突破安全瓶頸 NGFW下一代防火墻演進(jìn)正當(dāng)時(shí)

為了保護(hù)某一區(qū)域，人們往往在區(qū)域的四周建起圍墻，以阻隔危險(xiǎn)的靠近，現(xiàn)實(shí)世界如此，虛擬的網(wǎng)絡(luò)世界也不例外，無(wú)論是以公司為單位的企業(yè)用戶還是個(gè)人用戶，作為互聯(lián)網(wǎng)上的一分子，都有可能受到來(lái)自外部的安全威脅，于是，防火墻產(chǎn)品便應(yīng)運(yùn)而生了。

有了它，就相當(dāng)于在計(jì)算機(jī)與網(wǎng)絡(luò)之間建起了一道屏障，它對(duì)流經(jīng)它的網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行掃描，從而過(guò)濾掉一些攻擊。當(dāng)然，與現(xiàn)實(shí)世界的實(shí)體墻易攻難守相比，網(wǎng)絡(luò)世界里的防火墻功能更加多樣而豐富，除了網(wǎng)羅不安全因素之外，它還能夠做到關(guān)閉不使用的端口，以及禁止特定端口的流出通信，封鎖特洛伊木馬。而且通過(guò)禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。

傳統(tǒng)防火墻已經(jīng)無(wú)法滿足新的安全需求

道高一尺，魔高一丈

但是隨著安全形勢(shì)的變化，傳統(tǒng)的安全防護(hù)正在失效，如今最流行的安全產(chǎn)品是狀態(tài)檢測(cè)防火墻、入侵檢測(cè)系統(tǒng)和基于主機(jī)的防病毒軟件。但是它們面對(duì)新一代安全威脅的作用越來(lái)越小。狀態(tài)檢測(cè)防火墻是通過(guò)跟蹤會(huì)話的發(fā)起和狀態(tài)來(lái)工作的。狀態(tài)檢測(cè)防火墻通過(guò)檢查數(shù)據(jù)包頭，分析和監(jiān)視網(wǎng)絡(luò)層(L3)和協(xié)議層(L4)，基于一套用戶自定義的防火墻策略來(lái)允許、拒絕或轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量。傳統(tǒng)防火墻的問(wèn)題在于黑客已經(jīng)研究出大量的方法來(lái)繞過(guò)防火墻策略。

網(wǎng)絡(luò)防火墻在安全防護(hù)中起到重要作用，但是也應(yīng)該看到它的不足之處。如今，知識(shí)淵博的黑客，均能利用網(wǎng)絡(luò)防火墻開(kāi)放的端口，巧妙躲過(guò)網(wǎng)絡(luò)防火墻的監(jiān)測(cè)，直接針對(duì)目標(biāo)應(yīng)用程序。他們想出復(fù)雜的攻擊方法，能夠繞過(guò)傳統(tǒng)網(wǎng)絡(luò)防火墻。傳統(tǒng)的網(wǎng)絡(luò)防火墻，存在著以下不足之處：1、無(wú)法檢測(cè)加密的Web流量;2、普通應(yīng)用程序加密后，也能輕易躲過(guò)防火墻的檢測(cè);3、對(duì)于Web應(yīng)用程序，防范能力不足;4、應(yīng)用防護(hù)特性，只適用于簡(jiǎn)單情況;5、無(wú)法擴(kuò)展帶深度檢測(cè)功能。

應(yīng)用層受到攻擊的概率越來(lái)越大，而傳統(tǒng)網(wǎng)絡(luò)防火墻在這方面有存在著不足之處。對(duì)此，少數(shù)防火墻供應(yīng)商也開(kāi)始意識(shí)到應(yīng)用層的威脅，在防火墻產(chǎn)品上增加了一些彈性概念的特征，試圖防范這些威脅。傳統(tǒng)的網(wǎng)絡(luò)防火墻對(duì)于應(yīng)用安全的防范上效果不佳。

邪不壓正

黑客很囂張，但安全專家也不是用來(lái)做擺設(shè)的，面對(duì)網(wǎng)絡(luò)的高速發(fā)展、應(yīng)用的不斷增多，防火墻的概念也被重新演義，下一代防火墻(Next-Generation Firewall，以下簡(jiǎn)稱NGFW)應(yīng)運(yùn)而生。如同這個(gè)速食社會(huì)任何新出現(xiàn)的名詞一樣，雖然NGFW的概念已經(jīng)熱火朝天，但卻很難確定一個(gè)統(tǒng)一的標(biāo)準(zhǔn)，而業(yè)內(nèi)普遍認(rèn)同的關(guān)于NGFW的定義，則來(lái)自Gartner于2009年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文檔。

在文中，Gartner將網(wǎng)絡(luò)防火墻定義為在不同信任級(jí)別的網(wǎng)絡(luò)之間實(shí)時(shí)執(zhí)行網(wǎng)絡(luò)安全政策的聯(lián)機(jī)控制。Gartner使用“下一代防火墻”這個(gè)術(shù)語(yǔ)來(lái)說(shuō)明防火墻在應(yīng)對(duì)業(yè)務(wù)流程使用IT的方式和威脅試圖入侵業(yè)務(wù)系統(tǒng)的方式發(fā)生變化時(shí)應(yīng)采取的必要的演進(jìn)。

那么，如何界定是否屬于下一代防火墻呢?它應(yīng)該具備下列最低屬性：支持在線BITW(線纜中的塊)配置，同時(shí)不會(huì)干擾網(wǎng)絡(luò)運(yùn)行;可作為網(wǎng)絡(luò)流量檢測(cè)與網(wǎng)絡(luò)安全策略執(zhí)行的平臺(tái)，并具有下列最低特性：

1)標(biāo)準(zhǔn)的第一代防火墻功能;

2)集成式而非托管式網(wǎng)絡(luò)入侵防御;

3)業(yè)務(wù)識(shí)別與全棧可視性;

4)超級(jí)智能的防火墻。

隨著帶寬需求的增加以及成功的攻擊使企業(yè)有了更新防火墻的需求，下一代防火墻的概念也從虛無(wú)飄渺落到了具體產(chǎn)品上面，雖然在剛開(kāi)始的時(shí)候，存在著概念先行，產(chǎn)品滯后的問(wèn)題，但經(jīng)過(guò)一段時(shí)間的發(fā)展，現(xiàn)在已經(jīng)有眾多廠商涉足這一領(lǐng)域，像SonicWALL、Check Point、Palo Alto、梭子魚與深信服科技等廠商都先后發(fā)布了各自的NGFW產(chǎn)品，據(jù)估計(jì)，到2014年底下一個(gè)防火墻更新周期，60%新購(gòu)買的防火墻將是NGFW。