下一代防火墻有效應對安全新變化
防火墻必須演進,能夠更主動地阻止新威脅(例如僵尸網和定位攻擊)。隨著攻擊變得越來越復雜,企業必須更新網絡防火墻和入侵防御能力來保護業務系統。
不斷變化的業務流程、企業部署的技術以及威脅正推動對網絡安全性的新需求。不斷增長的帶寬需求和新應用架構(如Web 2.0)正在改變協議的使用方式和數據的傳輸方式。安全威脅將焦點集中在誘使易受攻擊的用戶安裝試圖避免被檢測出的針對性的惡意執行程序上。在這種環境中,簡單地強制要求在標準端口上使用合適的協議和阻止尋找未修補的服務器的攻擊不再有足夠的價值。為了應對這些挑戰,防火墻必須演進為Gartner稱之為“下一代防火墻(NGFW)”的產品。如果防火墻廠商不進行這些改變的話,企業將要求降價來降低第一代防火墻的成本并尋求其他安全解決方案來應對新的威脅環境。
什么是NGFW?
對于使用僵尸網傳播方式的威脅,第一代防火墻基本上是看不到的。隨著面向服務的架構和Web 2.0使用的增加,更多的通信通過更少的端口(如HTTP和HTTPS)和使用更少的協議傳輸,這意味著基于端口/協議的政策已經變得不太合適和不太有效。深度包檢測入侵防御系統(IPS)的確檢查針對沒有打補丁的操作系統和軟件的已知攻擊方法,但不能有效地識別和阻止應用程序的濫用,更不要說應用程序中的特殊特性了。
Gartner將網絡防火墻定義為在不同信任級別的網絡之間實時執行網絡安全政策的聯機控制。Gartner使用“下一代防火墻”這個術語來說明防火墻在應對業務流程使用IT的方式和攻擊試圖入侵業務系統的方式發生的變化時必要的演進。
NGFW至少具有以下屬性:
支持聯機“bump-in-the-wire”配置,不中斷網絡運行。
發揮網絡傳輸流檢查和網絡安全政策執行平臺的作用,至少具有以下特性:
1,標準的第一代防火墻能力:包過濾、網絡地址轉換(NAT)、狀態性協議檢測、VPN等等。
2,集成的而非僅僅共處一個位置的網絡入侵檢測:支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應當大于這兩部分效果的總和,例如提供防火墻規則來阻止某個地址不斷向IPS加載惡意傳輸流。這個例子說明,在NGFW中,應該由防火墻建立關聯,而不是操作人員不得不跨控制臺部署解決方案。集成具有高質量的IPS引擎和特征碼是NGFW的一個主要特征。
3,應用意識和全棧可見性:識別應用和在應用層上執行獨立于端口和協議,而不是根據純端口、純協議和純服務的網絡安全政策。例子包括允許使用Skype但關閉Skype中的文件共享或始終阻止GoToMyPC。
4,額外的防火墻智能:防火墻收集外來信息來做出更好的阻止決定,或建立優化的阻止規則庫。例子包括利用目錄集成將阻止行為與用戶身份綁在一起,或建立地址的黑白名單。
支持新信息饋送和新技術集成的升級路徑來應對未來的威脅。
NGFW執行的例子包括阻止細粒度的網絡安全政策違規或發出報警,如使用Web郵件、匿名服務器、對等網絡技術或PC遠程控制。簡單地根據目的IP地址來阻止對提供這些服務的已知源地址的訪問是不夠的。政策的顆粒度要求僅阻止某些類型的應用與目的IP地址的通信,而允許其他類型的應用與這些目的IP地址通信。轉向器使確定的黑名單不可能實現,這意味著有許多NGFW可以識別和阻止的不受歡迎的應用,即使這些應用被設計為逃避檢查或用SSL加密。應用識別的一個額外好處是帶寬控制,因為,消除了不受歡迎的對等網絡傳輸流可以大大減少帶寬的使用。
什么不是NGFW?
現在有一些與NGFW相鄰但不相等的基于網絡的安全產品領域:
中小企業多功能防火墻或UTM設備:這類設備是提供多種安全功能的單一設備。盡管它們總是包含第一代防火墻和IPS功能,但它們不提供應用意識功能,而且不是通常集成的、單引擎產品。它們適合于在分支辦事機構中節省費用,適用于較小的公司,但它們不能滿足大型企業的需要。這類產品包括與低質量IPS搭配的第一代防火墻,并且/或者深度檢查和應用控制特性只不過同時出現在一臺設備中而不是緊密的集成。
基于網絡的數據丟失防御(DLP)設備:這類設備執行對網絡傳輸流的深度包檢查,但將重點放在檢測以前識別的數據類型是否經過檢查點。它們在執行數據安全政策時沒有實時要求,不能執行線速度網絡安全政策。
安全Web網關(SWG):這類設備側重于通過集成的URL過濾和Web殺毒,執行出站的用戶訪問控制和進站的惡意件防御。它們側重于在“使用任意協議的任意源到任意目的地”基礎上,執行以用戶為中心的Web安全政策,而不是網絡安全政策。
消息安全網關:這類設備重點放在執行容忍延時的出站內容政策和執行入站防垃圾郵件和防惡意件上。它們不執行線速度網絡安全政策。
盡管這些產品可能基于網絡并使用類似的技術,但它們執行屬于企業內不同運營部門的責任和權力的安全政策。Gartner認為在IT和安全組織責任從根本上改變之前,這些領域不會融合在一起。
NGFW也不是“身份防火墻”,不是一種基于身份的訪問控制機制。在多數環境中,網絡安全部門沒有在應用層上執行基于用戶的訪問控制政策的責任和權力。Gartner認為NGFW將能夠在部門級合并身份信息來做出更好的網絡安全決定,但它們一般將不用于執行細粒度的用戶級執行決定。
NGFW將逐漸成功
目前,有一些已經將他們的產品升級為提供應用意識和一些NGFW特性的防火墻和IPS廠商和一些關注NGFW能力的新興公司。隨著防火墻和IPS更新周期的自然到來,或者隨著帶寬需求的增加,或者隨著成功的攻擊促使更新防火墻,大企業將用NGFW替換已有的防火墻。Gartner認為不斷變化的威脅環境以及不斷變化的業務和IT流程,將促使網絡安全經理在他們的下一個防火墻/IPS更新周期時尋找NGFW。NGFW廠商成功的關鍵將是以同樣或略高于第一代防火墻的價格,提供包含NGFW能力又具有第一代防火墻和IPS特性的NGFW。
目前僅有不到1%的Internet連接采用NGFW來保護。我們認為到2014年底,這個數字將增加到占安裝基礎的35%,60%新購買的防火墻將是NGFW。
關鍵結論
第一代防火墻提供的狀態性協議過濾和有限的應用意識在對付當前和新出現的威脅時不再有效。
與優化的組合平臺相比,使用分離的防火墻和入侵防御設施導致更高的運營成本,并且沒有提高安全性。
可以檢測針對特定應用的攻擊和執行針對特定應用的細粒度安全政策(不管是入站還是出站傳輸流)的下一代防火墻(NGFW)正在出現。
NGFW在與其他安全控制層結合時最為有效。
建議
如果你還沒有部署入侵檢測,到了更新防火墻時,要求廠商提供NGFW。
如果你已經部署了網絡防火墻和網絡入侵檢測系統,同步這兩種技術的更新周期,向NGFW遷移。
如果你使用托管的外圍防線安全服務,在下一次更新合同時,將服務升級為NGFW服務。
【編輯推薦】
