什么是下一代防火墙,下一代防火墙的功能有哪些?. 2020-05-19
下一代防火墙,即Next Generation Firewall,简称NG Firewall,是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。
为什么要发展下一代防火墙?
一、 传统防火墙无法适应新的网络威胁和挑战
在网络安全的实际应用中通过安全防护体系保障网络安全,安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线,以抵御来自外部的绝大多数攻击,完成这项任务的网络边防产品我们称其为防火墙。传统防火墙可以分为四种类型,分别为包过滤、应用级网关、代理服务器和状态检测。
作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略,有效的阻断了一切未被明确允许的包通过,保护了网络的安全,过滤不安全服务、阻止非法用户和控制对特殊站点的访问。
状态检测防火墙是上一代防火墙应用最广泛的产品,但是它们面对新一代的安全威胁的作用越来越小。状态检测防火墙通过检查数据包头,分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。
然而随着网络的发展,黑客已经研究出大量的方法来绕过防火墙策略。状态检测防火墙存在着以下不足之处:1、无法检测加密的Web流量;2、普通应用程序加密后,也能轻易躲过防火墙的检测;3、对于Web 2.0应用程序防范能力不足;4、应用防护特性只适用于简单情况;5、无法扩展深度检测功能。
网络环境的新需求迫使防火墙进行根本性的变革,因而催生出革命性的防火墙产品——下一代防火墙。
二、 下一代防火墙的到来和技术突破
1. 下一代防火墙的诞生
状态检测防火墙在地址/端口的网络时代发挥了巨大作用,合理分隔了安全域,有效的阻止了外部攻击。但对于使用僵尸网络等传播方式的威胁,第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加,更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不能很好适应和奏效。
Gartner在2009年发布了一份名为《Defining the Next-Generation Firewall》,将下一代防火墙(NGFW)定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。 根据Gartner的理论,NGFW 应该是一个高性能网络安全处理平台,至少应当具备以下几个属性:
(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等;
(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。集成具有高质量的IPS引擎和特征码;
(3)应用意识和全栈可见性:识别应用和在应用层上执行的独立端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策;
(4) 额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。
2. 下一代防火墙的革新
应用识别是防火墙未来发展的重要技术方向,基于应用的攻击不断变化,也要求防御技术必须有所提升。
下一代防火墙在性能、安全性、易用性、可管理性等方面有了质的飞跃,满足用户新的防御和管理需求。相比传统防火墙和UTM(统一威胁管理,Unified Threat Management),下一代防火墙与它们的主要区别在于:
1)传统防火墙局限于IP地址、接口层面的安全防护。从基于简单包过滤技术防火墙到基于状态检测技术的防火墙,重点的防护还仅仅是停留在OSI模型的四层以内;
2)UTM是在“瘦防火墙”基础上发展而来的,集防火墙、IPS、VPN等安全功能于一体的集成安全网关,其不足之处在于处理机制烦琐,效率低下,内部安全模块间缺少智能关联;
3)下一代防火墙除了具备传统防火墙功能外,更关注针对应用层面的安全防护。实时性、准确性、高效性也成为下一代防火墙的主要特点。它会根据深度包检测引擎的检测结果,自动识别到该流量在应用层执行的安全策略。流量控制需要更“精细化”的管理,不仅仅能够对异常攻击流量进行阻止或允许动作,更可用来进行基于应用层的QoS控制,控制粒度更为细致。
三、 下一代防火墙优势和价值
1. 应用识别与控制
下一代防火墙依托先进的应用识别技术,在性能、安全性、易用性、可管理性等方面有了质的飞跃,下一代防火墙一般可识别超过上千种应用程序,而不论应用程序使用何种端口、协议、SSL、加密技术或逃避策略,有以下几种应用识别方式:
1)第一步基于协议和端口的检测 (传统防火墙做法)。固定端口小于1024的协议,其端口通常是相对稳定,可以根据端口快速识别应用。
2)基于应用特征码的识别,深入读取IP包载荷内容中的OSI中的应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型。
3)基于流量特征的识别,不同的应用类型体现在会话连接或数据流上的状态各有不同,例如,基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等;NGFW基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。
2. 用户识别与控制
通过与认证系统的完美集成,对应用程序使用者实现基于策略的可视化和控制功能。提供基于用户与用户组的访问控制策略,使管理员能够基于各个用户和用户组来查看和控制应用使用情况。在所有功能中均可获得用户信息,包括应用控制策略的制定和创建、取证调查和报表分析。
管理员亦可将用户信息编辑成Excel、TXT文件,将账户导入,实现快捷的创建用户和分组信息。 支持多种身份认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应。下一代防火墙支持为未认证通过的用户分配受限的网络访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知。
3. 内容识别与管控
下一代防火墙可以将数据包还原的内容级别进行全面的威胁检测,还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客的攻击行为,有效阻断威胁风险的发生,帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。通过内容识别技术,下一代防火墙实现了阻止病毒、间谍软件和漏洞攻击,限制未经授权的文件和敏感数据的传输,控制与工作无关的网络浏览等功能。
4. 流量管理与控制
传统防火墙的QoS流量管理策略是简单的基于数据包优先级的转发,当用户带宽流量过大、垃圾流量占据大量带宽,而这些流量来源于同一合法端口的不同非法应用时,传统防火墙的QoS无能为力。
深信服下一代防火墙提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。首先,下一代防火墙将数据流根据各种条件进行分类(如IP地址,URL,文件类型,应用类型等分类),分类后的数据包被放置于各自的分队列中,每个分类都被分配了一定带宽值,相同的分类共享带宽,当一个分类上的带宽空闲时,可以分配给其他分类,其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽,提高了带宽限制的精确度。
下一代防火墙可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,精细智能的流量管理既防止带宽滥用,提升带宽使用效率。