突破安全瓶頸 NGFW下一代防火墻演進(jìn)正當(dāng)時(shí)
為了保護(hù)某一區(qū)域,人們往往在區(qū)域的四周建起圍墻,以阻隔危險(xiǎn)的靠近,現(xiàn)實(shí)世界如此,虛擬的網(wǎng)絡(luò)世界也不例外,無(wú)論是以公司為單位的企業(yè)用戶還是個(gè)人用戶,作為互聯(lián)網(wǎng)上的一分子,都有可能受到來(lái)自外部的安全威脅,于是,防火墻產(chǎn)品便應(yīng)運(yùn)而生了。
有了它,就相當(dāng)于在計(jì)算機(jī)與網(wǎng)絡(luò)之間建起了一道屏障,它對(duì)流經(jīng)它的網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行掃描,從而過(guò)濾掉一些攻擊。當(dāng)然,與現(xiàn)實(shí)世界的實(shí)體墻易攻難守相比,網(wǎng)絡(luò)世界里的防火墻功能更加多樣而豐富,除了網(wǎng)羅不安全因素之外,它還能夠做到關(guān)閉不使用的端口,以及禁止特定端口的流出通信,封鎖特洛伊木馬。而且通過(guò)禁止來(lái)自特殊站點(diǎn)的訪問(wèn),從而防止來(lái)自不明入侵者的所有通信。
傳統(tǒng)防火墻已經(jīng)無(wú)法滿足新的安全需求
道高一尺,魔高一丈
但是隨著安全形勢(shì)的變化,傳統(tǒng)的安全防護(hù)正在失效,如今最流行的安全產(chǎn)品是狀態(tài)檢測(cè)防火墻、入侵檢測(cè)系統(tǒng)和基于主機(jī)的防病毒軟件。但是它們面對(duì)新一代安全威脅的作用越來(lái)越小。狀態(tài)檢測(cè)防火墻是通過(guò)跟蹤會(huì)話的發(fā)起和狀態(tài)來(lái)工作的。狀態(tài)檢測(cè)防火墻通過(guò)檢查數(shù)據(jù)包頭,分析和監(jiān)視網(wǎng)絡(luò)層(L3)和協(xié)議層(L4),基于一套用戶自定義的防火墻策略來(lái)允許、拒絕或轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量。傳統(tǒng)防火墻的問(wèn)題在于黑客已經(jīng)研究出大量的方法來(lái)繞過(guò)防火墻策略。
網(wǎng)絡(luò)防火墻在安全防護(hù)中起到重要作用,但是也應(yīng)該看到它的不足之處。如今,知識(shí)淵博的黑客,均能利用網(wǎng)絡(luò)防火墻開(kāi)放的端口,巧妙躲過(guò)網(wǎng)絡(luò)防火墻的監(jiān)測(cè),直接針對(duì)目標(biāo)應(yīng)用程序。他們想出復(fù)雜的攻擊方法,能夠繞過(guò)傳統(tǒng)網(wǎng)絡(luò)防火墻。傳統(tǒng)的網(wǎng)絡(luò)防火墻,存在著以下不足之處:1、無(wú)法檢測(cè)加密的Web流量;2、普通應(yīng)用程序加密后,也能輕易躲過(guò)防火墻的檢測(cè);3、對(duì)于Web應(yīng)用程序,防范能力不足;4、應(yīng)用防護(hù)特性,只適用于簡(jiǎn)單情況;5、無(wú)法擴(kuò)展帶深度檢測(cè)功能。
應(yīng)用層受到攻擊的概率越來(lái)越大,而傳統(tǒng)網(wǎng)絡(luò)防火墻在這方面有存在著不足之處。對(duì)此,少數(shù)防火墻供應(yīng)商也開(kāi)始意識(shí)到應(yīng)用層的威脅,在防火墻產(chǎn)品上增加了一些彈性概念的特征,試圖防范這些威脅。傳統(tǒng)的網(wǎng)絡(luò)防火墻對(duì)于應(yīng)用安全的防范上效果不佳。
邪不壓正
黑客很囂張,但安全專家也不是用來(lái)做擺設(shè)的,面對(duì)網(wǎng)絡(luò)的高速發(fā)展、應(yīng)用的不斷增多,防火墻的概念也被重新演義,下一代防火墻(Next-Generation Firewall,以下簡(jiǎn)稱NGFW)應(yīng)運(yùn)而生。如同這個(gè)速食社會(huì)任何新出現(xiàn)的名詞一樣,雖然NGFW的概念已經(jīng)熱火朝天,但卻很難確定一個(gè)統(tǒng)一的標(biāo)準(zhǔn),而業(yè)內(nèi)普遍認(rèn)同的關(guān)于NGFW的定義,則來(lái)自Gartner于2009年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文檔。
在文中,Gartner將網(wǎng)絡(luò)防火墻定義為在不同信任級(jí)別的網(wǎng)絡(luò)之間實(shí)時(shí)執(zhí)行網(wǎng)絡(luò)安全政策的聯(lián)機(jī)控制。Gartner使用“下一代防火墻”這個(gè)術(shù)語(yǔ)來(lái)說(shuō)明防火墻在應(yīng)對(duì)業(yè)務(wù)流程使用IT的方式和威脅試圖入侵業(yè)務(wù)系統(tǒng)的方式發(fā)生變化時(shí)應(yīng)采取的必要的演進(jìn)。
那么,如何界定是否屬于下一代防火墻呢?它應(yīng)該具備下列最低屬性:支持在線BITW(線纜中的塊)配置,同時(shí)不會(huì)干擾網(wǎng)絡(luò)運(yùn)行;可作為網(wǎng)絡(luò)流量檢測(cè)與網(wǎng)絡(luò)安全策略執(zhí)行的平臺(tái),并具有下列最低特性:
1)標(biāo)準(zhǔn)的第一代防火墻功能;
2)集成式而非托管式網(wǎng)絡(luò)入侵防御;
3)業(yè)務(wù)識(shí)別與全棧可視性;
4)超級(jí)智能的防火墻。
隨著帶寬需求的增加以及成功的攻擊使企業(yè)有了更新防火墻的需求,下一代防火墻的概念也從虛無(wú)飄渺落到了具體產(chǎn)品上面,雖然在剛開(kāi)始的時(shí)候,存在著概念先行,產(chǎn)品滯后的問(wèn)題,但經(jīng)過(guò)一段時(shí)間的發(fā)展,現(xiàn)在已經(jīng)有眾多廠商涉足這一領(lǐng)域,像SonicWALL、Check Point、Palo Alto、梭子魚(yú)與深信服科技等廠商都先后發(fā)布了各自的NGFW產(chǎn)品,據(jù)估計(jì),到2014年底下一個(gè)防火墻更新周期,60%新購(gòu)買的防火墻將是NGFW。