下一代防火墻：四、用下一代防火墻解決問(wèn)題

　　多數(shù)企業(yè)的網(wǎng)絡(luò)安全是零散和破碎的，造成了不必要的業(yè)務(wù)風(fēng)險(xiǎn)與成本上升。傳統(tǒng)的網(wǎng)絡(luò)安全解決方案未能跟上應(yīng)用、威脅和網(wǎng)絡(luò)環(huán)境的變化。此外，在多數(shù)情況下，彌補(bǔ)不足的補(bǔ)救措施也沒(méi)什么效果?，F(xiàn)在應(yīng)到了重塑網(wǎng)絡(luò)安全的時(shí)候了。

　　這部分描述下一代防火墻(NGFW)：下一代防火墻是什么，不是什么，以及它如何能為企業(yè)帶來(lái)收益。

　　下一代防火墻

　　要把防火墻恢復(fù)成企業(yè)網(wǎng)絡(luò)安全的基石，需要下一代防火墻能解決“核心問(wèn)題”。從頭開(kāi)始，為了能夠可視和控制所有應(yīng)用類(lèi)型，下一代防火墻通過(guò)應(yīng)用識(shí)別分類(lèi)流量-- 包括在企業(yè)網(wǎng)絡(luò)上運(yùn)行的Web2.0、企業(yè)2.0和傳統(tǒng)應(yīng)用。對(duì)下一代防火墻基本功能的要求，包括以下內(nèi)容：

　　?做任何事情之前，先識(shí)別應(yīng)用，無(wú)論什么端口、協(xié)議、回避技術(shù)或SSL加密;

　　?對(duì)應(yīng)用提供一定粒度的可視和基于策略的控制，包括各項(xiàng)功能;

　　?準(zhǔn)確識(shí)別用戶，然后使用身份信息作為策略控制的屬性;

　　?提供實(shí)時(shí)保護(hù)，防止威脅不斷擴(kuò)散，包括在應(yīng)用層的操作;

　　?集成(而不僅是結(jié)合)傳統(tǒng)防火墻和網(wǎng)絡(luò)入侵防護(hù)的功能;

　　?支持千兆網(wǎng)絡(luò)，線內(nèi)部署，性能下降可以忽略不計(jì)。

　　傳統(tǒng)防火墻的典型功能包括數(shù)據(jù)包過(guò)濾、網(wǎng)絡(luò)和端口地址翻譯(NAT)、狀態(tài)檢測(cè)和虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)支持。典型的入侵防御功能包括：具有特征的漏洞與威脅，和啟發(fā)分析。

　　NGFW的關(guān)鍵就是使用一切傳統(tǒng)防火墻不具備的高級(jí)功能，結(jié)合創(chuàng)新的識(shí)別技術(shù)、高性能和附加的基本特性，提供企業(yè)級(jí)的解決方案。

　　應(yīng)用識(shí)別

　　建立端口和協(xié)議是識(shí)別應(yīng)用的第一步，但這還不夠。牢靠的應(yīng)用識(shí)別和檢查具有會(huì)話流量的粒度控制，通過(guò)防火墻基于使用的特定應(yīng)用來(lái)完成，而不是僅依靠底層那一套難以區(qū)分網(wǎng)絡(luò)通信的服務(wù)(見(jiàn)圖4-1)。

　　圖4-1：以應(yīng)用為中心的流分類(lèi)能識(shí)別跨網(wǎng)的特定應(yīng)用流，不論使用的端口和協(xié)議。

　　積極的應(yīng)用識(shí)別是在NGFW中心的引擎流量分類(lèi)。這需要一種多因素方法來(lái)確定網(wǎng)絡(luò)上的應(yīng)用，不考慮端口、協(xié)議、加密或回避策略。在NGFW中使用的應(yīng)用識(shí)別技術(shù)(見(jiàn)圖4-2)包括：

　　圖4-2：NGFW使用的識(shí)別應(yīng)用技術(shù)，不關(guān)心端口、協(xié)議、回避策略或SSL加密。

　　?應(yīng)用協(xié)議檢測(cè)和解密。確定該應(yīng)用協(xié)議(例如，HTTP)，如果使用SSL，解密該流量，以便可以進(jìn)一步分析。使用了所有的識(shí)別技術(shù)后，對(duì)該流量重新加密。

　　?應(yīng)用協(xié)議解碼。即使使用隧道隱藏其實(shí)際應(yīng)用(例如，雅虎即時(shí)通嵌在HTTP內(nèi))，確定最初檢測(cè)到的應(yīng)用協(xié)議是否是“真實(shí)的”。

　　?應(yīng)用特征?；谏舷挛奶卣鲗ふ要?dú)有特性和交易特征能正確識(shí)別應(yīng)用，不管使用的端口和協(xié)議。這包括在應(yīng)用(如IM會(huì)話中的文件傳輸)內(nèi)檢測(cè)特定功能的能力。

　　?啟發(fā)。用特征分析逃避識(shí)別的流量，使用啟發(fā)(或行為)分析–能夠識(shí)別任何棘手的應(yīng)用，如使用專(zhuān)有加密的P2P或VoIP工具。

　　用技術(shù)來(lái)準(zhǔn)確識(shí)別應(yīng)用是很重要的，但理解應(yīng)用的安全隱患，通知策略制定也同樣重要。IT管理人員應(yīng)為客戶尋找一種NGFW解決方案，應(yīng)包括每個(gè)應(yīng)用、它的行為和風(fēng)險(xiǎn)的信息;提供應(yīng)用相關(guān)的知識(shí)，如已知的漏洞、逃避檢測(cè)的能力、文件傳輸功能、帶寬消耗、惡意件的傳播和潛在的濫用等。

　　用戶標(biāo)識(shí)

　　用戶識(shí)別技術(shù)鏈接IP地址到特定用戶身份，可以以每個(gè)用戶為基礎(chǔ)進(jìn)行網(wǎng)絡(luò)活動(dòng)的可視和控制。這需要與輕量目錄訪問(wèn)協(xié)議(LDAP)目錄緊密集成，如微軟的活動(dòng)目錄(AD)，完成這個(gè)目標(biāo)需要兩步走：首先，定期驗(yàn)證和維護(hù)用戶到IP地址的關(guān)系，使用登錄監(jiān)視、終端站輪詢(xún)和強(qiáng)制網(wǎng)絡(luò)門(mén)戶的技術(shù)組合。接著，與AD通信獲取相關(guān)用戶信息，如角色和組分配。然后有更多的細(xì)節(jié)：

　　?獲得可視：誰(shuí)對(duì)網(wǎng)絡(luò)上所有的應(yīng)用、內(nèi)容和的威脅流量負(fù)責(zé)?

　　?在訪問(wèn)控制策略中，把身份作為一個(gè)變量使用;

　　?方便故障排除/事件響應(yīng)和報(bào)告。

　　有了用戶識(shí)別，IT部門(mén)獲得另一種強(qiáng)大的武器：用智能的方式幫助控制應(yīng)用的使用。例如，由于高風(fēng)險(xiǎn)的性質(zhì)，社交網(wǎng)絡(luò)應(yīng)用除了具有合法需求的個(gè)人或團(tuán)體，如人力資源部門(mén)(見(jiàn)圖4-3)，將被企業(yè)禁止使用。

　　圖4-3：為了實(shí)現(xiàn)基于用戶的策略、報(bào)告和取證，用戶識(shí)別集成了企業(yè)目錄。

　　內(nèi)容識(shí)別

　　內(nèi)容識(shí)別為下一代防火墻增加了新的功能，這在以前的企業(yè)防火墻中聞所未聞，比如：在允許的流量?jī)?nèi)，實(shí)時(shí)預(yù)防威脅，控制網(wǎng)上沖浪，以及過(guò)濾文件和數(shù)據(jù)。

　　?威脅預(yù)防。該組件防止來(lái)自網(wǎng)絡(luò)滲透的間諜件、病毒和漏洞，無(wú)論他們通過(guò)什么樣的應(yīng)用流量。

　　?應(yīng)用解碼器。預(yù)處理數(shù)據(jù)流，檢查特定的威脅標(biāo)識(shí)符;

　　?基于流的病毒和間諜件掃描。只要接收到文件的第一包就開(kāi)始掃描-- 不等整個(gè)文件傳到內(nèi)存 --最大化吞吐量和最小化延遲;

　　?統(tǒng)一威脅特征格式。不用為每種類(lèi)型威脅提供獨(dú)立的掃描引擎，因而增強(qiáng)的性能。在一條路徑上就能檢測(cè)各種病毒、間諜件和漏洞。

　　?漏洞攻擊防護(hù)(IPS)。流量正常化和碎片整理的可靠例程結(jié)合了協(xié)議異常、行為異常和啟發(fā)檢測(cè)機(jī)制，以最大范圍防止了已知和未知的威脅。

　　?URL過(guò)濾。雖然沒(méi)要求，URL過(guò)濾也是一種工具，有時(shí)用于內(nèi)容分類(lèi)。一個(gè)集成內(nèi)置的URL數(shù)據(jù)庫(kù)允許管理員監(jiān)控員工和訪客的網(wǎng)頁(yè)沖浪。結(jié)合使用用戶標(biāo)識(shí)，Web使用策略甚至可對(duì)每個(gè)用戶設(shè)置，進(jìn)一步管控了企業(yè)在法律、法規(guī)和生產(chǎn)各方面的相關(guān)風(fēng)險(xiǎn)。

　　?文件和數(shù)據(jù)過(guò)濾。利用應(yīng)用的深度檢測(cè)優(yōu)勢(shì)，文件和數(shù)據(jù)過(guò)濾能強(qiáng)制執(zhí)行策略，減少未授權(quán)文件和數(shù)據(jù)傳輸?shù)娘L(fēng)險(xiǎn)。功能包括了對(duì)實(shí)際類(lèi)型文件(不僅基于擴(kuò)展名)的阻止能力，也有控制敏感數(shù)據(jù)模式傳輸?shù)哪芰?，諸如信用卡號(hào)。這補(bǔ)充了應(yīng)用識(shí)別的粒度，為許多應(yīng)用提供了在應(yīng)用內(nèi)控制文件傳輸(如IM)的能力。

　　有了內(nèi)容識(shí)別，IT部門(mén)獲得了更多的能力：阻止威脅、減少不當(dāng)?shù)幕ヂ?lián)網(wǎng)使用，并防止數(shù)據(jù)泄漏-- 所有這些都無(wú)需額外投資(見(jiàn)圖4-4)。

　　圖4-4：內(nèi)容識(shí)別統(tǒng)一了威脅、機(jī)密數(shù)據(jù)和URL過(guò)濾的內(nèi)容掃描。

　　策略控制

　　在使用中的識(shí)別應(yīng)用(應(yīng)用識(shí)別)，誰(shuí)用它們(用戶識(shí)別)，用他們做什么(內(nèi)容識(shí)別)是了解穿過(guò)網(wǎng)絡(luò)流量的第一步。了解應(yīng)用做什么、使用的端口、底層技術(shù)和行為是如何對(duì)待應(yīng)用做出決定的下一步。一旦獲得了使用的完整畫(huà)面，企業(yè)可以使用策略和一系列反應(yīng)，對(duì)比簡(jiǎn)單的“允許”或“拒絕”(這是傳統(tǒng)基于端口防火墻的唯一選擇)顯得更細(xì)致和更適當(dāng)。有可能把應(yīng)用識(shí)別、用戶識(shí)別、內(nèi)容識(shí)別和下一代防火墻的積極安全模型相結(jié)合。傳統(tǒng)基于端口的防火墻也有安全模型，但缺乏智能。其他安全設(shè)備可能具有一些智能，但不是安全模型。在NGFW中，策略控制選項(xiàng)的例子包括：

　　?允許或拒絕;

　　?允許，但要掃描漏洞、病毒和其他威脅;

　　?允許，但要基于日程安排、用戶或組;

　　?解密并檢查;

　　?使用服務(wù)質(zhì)量(QoS)進(jìn)行流量整形;

　　?使用基于策略的轉(zhuǎn)發(fā);

　　?允許某些應(yīng)用功能;

　　?前述內(nèi)容的任意組合。

　　高性能架構(gòu)

　　如果IT管理員沒(méi)能充分參與而導(dǎo)致NGFW性能受限，有一整套應(yīng)用意識(shí)和內(nèi)容檢測(cè)也沒(méi)什么價(jià)值。因此，從開(kāi)始就選擇高性能的下一代防火墻非常重要。這個(gè)問(wèn)題不只是這些能力為固有資源密集的。而且有巨大的流量沖擊今天的安全基礎(chǔ)設(shè)施，更何況許多應(yīng)用是時(shí)間敏感型的。即使在所有應(yīng)用和威脅檢測(cè)同時(shí)發(fā)生時(shí)，在重載下額定的吞吐和合理的時(shí)延應(yīng)是可持續(xù)的-- 從安全角度來(lái)看這是理想的配置。

　　傳統(tǒng)的安全產(chǎn)品，尤其是那些捆綁的功能，每個(gè)高級(jí)安全功能是獨(dú)立執(zhí)行的。這種多通道方法需要低級(jí)包處理例程重復(fù)多次。系統(tǒng)資源使用效率低下并引入了顯著延遲(見(jiàn)圖4-5)。

　　圖4-5：傳統(tǒng)的多通道架構(gòu)

　　與此相反，NGFW使用單通道架構(gòu)，消除了包的重復(fù)處理，從而減少了硬件負(fù)擔(dān)，并最小化延時(shí)。其他創(chuàng)新，如定制的硬件體系結(jié)構(gòu)，保持了獨(dú)立的數(shù)據(jù)平面和控制平面，有助于提供一個(gè)企業(yè)級(jí)的解決方案(見(jiàn)圖4-6)。

　　圖4-6：?jiǎn)瓮ǖ啦⑿刑幚砑軜?gòu)：分開(kāi)的控制平面和數(shù)據(jù)平面提供企業(yè)級(jí)性能。

　　下一代防火墻不是什么?

　　有許多基于網(wǎng)絡(luò)的安全產(chǎn)品執(zhí)行與下一代防火墻類(lèi)似的功能，但它們是不一樣的。例子包括：

　　?統(tǒng)一威脅管理(UTM)。 UTM設(shè)備托管多個(gè)安全功能，如基于端口的防火墻功能和基本的入侵防御。 UTM解決方案通常沒(méi)有高性能，并僅在較小的環(huán)境中滿足需求。

　　?基于代理產(chǎn)品。代理(防火墻和高速緩存)置于源和目的地之間，靠終止應(yīng)用會(huì)話并重新連接目的地來(lái)攔截和檢查流量。代理代表客戶端建立與目標(biāo)的連接，隱藏了代理后面網(wǎng)絡(luò)上的計(jì)算機(jī)。然而，只有有限數(shù)量的應(yīng)用可以支持這種方式，因?yàn)槊總€(gè)應(yīng)用必須有自己的代理。

　　?Web應(yīng)用防火墻(WAF)。WAF的目的是看管Web應(yīng)用，監(jiān)視由于編碼錯(cuò)誤而造成的安全問(wèn)題。 WAF只負(fù)責(zé)看管第7層，而不是檢查整個(gè)開(kāi)放系統(tǒng)互聯(lián)(OSI)棧。

　　WAF保護(hù)應(yīng)用而NGFW保護(hù)網(wǎng)絡(luò)。

　　?漏洞和補(bǔ)丁管理。漏洞和補(bǔ)丁管理解決方案掃描主機(jī)中軟件和操作系統(tǒng)的已知漏洞，驗(yàn)證安裝的補(bǔ)丁和更新，糾正識(shí)別的漏洞。這不是NGFW的功能。

　　?數(shù)據(jù)丟失防護(hù)(DLP)。這些解決方案使用數(shù)據(jù)匹配識(shí)別模式(如信用卡號(hào))來(lái)保護(hù)數(shù)據(jù)的傳輸。這些解決方案作為網(wǎng)絡(luò)功能實(shí)現(xiàn)，沒(méi)有速度和延遲的實(shí)時(shí)要求。

　　?安全Web網(wǎng)關(guān)。這些解決方案使用URL分類(lèi)，強(qiáng)制執(zhí)行關(guān)于用戶訪問(wèn)Web網(wǎng)站的策略，并阻止惡意件傳播。相比于NGFW，這些解決方案只有有限的能力，用戶很容易規(guī)避。

　　?安全消息網(wǎng)關(guān)。這包括了垃圾郵件過(guò)濾器和IM網(wǎng)關(guān)，并提供防垃圾郵件、反釣魚(yú)保護(hù)、病毒掃描、附件過(guò)濾、內(nèi)容過(guò)濾、防數(shù)據(jù)丟失、策略遵從和報(bào)告。不像NGFW，這些功能都不能實(shí)時(shí)執(zhí)行，用于如電子郵件非延遲敏感性應(yīng)用。

　　下一代防火墻的收益

　　下一代防火墻具有許多超過(guò)傳統(tǒng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和解決方案的好處。這些內(nèi)容包括：

　　?可見(jiàn)和控制。NGFW提供了增強(qiáng)的可視和控制，使企業(yè)集中于業(yè)務(wù)相關(guān)的元素，如策略控制的應(yīng)用、用戶和內(nèi)容，而不依賴(lài)于像端口和協(xié)議等模糊和誤導(dǎo)的屬性上，能更好、更徹底地管理風(fēng)險(xiǎn)，實(shí)現(xiàn)合規(guī)，同時(shí)為允許應(yīng)用提供威脅預(yù)防。

　　?安全功能。實(shí)現(xiàn)全面覆蓋--為所有用戶，無(wú)論他們身在何處，提供一致的系列保護(hù)和安全功能。

　　?簡(jiǎn)化。降低網(wǎng)絡(luò)安全和管理的復(fù)雜性 -- 避免使用大量的單機(jī)產(chǎn)品。這種做法降低了硬件成本，以及目前的“硬”運(yùn)營(yíng)費(fèi)用，如支持、維護(hù)、軟件購(gòu)買(mǎi)、電源、暖通空調(diào)和“軟”運(yùn)營(yíng)費(fèi)用，如培訓(xùn)和管理。

　　?IT支持。使IT部門(mén)能夠?qū)π枰膽?yīng)用給予最好的業(yè)務(wù)支持，使他們能自信地說(shuō)“是”–使他們具有對(duì)應(yīng)用識(shí)別和粒度控制的能力，同時(shí)防止浩如煙海的威脅。