下一代防火墙NGFW技术探讨

来源:用户上传      作者:

　　摘 要：NGFW（下一代防火墙）自从2009年得到Gartner的“正名”开始，便迅速成为边界安全技术范畴最为炙手可热的话题。国内外厂商更是借势纷纷发布各自的NGFW产品，但时至今日，所谓NGFW的业界标准却依然没有形成统一。因此，在当前表现较为混乱的防火墙市场环境下，广大用户在面对形形色色的NGFW产品时，更需要关注的是本质，而非表象。
　　关键词：NGFW；标准；本质
　　1 NGFW概念
　　2009年，Gartner《定义下一代防火墙》首次对NGFW这一概念进行了释义，其关键内容如下：
　　（1）标准的第一代防火墙能力：包过滤、网络地址转换（NAT）、状态性协议检测、VPN等等。
　　（2）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。
　　（3）应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。
　　（4）额外的防火墙智能：防火墙收集外来信息来做出更好地阻止决定或建立优化的阻止规则库。
　　首先对Gartner的观点做个简单解读。包过滤、网络地址转换（NAT）、状态性协议检测、VPN等安全功能传统防火墙都能满足；“集成的而非仅仅共处一个位置的网络入侵检测”则指出NGFW需要集成IPS功能，在IPS与防火墙之间能够建立起自动化的联动机制，使IPS引擎检测到源自某个IP地址的攻击行为后，能够自动由防火墙引擎采用最简单的方式直接对其进行阻断；“应用意识和全栈可见性”更加关注应用层控制；“额外的防火墙智能”表达了NGFW应该能够通过获取外部信息，来帮助其作出更加合理与有效的安全策略。
　　通常情况下，传统防火墙定性为面向网络层安全，而NGFW则是更加关注应用层安全。通过对Gartner的NGFW定义进行解读后不难发现，其似乎更像是对当时防火墙技术发展的一个阶段性总结。
　　2 NGFW发展现状
　　在国外安全市场中，PaloAlto被认为是最先将NGFW概念应用于产品的安全厂商，其通过“App-ID”、“User-ID”和“Content-ID”来诠释NGFW产品对于“应用”、“用户”和“内容”三个方面的安全控制与可视化管理，成为了业界NGFW产品特性描述的经典。
　　反观我们身处其中的国内市场，NGFW产品的情况却显得有些复杂。从2011年开始，国内厂商陆续发布各自的下一代防火墙产品。有些厂商此前并无防火墙技术积累与市场基础，但为了满足自身发展需要，实现业务的快速扩张，便开始向防火墙市场进军，作为“新人”往往需要用些心思来体现自己的与众不同。因此，在市场策略方面，将NGFW作为市场切入点或许是这类厂商再合适不过的选择。除此以外，该类产品虽然拥有NGFW对“用户”、“应用”和“内容”进行控制的相似功能，但由于底层缺乏一套强大的安全系统架构支撑，对于一款NGFW产品而言在专业性方面明显不足，从“里”到“外”更像是在传统上网行为管理产品基础上进行的一个简单修改。也就是说，该类厂商所谓的NGFW产品实质上只是“优化后的ACM+WAF”，仅此而已！
　　3 NGFW发展方向
　　从Gartner定义下一代防火墙到现在已有五年时间，随着关于NGFW的各种讨论持续升温并且越发深入，使NGFW产品正在向着理性方向发展。真正的NGFW应该具有如下几个必要特征。
　　3.1 更精准的应用管控能力
　　下一代防火墙的应用识别引擎不仅需要识别出底层的承载协议（例如标准的HTTP协议），还能进一步区分出上层的精确应用协议类型。除此以外，相比以往的安全网关类产品，下一代防火墙更应该关注应用的识别率，而非特征库的规模。下一代防火墙对于主流网络应用的识别率应至少达到90%以上，而对于加密应用的识别率则需要达到更高标准，尤其是对带宽资源占用较大的各种P2P加密流量，只有这样，才能使我们的网络带宽资源真正得到有效控制。
　　3.2 更加关注未知威胁的识别与防御
　　下一代防火墙需要以深度、精细、高效的流量安全检测技术为基础，提供入侵防御、病毒防御、僵尸网络阻断、WEB安全防护、数据防泄漏等更为全面的应用层威胁防御能力，才能有效阻止已知的各类安全威胁。
　　面对未知威胁，下一代防火墙当然也需要提供相应防御方案。沙箱技术目前被认为是确定未知威胁最为有效的技术手段，而下一代防火墙借助沙箱技术能够为防御未知威胁提供一套更为有效的解决方案。
　　3.3 全栈高性能安全处理
　　高性能尤其是应用层高性能也是下一代防火墙必须要逾越的一道障碍。随着硬件技术的飞速发展，多核硬件架构逐渐在安全产品中得到广泛应用，主要包括X86多核与MIPS多核两个阵营。就多核技术的当前现状与发展趋势看来，X86多核技术能够为下一代防火墙突破性能瓶颈提供更加有力的硬件支撑。
　　3.4 由内而外的风险可视化设计
　　随着安全网关类产品与技术的不断发展，在业务层面，不仅使网关类产品获得了更全面的安全防护功能与更强大的数据处理能力，而管理层面的各种特性也正在成为越来越多厂商的众矢之的。其中，通过对转发的业务数据、检测的安全威胁等网络流量信息进行监控、统计和分析，并从用户、应用、内容等多维度将网络应用及安全状态为管理员提供全面的可视化图表展现，从而使通过网络传播的安全风险得到有效掌控，这些，已经成为网关产品的一个基础特性。而作为下一代防火墙产品，除了关注通过网络传输的安全风险以外，还可以在事先对源自设备内部的各种安全风险信息进行有效识别。
转载注明来源:https://www.xzbu.com/1/view-11225572.htm