寬控制,例:因為拒絕了無用或不允許進入的端到端流量,從而大幅降低了帶寬的耗用。
僅有不到1%的互聯網連接采用了下一代防火牆保護。但是随着下一代網絡的來臨,下一代防火牆的應用已然是不可抗拒的趨勢,有理由相信到2014年年末使用這一産品進行保護的比例将上升至35%,同時,其中将有60%都為重新購買下一代防火牆。
大型企業都将随着正常的防火牆與IPS更新循環的到來逐漸采用下一代防火牆代替其現有的防火牆,或因帶寬需求的增高或遭受了攻擊而進行防火牆升級。許多防火牆與IPS供應商都已升級了其産品,以提供業務識别與部分下一代防火牆特性,且有許多新興公司都十分關注下一代防火牆功能。
Gartner的研究報告說明,認為随着威脅情況的變化以及業務與IT程序的改變都促使網絡安全經理在其下一輪防火牆/IPS更新循環中尋求具有下一代防火牆功能的産品。而下一代防火牆的供應商們成功占有市場的關鍵則在于需要證明第一代防火牆與IPS特性既可與當前的第一代功能相匹配,又能同時兼具下一代防火牆功能,或具有一定價格優勢。
複雜環境下網絡安全管理的窘境
随着網絡安全需求不斷深入,大量政府、金融、大企業等用戶将網絡劃分了更為細緻的安全區域,并在各安全區域的邊界處部署下一代防火牆設備。
對于所有的網絡管理者來說,安全設備數量的不斷激增無疑增加了管理上的成本,甚至成為日常安全運維工作的負擔,對網絡安全管理起着消極的反作用。
對于大型網絡而言,網絡管理者往往需要在每一台安全設備上逐一部署安全策略、安全防護規則等,并且在日常的維護中,還要逐一的對設備進行升級等操作,類似重複的工作将耗費大量的時間,同時大量人工操作勢必将帶來誤配置的風險。
對于高風險、大流量、多業務的複雜網絡環境而言,全網部署的下一代防火牆設備工作在不同的安全區域,各自為戰,為了進行有效的安全管理,管理者往往要單獨監控每一台設備的運行狀态、流量情況以及威脅狀況等,對于絕大多數人力資源并不充裕的信息部門,這無疑又是一項效率低、難度大的工作,監控到的信息往往由于實時性差,易疏漏等問題,對全網安全性的提升并無促進作用。
安全管理應面向風險而非單純的安全事件響應,網絡安全同樣遵循這樣的方向和趨勢,而如何及時預見風險,以及在安全事件發生後如何快速溯源并采取響應措施,是擺在每一位網絡管理者面前的難題。
專家認為,基于大數據挖掘技術無疑可以幫助管理者更加快速的發現網絡中的異常情況,進而盡早的确認威脅并采取幹預措施,實現主動防禦。而此方案實現的前提,則需具備對數據的收集集中能力以及智能分析能力。
為什麼要識别應用
随着以WEB2.0為代表的社區化網絡時代的到來,互聯網進入了以論壇、博客、社交、視頻、P2P分享等應用為代表的下一代互聯網時代,用戶不再是單向的信息接受者,更是以WEB應用為媒介的内容發布者和參與者,在這種趨勢下,越來越多的應用呈現出WEB化,據調查顯示超過90%的網絡應用運行于HTTP協議的80和443端口,大量應用可以進行端口複用和IP地址修改。
然而,由于傳統的防火牆的基本原理是根據IP地址/端口号或協議标識符識别和分類網絡流量,并執行相關的策略。所以對于WEB2.0應用來說,傳統防火牆看到的所有基于浏覽器的應用程序的網絡流量是完全一樣的,無法區分各種應用程序,更無法實施策略來區分哪些是不當的、不需要的或不适當的程序,或者允許這些應用程序。
如果通過這些端口屏蔽相關的流量或者協議,會導緻阻止所有基于web的流量,其中包括合法商業用途的内容和服務。即便是對授權通過的流量也會因為不能細粒度的準确分辨應用,而使針對應用的入侵攻擊或病毒傳播趁虛而入,使用戶私有網絡完全暴露于廣域網威脅攻擊之中。
綜上所述,在新一代網絡技術發展和新型應用威脅不斷湧現的現有環境下,對網絡流量進行全面、智能、多維的應用識别需求已迫在眉睫,也必将成為下一代防火牆所必須具備的基本和核心理念之一。
全面、多維的識别應用
每一種網絡應用都應具備多方面的屬性和特質,比如商業屬性、風險屬性、資源屬性、技術屬性等等,隻有從各個角度多維、立體的去識别一個應用才會更加全面和準确。
舉例來說,從商業屬性來講,可以是ERP/CRM類、數據庫類、辦公自動化類或系統升級類應用;從風險屬性來講,可以是1至5級不等的風險級别分類,風險級别越高的應用(如QQ/MSN文件傳輸等)其可能帶來的惡意軟件入侵、資産洩密的可能性就越高;從資源屬性來講,可以是容易消耗帶寬類、容易誤操作類或易規避類的應用等;而從技術屬性來講,又可以是P2P類、客戶端/服務器類或是基于浏覽器類的應用等。
對應用的多維、立體識别不僅是下一代防火牆做到全面、準确識别應用的必須要求,更是輔助用戶管理應用、制定應用相關的控制和安全策略的關鍵手段,從而将用戶從晦澀難懂的技術語言抽離出來,轉而采用用戶更關心和可以理解的語言去分類和解釋應用,方便其做出正确的控制和攻防決斷。下一代防火牆必須也應該要做到這一點,一種重要的實現手段就是---應用過濾器。
應用過濾器的關鍵特點是提供給用戶一種工具,讓用戶通過易于理解的屬性語言去多維度的過濾和篩選應用,經過篩選過濾後得到的所有應用形成一個應用集,用戶可以對此應用集針對性的進行統一的訪問控制或安全管理。
舉例來說,作為邊界安全設備,用戶希望在允許内網用戶與外網進行必要的郵件、IM即時通信、網絡會議通信的同時,能夠對其中的中、高級風險類應用進行安全掃描和防護,保證通信安全,杜絕威脅入侵。
要做到這點用戶隻要通過應用過濾器,在商業屬性維度給出選擇,這裡選擇協作類應用(包括郵件、IM通信、網絡會議、社交網絡、論壇貼吧等應用),再在風險屬性維度給出選擇,這裡可選擇3級以上風險等級,應用過濾器會根據選擇過濾、篩選出符合維度要求的所有應用(這裡包括雅虎mail、QQ郵箱、MSN聊天、WebEx會議、人人網論壇等幾十個應用),并以分類頁表的形式呈現給用戶,用戶還可以通過點擊應用名稱查看每個應用的詳細描述信息。
接下來在一體化安全策略中,用戶在指定好IP、安全區、時間、用戶等基本控制條件,以及指定好IPS、防病毒、URL過濾、内容過濾等安全掃描條件後,隻要選定剛才的應用過濾器,即可對所有内外網協作且高風險類應用進行全天24小時的安全掃描和防護,當發現攻擊威脅時及時阻斷并審計記錄,保障用戶的應用安全無憂。
識别未知應用
社區化網絡的發展,縮短了世界各地用戶經驗交流和合作的時間與空間,應用數量和種類及相關的網絡威脅都在日新月異的增長和發展着。面對來自世界各地、随時随地湧現的新類型、新應用,任何一個安全廠商或機構都無法第一時間毫無遺漏的全部涵蓋和一網打盡,下一代防火牆必須提供一種機制,去第一時間識别和控制應用,保障用戶網絡每一秒都不會暴露在網絡威脅之下。這就要求其必須要具備應用自定義的能力。
所謂應用自定義,就是以動态的方式允許用戶對某種/某些非通用化、用戶私有的無法識别的應用進行特征化的描述,系統學習并記憶這種描述,并在之後的網絡通信中去智能的分析和匹配此種特征,從而将其識别出來,實現将應用由未知轉化為已知。
這種機制免去了傳統以往為增加應用而重做的軟件引擎、識别庫版本開發、定制、上線、升級等大量工作,節省了大量寶貴時間,第一時間保障用戶網絡安全。
下一代防火牆的應用自定義應該包括維度歸類和特征碼指定兩部分。維度歸類将自定義出的應用如同其它已有應用一樣從多維度進行分類劃分,如該應用屬于哪種商業類型、何種資源屬性、怎樣的風險級别等等,與應用過濾器形成完美配合。
同時通過特征碼,指定出應用在包長度、服務端口、連接方式、甚至于特征字符串/數字串等等方面的數據特征,多種方式靈活組合,并可依需要無限度擴展,涵蓋了學習、辨識一個新應用的所有特征因素,從而第一時間讓所有已有的或未來将有的未知應用無處遁形,完全掌握于控制之中。
全國人大代表、中國電子科技集團公司總經理熊群力向記者透露,我國自主開發的全新一代國産工業防火牆即将推出,将為國内工業用戶提供工業控制信息安全“固、隔、監”的防護體系。
據熊群力介紹,作為功能全面、安全性高的網絡安全系統,這套名為三零衛士工業防火牆的新一代國産工業防火牆,采用國際上最先進的網絡安全技術,是針對工控網絡安全的具體應用環境完全自主開發的安全産品。
工控網絡安全涉及國家關鍵基礎設施信息系統如電力、軌道交通、石油、水務等的基礎網絡所面臨的安全問題,此前在2013年,中國電科已率先研制了兩款國内首創、擁有完全自主知識産權、基于專用硬件的工業控制系統信息安全産品。
标準
1、下一代防火牆是否可以防禦針對服務器應用和客戶端應用的攻擊以及其防禦程
2、是否能被規避或逃脫
3、是否穩定和可靠
4、該方案是否能夠強化入站和出站的應用策略
5、該方案是否能夠強化入站和出站的身份策略
6、其性能如何
選擇方式
即插即用式安裝
即插即用式配置可以使企業将設備的初始配置自動上傳到一台管理服務器。遠程位置可以通過傳輸層安全(TLS)協議連接到這台管理服務器。即插即用可以快捷地為不同地理位置的大型網絡實現快速部署和安裝,同時又可以減少到設備進行現場訪問和人工配置的麻煩。自動化還可以減少出錯風險。
高效且集中化的故障診斷工具
如果企業的防火牆具有高效且集中化的故障診斷工具,故障診斷就未必占用安全團隊的大量時間。這種工具應當集成到防火牆中,而不應當在以後進行修補。這種工具還應當擁有企業從一個獨立的中央位置就可以控制的多種功能。理想的工具包括大量的遠程診斷功能和其它的診斷功能,以及集成化的通信捕捉工具、網絡取證分析、會話監視和配置快照等。
快捷可靠的遠程更新
更新是高效的防火牆可以提供的更為輕松且高效的另一種功能。快捷可靠的遠程更新特性可以使技術人員在整個網絡上實施安全可控的軟件更新,并且占用最少的通信量。
在一個中央位置管理這種任務可以降低操作成本,使設置時間僅占用幾十分鐘而不是幾個小時或幾天。快捷可靠更新還可以降低操作風險,在更新新版本失效後,企業可利用其中的“反轉”功能恢複到以前的版本。此外,企業能夠通過快捷可靠更新确定在非正常業務期間(或對網絡影響最小的其它任何時間)進行操作的時間,從而實現接近100%的正常運行時間和可用性。
任務自動化
任務自動化并不僅僅為網絡防火牆的升級帶來很大好處。網絡防火牆還應當允許管理員自動化任何重複性的占用大量資源和時間的任務,并可确定其時間。
這種特性不但對于那些有可能影響到服務的任務來說很有益,而且對于日常報告等活動來說,也很有好處。在任務實現自動化并确定好其時間後,就不再需要什麼人工勞動了,而管理員就可以在網絡負載與非關鍵操作之間實現平衡,從而确保高可用性。
要素共享和再利用
要素共享和再利用可以減少工作量和出錯的風險。通過高質量的下一代防火牆,管理員不必每次在需要變更時為個别組件或客戶設置配置信息,而是可以重用相同的要素來管理多個客戶分組的服務變化。
策略驗證和分析工具
很多下一代防火牆配備了龐大的防火牆規則集,這會使故障診斷任務複雜化,并會帶來犧牲性能的不必要負擔。這些規則往往是重複的,有時甚至在轉換中丢失目标地址。
用策略驗證和分析工具可以輕松地檢查和清除不用的或重複的規則,而不必犧牲安全性。清除冗餘的規則可以提高系統性能,增加安全性,簡化網絡故障診斷的過程,并可以從數據庫中清除不必要的數據。
基于角色的管理訪問控制
并非所有管理員都應當享有訪問安全組件的同樣訪問權。基于角色的訪問控制可以允許用戶根據每個管理員的職責定義多種管理訪問的權利。企業應當能夠為每個管理員定義一個或多個角色,并限制每個角色适用的組件。防火牆的細節控制選項應當包括對每個要素和要素類型所涉及的管理員特權進行嚴格的、高度精細的控制,并可以控制讀寫操作的等級。
梭子魚下一代防火牆技術一覽
梭子魚下一代防火牆可以通過中央平台統一管理,無論企業信息管理人員身處何地——企業總部大樓、數據中心甚至遠程在家或者分支機構都可以對整個企業的網絡系統進行管理。信息管理人員通過梭子魚控制中心的界面輕松制定安全、内容和流量管理政策。
集中化的安全管理和内容政策有以下優勢:
1、整個企業貫徹統一的安全态勢和政策執行
2、多重網關的即時報告
3、整個網絡的配置和政策改變的綜合曆史和回顧
4、對反垃圾郵件、病毒防護、安全網關和網絡接入管理更新的統一視圖
除了強大的防火牆和VPN技術,梭子魚NG防火牆集成了一系列的下一代防火牆技術,包括了7層應用防護,入侵防護,安全網關,病毒防護,反垃圾郵件和網絡接入控制等。産品擁有多種硬件型号和相應軟件平台,适用于從小型分支機構到大型企業總部或數據中心不等。
發展趨勢
SonicWALL參加了由美國Network World組織的Clear Choice測試。總共有4家公司的下一代防火牆産品參加了測試:Barracuda、Check Point、Fortinet和SonicWALL。本次測試的結果表明下一代防火牆的發展速度非常快,其處理流量的效率也有了較大的提高,能在保證網絡安全性的同時提高數據處理速度。
