多数企业的网络安全是零散和破碎的,造成了不必要的业务风险与成本上升。传统的网络安全解决方案未能跟上应用、威胁和网络环境的变化。此外,在多数情况下,弥补不足的补救措施也没什么效果。现在应到了重塑网络安全的时候了。
这部分描述下一代防火墙(NGFW):下一代防火墙是什么,不是什么,以及它如何能为企业带来收益。
下一代防火墙
要把防火墙恢复成企业网络安全的基石,需要下一代防火墙能解决“核心问题”。从头开始,为了能够可视和控制所有应用类型,下一代防火墙通过应用识别分类流量-- 包括在企业网络上运行的Web2.0、企业2.0和传统应用。对下一代防火墙基本功能的要求,包括以下内容:
✓做任何事情之前,先识别应用,无论什么端口、协议、回避技术或SSL加密;
✓对应用提供一定粒度的可视和基于策略的控制,包括各项功能;
✓准确识别用户,然后使用身份信息作为策略控制的属性;
✓提供实时保护,防止威胁不断扩散,包括在应用层的操作;
✓集成(而不仅是结合)传统防火墙和网络入侵防护的功能;
✓支持千兆网络,线内部署,性能下降可以忽略不计。
传统防火墙的典型功能包括数据包过滤、网络和端口地址翻译(NAT)、状态检测和虚拟专用网络(VPN)支持。典型的入侵防御功能包括:具有特征的漏洞与威胁,和启发分析。
NGFW的关键就是使用一切传统防火墙不具备的高级功能,结合创新的识别技术、高性能和附加的基本特性,提供企业级的解决方案。
应用识别
建立端口和协议是识别应用的第一步,但这还不够。牢靠的应用识别和检查具有会话流量的粒度控制,通过防火墙基于使用的特定应用来完成,而不是仅依靠底层那一套难以区分网络通信的服务(见图4-1)。
图4-1:以应用为中心的流分类能识别跨网的特定应用流,不论使用的端口和协议。
积极的应用识别是在NGFW中心的引擎流量分类。这需要一种多因素方法来确定网络上的应用,不考虑端口、协议、加密或回避策略。在NGFW中使用的应用识别技术(见图4-2)包括:
图4-2:NGFW使用的识别应用技术,不关心端口、协议、回避策略或SSL加密。
✓应用协议检测和解密。确定该应用协议(例如,HTTP),如果使用SSL,解密该流量,以便可以进一步分析。使用了所有的识别技术后,对该流量重新加密。
✓应用协议解码。即使使用隧道隐藏其实际应用(例如,雅虎即时通嵌在HTTP内),确定最初检测到的应用协议是否是“真实的”。
✓应用特征。基于上下文特征寻找独有特性和交易特征能正确识别应用,不管使用的端口和协议。这包括在应用(如IM会话中的文件传输)内检测特定功能的能力。
✓启发。用特征分析逃避识别的流量,使用启发(或行为)分析–能够识别任何棘手的应用,如使用专有加密的P2P或VoIP工具。
用技术来准确识别应用是很重要的,但理解应用的安全隐患,通知策略制定也同样重要。IT管理人员应为客户寻找一种NGFW解决方案,应包括每个应用、它的行为和风险的信息;提供应用相关的知识,如已知的漏洞、逃避检测的能力、文件传输功能、带宽消耗、恶意件的传播和潜在的滥用等。
用户标识
用户识别技术链接IP地址到特定用户身份,可以以每个用户为基础进行网络活动的可视和控制。这需要与轻量目录访问协议(LDAP)目录紧密集成,如微软的活动目录(AD),完成这个目标需要两步走:首先,定期验证和维护用户到IP地址的关系,使用登录监视、终端站轮询和强制网络门户的技术组合。接着,与AD通信获取相关用户信息,如角色和组分配。然后有更多的细节:
✓获得可视:谁对网络上所有的应用、内容和的威胁流量负责?
✓在访问控制策略中,把身份作为一个变量使用;
✓方便故障排除/事件响应和报告。
有了用户识别,IT部门获得另一种强大的武器:用智能的方式帮助控制应用的使用。例如,由于高风险的性质,社交网络应用除了具有合法需求的个人或团体,如人力资源部门(见图4-3),将被企业禁止使用。
图4-3:为了实现基于用户的策略、报告和取证,用户识别集成了企业目录。
内容识别
内容识别为下一代防火墙增加了新的功能,这在以前的企业防火墙中闻所未闻,比如:在允许的流量内,实时预防威胁,控制网上冲浪,以及过滤文件和数据。
✓威胁预防。该组件防止来自网络渗透的间谍件、病毒和漏洞,无论他们通过什么样的应用流量。
•应用解码器。预处理数据流,检查特定的威胁标识符;
•基于流的病毒和间谍件扫描。只要接收到文件的第一包就开始扫描-- 不等整个文件传到内存 --最大化吞吐量和最小化延迟;
•统一威胁特征格式。不用为每种类型威胁提供独立的扫描引擎,因而增强的性能。在一条路径上就能检测各种病毒、间谍件和漏洞。
•漏洞攻击防护(IPS)。流量正常化和碎片整理的可靠例程结合了协议异常、行为异常和启发检测机制,以最大范围防止了已知和未知的威胁。
✓URL过滤。虽然没要求,URL过滤也是一种工具,有时用于内容分类。一个集成内置的URL数据库允许管理员监控员工和访客的网页冲浪。结合使用用户标识,Web使用策略甚至可对每个用户设置,进一步管控了企业在法律、法规和生产各方面的相关风险。
✓文件和数据过滤。利用应用的深度检测优势,文件和数据过滤能强制执行策略,减少未授权文件和数据传输的风险。功能包括了对实际类型文件(不仅基于扩展名)的阻止能力,也有控制敏感数据模式传输的能力,诸如信用卡号。这补充了应用识别的粒度,为许多应用提供了在应用内控制文件传输(如IM)的能力。
有了内容识别,IT部门获得了更多的能力:阻止威胁、减少不当的互联网使用,并防止数据泄漏-- 所有这些都无需额外投资(见图4-4)。
图4-4:内容识别统一了威胁、机密数据和URL过滤的内容扫描。
策略控制
在使用中的识别应用(应用识别),谁用它们(用户识别),用他们做什么(内容识别)是了解穿过网络流量的第一步。了解应用做什么、使用的端口、底层技术和行为是如何对待应用做出决定的下一步。一旦获得了使用的完整画面,企业可以使用策略和一系列反应,对比简单的“允许”或“拒绝”(这是传统基于端口防火墙的唯一选择)显得更细致和更适当。有可能把应用识别、用户识别、内容识别和下一代防火墙的积极安全模型相结合。传统基于端口的防火墙也有安全模型,但缺乏智能。其他安全设备可能具有一些智能,但不是安全模型。在NGFW中,策略控制选项的例子包括:
✓允许或拒绝;
✓允许,但要扫描漏洞、病毒和其他威胁;
✓允许,但要基于日程安排、用户或组;
✓解密并检查;
✓使用服务质量(QoS)进行流量整形;
✓使用基于策略的转发;
✓允许某些应用功能;
✓前述内容的任意组合。
高性能架构
如果IT管理员没能充分参与而导致NGFW性能受限,有一整套应用意识和内容检测也没什么价值。因此,从开始就选择高性能的下一代防火墙非常重要。这个问题不只是这些能力为固有资源密集的。而且有巨大的流量冲击今天的安全基础设施,更何况许多应用是时间敏感型的。即使在所有应用和威胁检测同时发生时,在重载下额定的吞吐和合理的时延应是可持续的-- 从安全角度来看这是理想的配置。
传统的安全产品,尤其是那些捆绑的功能,每个高级安全功能是独立执行的。这种多通道方法需要低级包处理例程重复多次。系统资源使用效率低下并引入了显著延迟(见图4-5)。
图4-5:传统的多通道架构
与此相反,NGFW使用单通道架构,消除了包的重复处理,从而减少了硬件负担,并最小化延时。其他创新,如定制的硬件体系结构,保持了独立的数据平面和控制平面,有助于提供一个企业级的解决方案(见图4-6)。
图4-6:单通道并行处理架构:分开的控制平面和数据平面提供企业级性能。
下一代防火墙不是什么?
有许多基于网络的安全产品执行与下一代防火墙类似的功能,但它们是不一样的。例子包括:
✓统一威胁管理(UTM)。 UTM设备托管多个安全功能,如基于端口的防火墙功能和基本的入侵防御。 UTM解决方案通常没有高性能,并仅在较小的环境中满足需求。
✓基于代理产品。代理(防火墙和高速缓存)置于源和目的地之间,靠终止应用会话并重新连接目的地来拦截和检查流量。代理代表客户端建立与目标的连接,隐藏了代理后面网络上的计算机。然而,只有有限数量的应用可以支持这种方式,因为每个应用必须有自己的代理。
✓Web应用防火墙(WAF)。WAF的目的是看管Web应用,监视由于编码错误而造成的安全问题。 WAF只负责看管第7层,而不是检查整个开放系统互联(OSI)栈。
WAF保护应用而NGFW保护网络。
✓漏洞和补丁管理。漏洞和补丁管理解决方案扫描主机中软件和操作系统的已知漏洞,验证安装的补丁和更新,纠正识别的漏洞。这不是NGFW的功能。
✓数据丢失防护(DLP)。这些解决方案使用数据匹配识别模式(如信用卡号)来保护数据的传输。这些解决方案作为网络功能实现,没有速度和延迟的实时要求。
✓安全Web网关。这些解决方案使用URL分类,强制执行关于用户访问Web网站的策略,并阻止恶意件传播。相比于NGFW,这些解决方案只有有限的能力,用户很容易规避。
✓安全消息网关。这包括了垃圾邮件过滤器和IM网关,并提供防垃圾邮件、反钓鱼保护、病毒扫描、附件过滤、内容过滤、防数据丢失、策略遵从和报告。不像NGFW,这些功能都不能实时执行,用于如电子邮件非延迟敏感性应用。
下一代防火墙的收益
下一代防火墙具有许多超过传统网络安全基础设施和解决方案的好处。这些内容包括:
✓可见和控制。NGFW提供了增强的可视和控制,使企业集中于业务相关的元素,如策略控制的应用、用户和内容,而不依赖于像端口和协议等模糊和误导的属性上,能更好、更彻底地管理风险,实现合规,同时为允许应用提供威胁预防。
✓安全功能。实现全面覆盖--为所有用户,无论他们身在何处,提供一致的系列保护和安全功能。
✓简化。降低网络安全和管理的复杂性 -- 避免使用大量的单机产品。这种做法降低了硬件成本,以及目前的“硬”运营费用,如支持、维护、软件购买、电源、暖通空调和“软”运营费用,如培训和管理。
✓IT支持。使IT部门能够对需要的应用给予最好的业务支持,使他们能自信地说“是”–使他们具有对应用识别和粒度控制的能力,同时防止浩如烟海的威胁。
