競(jìng)速下一代防火墻
自出現(xiàn)之日起,下一代防火墻(Next-Generation Firewall,以下簡(jiǎn)稱(chēng)NGFW)就一直在爭(zhēng)議中前行。究其原因,在于概念提出得比較超前、產(chǎn)品跟進(jìn)卻相對(duì)緩慢。
就在不久前,梭子魚(yú)與深信服在國(guó)內(nèi)先后發(fā)布了NGFW產(chǎn)品,加上產(chǎn)品已經(jīng)正式在售的SonicWall、Check Point和Palo Alto,市場(chǎng)上儼然一副山雨欲來(lái)風(fēng)滿(mǎn)樓的景象。
那么,NGFW究竟是如何定義的?它與傳統(tǒng)防火墻、UTM有哪些不同?用戶(hù)部署NGFW又需從哪些角度考慮?請(qǐng)隨我們一起走進(jìn)NGFW的神奇世界,共同領(lǐng)略這類(lèi)新產(chǎn)品的價(jià)值所在。
何謂NGFW?
什么是下一代防火墻?這一代、上一代防火墻指的又是什么?在討論NGFW之前,我們必須先正確認(rèn)識(shí)“防火墻”這個(gè)概念。
在經(jīng)歷了多次技術(shù)變革后,防火墻的概念正在變得模糊,在不同語(yǔ)境中有著不同的含義。在描述具體產(chǎn)品時(shí),防火墻大部分指代的是作用在2~4層,采用狀態(tài)檢測(cè)機(jī)制、集成IPSec VPN、支持橋/路由/NAT工作模式的訪問(wèn)控制設(shè)備;而宏觀意義上的防火墻,實(shí)際上指的是以性能為主導(dǎo)的、在網(wǎng)絡(luò)邊緣執(zhí)行多層次的訪問(wèn)控制策略、使用狀態(tài)檢測(cè)或深度包檢測(cè)機(jī)制、包含一種或多種安全功能的網(wǎng)關(guān)設(shè)備(Gateway)。國(guó)內(nèi)的廠商、用戶(hù)習(xí)慣將前者稱(chēng)為“傳統(tǒng)防火墻”,國(guó)外的分析機(jī)構(gòu)和廠商在描述產(chǎn)品形態(tài)時(shí)則更多地傾向于使用宏觀的防火墻概念,其包含了傳統(tǒng)防火墻、IPS、UTM及一些廠商市場(chǎng)推廣時(shí)宣稱(chēng)的“多功能安全網(wǎng)關(guān)”、“綜合安全網(wǎng)關(guān)”等多種產(chǎn)品形態(tài)。隨著用戶(hù)安全需求的不斷增加,廣義的防火墻必然將集成更多的安全特性。
得益于許多廠商市場(chǎng)部門(mén)行之有效的推廣工作,我們?cè)谑袌?chǎng)上可以看到不少針對(duì)NGFW概念的解釋?zhuān)幢闫渲锌赡艽嬖谥耆煌睦斫猓6鴺I(yè)內(nèi)普遍認(rèn)同的關(guān)于NGFW的定義,來(lái)自市場(chǎng)分析咨詢(xún)機(jī)構(gòu)Gartner于2009年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文章。Gartner注意到,在應(yīng)用模式、業(yè)務(wù)流程和安全威脅不斷變化的今天,傳統(tǒng)防火墻已經(jīng)無(wú)法滿(mǎn)足用戶(hù)的需求。即便在此基礎(chǔ)上再加入IPS,也很難有效識(shí)別并阻止存在濫用行為的應(yīng)用程序。在這種形勢(shì)下,Gartner定義了“NGFW”這個(gè)術(shù)語(yǔ)來(lái)形容防火墻的必然發(fā)展階段,以應(yīng)對(duì)攻擊行為和業(yè)務(wù)流程使用IT方式的變化。
在Gartner看來(lái),NGFW應(yīng)該是一個(gè)線(xiàn)速(wire-speed)網(wǎng)絡(luò)安全處理平臺(tái),定位于企業(yè)網(wǎng)絡(luò)防火墻(Enterprise Network Firewall,F(xiàn)irewall指宏觀意義上的防火墻)市場(chǎng)。這里的企業(yè)指的是大型企業(yè),國(guó)內(nèi)很大一部分都?xì)w為行業(yè)用戶(hù)范疇。NGFW在功能上至少應(yīng)當(dāng)具備以下幾個(gè)屬性:
傳統(tǒng)防火墻:NGFW必須擁有傳統(tǒng)防火墻所提供的所有功能,如基于連接狀態(tài)的訪問(wèn)控制、NAT、VPN等。雖然我們總是在說(shuō)傳統(tǒng)防火墻已經(jīng)不能滿(mǎn)足需求,但它仍然是一種無(wú)可替代的基礎(chǔ)性訪問(wèn)控制手段。
支持與防火墻自動(dòng)聯(lián)動(dòng)的集成化IPS:在同一硬件內(nèi)集成IPS功能是必須的,但這不是Gartner想表達(dá)的重點(diǎn)。該機(jī)構(gòu)認(rèn)為,NGFW內(nèi)置的防火墻與IPS之間應(yīng)該具有聯(lián)動(dòng)的功能,例如IPS檢測(cè)到某個(gè)IP地址不斷地發(fā)送惡意流量,可以直接告知防火墻并由其來(lái)做更簡(jiǎn)單有效的阻止。這個(gè)告知與防火墻策略生成的過(guò)程應(yīng)當(dāng)是由NGFW自動(dòng)完成的,而不再需要管理員介入。比起前些年流行的傳統(tǒng)防火墻/IDS間的聯(lián)動(dòng)機(jī)制,這次升級(jí)并不是一個(gè)特別高深的技術(shù)進(jìn)步,但我們必須承認(rèn)它能讓管理和安全業(yè)務(wù)處理變得更簡(jiǎn)單、高效。
應(yīng)用識(shí)別、控制與可視化:NGFW必須具有以與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進(jìn)行應(yīng)用識(shí)別的能力,并執(zhí)行訪問(wèn)控制策略。例如允許用戶(hù)使用QQ的文本聊天、文件傳輸功能但不允許進(jìn)行語(yǔ)音視頻聊天,或者允許使用WebMail收發(fā)郵件但不允許附加文件等。應(yīng)用識(shí)別帶來(lái)的額外好處是可以合理優(yōu)化帶寬的使用情況,保證關(guān)鍵業(yè)務(wù)的暢通。雖然嚴(yán)格意義上來(lái)講應(yīng)用流量?jī)?yōu)化(俗稱(chēng)應(yīng)用QoS)不是一個(gè)屬于安全范疇的特性,但P2P下載、在線(xiàn)視頻等網(wǎng)絡(luò)濫用確實(shí)會(huì)導(dǎo)致業(yè)務(wù)中斷等嚴(yán)重安全事件。
智能化聯(lián)動(dòng):獲取來(lái)自“防火墻外面”的信息,做出更合理的訪問(wèn)控制,例如從域控制器上獲取用戶(hù)身份信息,將權(quán)限與訪問(wèn)控制策略聯(lián)系起來(lái),或是來(lái)自URL Filter判定的惡意地址的流量直接由防火墻去阻擋,而不再浪費(fèi)IPS的資源去判定。我們理解這個(gè)“外面”也可以是NGFW本體內(nèi)的其他安全業(yè)務(wù),它們應(yīng)該像之前提到的IPS那樣與防火墻形成緊密的耦合關(guān)系,實(shí)現(xiàn)自動(dòng)聯(lián)動(dòng)的效果(如思科的“云火墻”解決方案)。
除此之外,文檔中也提到了NGFW在部署、升級(jí)方面的一些規(guī)定,但并未做更多的強(qiáng)制性約束。正如文章作者、Gartner研究副總裁Greg Young在接受本報(bào)記者采訪時(shí)強(qiáng)調(diào)的那樣,集成傳統(tǒng)防火墻、可與之聯(lián)動(dòng)的IPS、應(yīng)用管控/可視化和智能化聯(lián)動(dòng)就是NGFW要具備的四大基本要素。
發(fā)現(xiàn)用戶(hù)需求及產(chǎn)品形態(tài)變化的并不只Gartner一家,國(guó)際著名第三方安全產(chǎn)品評(píng)測(cè)機(jī)構(gòu)NSSLabs也在今年正式開(kāi)始了NGFW產(chǎn)品的公開(kāi)測(cè)試工作。從官方發(fā)布的信息來(lái)看,該機(jī)構(gòu)基本認(rèn)同Gartner對(duì)NGFW的定義,只是在智能化聯(lián)動(dòng)方面并未做過(guò)多的強(qiáng)制性要求,但突出了對(duì)用戶(hù)/用戶(hù)組的控制能力。從測(cè)試的角度出發(fā),NSSLabs的工程師對(duì)產(chǎn)品配置的復(fù)雜度和易用性都有很深刻的了解,他們的觀點(diǎn)可以代表許多用戶(hù)。此外,該機(jī)構(gòu)還認(rèn)為企業(yè)并沒(méi)有準(zhǔn)備在數(shù)據(jù)中心中用任何方案替換獨(dú)立的IPS設(shè)備,所以NGFW集成的IPS模塊應(yīng)該提供對(duì)客戶(hù)端保護(hù)(主要在特征庫(kù)方面體現(xiàn))在內(nèi)的完整方案,并且將針對(duì)于此的配置歸納到預(yù)定義策略模版中去。
NGFW產(chǎn)品加入應(yīng)用識(shí)別后的訪問(wèn)控制量效果 #p#
NGFW與UTM:
競(jìng)合或互補(bǔ),但非競(jìng)爭(zhēng)
需要注意的是,不同機(jī)構(gòu)對(duì)NGFW做出的定義都是最小化的功能集合。站在廠商的角度,勢(shì)必要根據(jù)自身技術(shù)積累的情況,在產(chǎn)品上集成更多的安全功能。這導(dǎo)致不同廠商的NGFW產(chǎn)品在功能上可能存在差異,同時(shí)更像一個(gè)大而全的集中化解決方案,給用戶(hù)造成了很混亂的印象。我們?cè)诓稍L中聽(tīng)到用戶(hù)最多的也是最經(jīng)典的反問(wèn)就是:NGFW不就是一個(gè)加強(qiáng)型的UTM么?
實(shí)際上,這里提到的NGFW和UTM都是對(duì)廠商包裝后的產(chǎn)品的認(rèn)知,已經(jīng)脫離了最原始的定義。市場(chǎng)分析咨詢(xún)機(jī)構(gòu)IDC曾經(jīng)這樣定義UTM:這是一類(lèi)集成了常用安全功能的設(shè)備,必須包括傳統(tǒng)防火墻、網(wǎng)絡(luò)入侵檢測(cè)與防護(hù)和網(wǎng)關(guān)防病毒功能,并且可能會(huì)集成其他一些安全或網(wǎng)絡(luò)特性。所有這些功能不一定要打開(kāi),但是這些功能必須集成在一個(gè)硬件中。IDC對(duì)UTM的定義無(wú)疑是非常聰明的,它簡(jiǎn)單明了,讓人易于接受并容易做出判斷。“所有功能不一定要打開(kāi)”這句話(huà),除了說(shuō)明安全業(yè)務(wù)要由用戶(hù)需求決定外,也考慮了早年間硬件平臺(tái)的實(shí)際處理能力。而安全業(yè)務(wù)的集成化,也確實(shí)符合當(dāng)時(shí)的市場(chǎng)需求。有了這樣一個(gè)寬泛的準(zhǔn)入條件,UTM的概念一經(jīng)推出便受到廠商與用戶(hù)的一致認(rèn)同,市場(chǎng)份額迅速擴(kuò)大,成長(zhǎng)為目前安全市場(chǎng)上的主流產(chǎn)品。
與IDC的寬松態(tài)度不同,Gartner在其市場(chǎng)分析報(bào)告中對(duì)UTM產(chǎn)品形態(tài)則有著更為細(xì)致的描述。該機(jī)構(gòu)在調(diào)研后認(rèn)為,除了傳統(tǒng)防火墻與IPS,UTM至少還應(yīng)該具有VPN、URL過(guò)濾和內(nèi)容過(guò)濾的能力,并且將網(wǎng)關(guān)防病毒的要求擴(kuò)大至反惡意軟件(包括病毒、木馬、間諜軟件等)范疇。另一方面,Gartner對(duì)UTM的用戶(hù)群體有著自己的看法,認(rèn)為該產(chǎn)品主要面對(duì)1000人以下的中小企業(yè)或分支機(jī)構(gòu)。這類(lèi)用戶(hù)通常對(duì)性能沒(méi)有太高要求,看中的是產(chǎn)品的易用性和集成安全業(yè)務(wù)乃至網(wǎng)絡(luò)特性(如無(wú)線(xiàn)規(guī)格、無(wú)線(xiàn)管理、廣域網(wǎng)加速)的豐富度。實(shí)際上,Gartner之前一直使用SMB多功能防火墻(SMB Multifunction Firewalls,這里的Firewall也指宏觀意義上的防火墻)來(lái)描述這類(lèi)產(chǎn)品,只是在2010年因?yàn)閁TM這個(gè)名稱(chēng)被市場(chǎng)普遍接受,才在分析報(bào)告中修改了稱(chēng)謂。該機(jī)構(gòu)認(rèn)為它與NGFW集成安全功能的差異主要體現(xiàn)在時(shí)延敏感性上——作為邊緣網(wǎng)關(guān),NGFW必須滿(mǎn)足時(shí)延敏感型應(yīng)用的需求,與之有悖的功能不適合出現(xiàn)在NGFW上。而從Gartner針對(duì)其他產(chǎn)品市場(chǎng)的分析報(bào)告中可以推斷,安全Web網(wǎng)關(guān)(Secure Web Gateway)似乎是該機(jī)構(gòu)認(rèn)為的NGFW聯(lián)合部署的理想對(duì)象,此外獨(dú)立的WAF、反垃圾郵件產(chǎn)品也應(yīng)被考慮。
通過(guò)上面的分析,我們可以得出明確的結(jié)論:至少在Gartner看來(lái),UTM和NGFW只是針對(duì)不同級(jí)別用戶(hù)的需求,對(duì)宏觀意義上的防火墻的功能進(jìn)行了更有針對(duì)性的歸納總結(jié),是互為補(bǔ)充的關(guān)系。無(wú)論從產(chǎn)品與技術(shù)發(fā)展角度還是市場(chǎng)角度看,它們與IDC定義的UTM一樣,都是不同時(shí)間情況下對(duì)邊緣網(wǎng)關(guān)集成多種安全業(yè)務(wù)的階段性描述,其出發(fā)點(diǎn)就是用戶(hù)需求變化產(chǎn)生的牽引力。對(duì)此,美國(guó)飛塔有限公司創(chuàng)始人、CTO、工程副總裁謝華在接受記者采訪時(shí)有著非常精辟的總結(jié):“UTM的概念在不斷地進(jìn)化,包含了越來(lái)越多的安全功能。但像500強(qiáng)那樣的大企業(yè)對(duì)UTM的接納相對(duì)保守,不過(guò)他們也開(kāi)始從獨(dú)立的安全設(shè)備開(kāi)始轉(zhuǎn)向集成化的道路,其關(guān)注重點(diǎn)就是Gartner定義的以傳統(tǒng)防火墻與IPS為基礎(chǔ)元素的NGFW——UTM進(jìn)化中的一個(gè)細(xì)化分支。無(wú)論如何,我們將看見(jiàn)安全功能整合的革命將繼續(xù)進(jìn)行下去。”
途牛旅游網(wǎng)的工程師們?cè)谂渲肗GFW #p#
NGFW產(chǎn)品
現(xiàn)狀
理論上的定義總是滯后于用戶(hù)需求和技術(shù)發(fā)展,從市場(chǎng)上可以購(gòu)買(mǎi)到的實(shí)際產(chǎn)品來(lái)看,NGFW集成的安全功能已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)了咨詢(xún)機(jī)構(gòu)給出的最小化定義。雖然不同廠商在功能提供上還存在差異,但大家的目標(biāo)都是一樣的,那就是功能最大化集成,性能(產(chǎn)品規(guī)格)通吃低端到高端,這與Gartner細(xì)分功能、用戶(hù)群體的追求有很大出入。其實(shí)廠商這樣做無(wú)可厚非,只有功能模塊化加系統(tǒng)平臺(tái)化的方式才能做到成本最低和利潤(rùn)最大化。
近日,記者走訪了發(fā)布了NGFW產(chǎn)品的5個(gè)廠商和部分用戶(hù),梳理出一些國(guó)內(nèi)用戶(hù)在選型時(shí)最關(guān)注/最值得關(guān)注的功能和評(píng)估經(jīng)驗(yàn),供讀者參考。
應(yīng)用識(shí)別、控制與可視化:作為NGFW定義中明確要求具備的特性,應(yīng)用識(shí)別、控制與可視化可以解決給企業(yè)用戶(hù)帶來(lái)極大壓力的網(wǎng)絡(luò)濫用問(wèn)題,受到了所有受訪用戶(hù)的關(guān)注。而5家提供NGFW產(chǎn)品的廠商均表示,該功能已經(jīng)成為各自產(chǎn)品中的標(biāo)準(zhǔn)配置,也就是說(shuō),即便用戶(hù)在購(gòu)買(mǎi)時(shí)不包含其他任何安全功能的使用許可,也會(huì)得到一個(gè)“應(yīng)用防火墻”形態(tài)的產(chǎn)品,我們認(rèn)為這也將成為未來(lái)NGFW產(chǎn)品商業(yè)模式方面的常態(tài)。但多數(shù)受訪廠商也希望用戶(hù)認(rèn)識(shí)到,NGFW產(chǎn)品只能做到上網(wǎng)行為管理產(chǎn)品中基于應(yīng)用的訪問(wèn)控制與優(yōu)化功能,并不提供法規(guī)遵從及審計(jì)相關(guān)的特性,不存在完全的取代關(guān)系。
全方位的本土化:應(yīng)用特征庫(kù)的本土化是影響NGFW產(chǎn)品使用效果的關(guān)鍵因素,每一個(gè)廠商都需在協(xié)議種類(lèi)與更新響應(yīng)速度方面做出最大努力。采訪中有用戶(hù)就抱怨,目前使用的國(guó)外某UTM產(chǎn)品在IPS模塊中雖然也集成了對(duì)應(yīng)用的識(shí)別控制功能,但擴(kuò)充更新速度太慢,以至于上線(xiàn)不久就失去了對(duì)迅雷等頻繁更新應(yīng)用的控制能力,同時(shí)全英文的操作/報(bào)表界面也加大了使用難度,對(duì)于IT管理效率有著不可忽視的影響。
對(duì)此,SonicWALL中國(guó)研發(fā)中心總經(jīng)理陳中在接受采訪時(shí)有針對(duì)性地提到,目前該公司的NGFW產(chǎn)品在每次系統(tǒng)版本更新后1~2個(gè)月內(nèi)即可提供中文版,并且有專(zhuān)人負(fù)責(zé)國(guó)內(nèi)應(yīng)用特征的添加與維護(hù),達(dá)到平時(shí)每周1次、緊急情況下1天響應(yīng)的更新頻率。而以?xún)?nèi)容和應(yīng)用安全起家的深信服科技在這方面顯然也有著先天性的優(yōu)勢(shì),該公司技術(shù)總監(jiān)殷浩表示,本土化的應(yīng)用識(shí)別和應(yīng)用防護(hù)功能是NGFW用戶(hù)獲得良好使用體驗(yàn)的基礎(chǔ),深信服目前使用的識(shí)別引擎已經(jīng)能夠辨析600多種應(yīng)用,可以滿(mǎn)足不同部署場(chǎng)景的要求。
用戶(hù)識(shí)別與控制/統(tǒng)一的策略框架:雖然它們不全是Gartner的NGFW定義中的強(qiáng)制性功能,但我們發(fā)現(xiàn)目前所有的NGFW產(chǎn)品都有提供,并且在此領(lǐng)域做著更加深入的嘗試。NGFW應(yīng)當(dāng)可以通過(guò)獲取域控制器信息或Web認(rèn)證等手段,做到IP與用戶(hù)身份的綁定,再通過(guò)統(tǒng)一的策略框架進(jìn)行更加直觀、簡(jiǎn)單的權(quán)限定義。據(jù)Palo Alto公司創(chuàng)始人、首席架構(gòu)師毛宇明介紹,該公司的NGFW產(chǎn)品將用戶(hù)識(shí)別與應(yīng)用識(shí)別、內(nèi)容識(shí)別并列為3大核心功能,最大化地融合了用戶(hù)權(quán)限與策略配置的描述,例如“允許市場(chǎng)部門(mén)的所有員工從任何位置訪問(wèn)新浪微博”、“只允許IT部門(mén)員工從特定位置使用SSH、Telnet、遠(yuǎn)程桌面應(yīng)用”等等,并且這種融合會(huì)讓報(bào)表更具實(shí)用價(jià)值。
集中管理平臺(tái):NGFW集成了更多的安全功能,我們認(rèn)為在管理尤其是集中管理上還應(yīng)該給行業(yè)用戶(hù)提供更強(qiáng)大、易用的解決方案。梭子魚(yú)網(wǎng)絡(luò)有限公司中國(guó)區(qū)技術(shù)總監(jiān)谷新就特別提到,該公司在集中管理平臺(tái)的構(gòu)建上投入了很大精力,可以管理維護(hù)多達(dá)數(shù)千臺(tái)NGFW產(chǎn)品。該平臺(tái)還結(jié)合獨(dú)特的圖形化管理維護(hù)技術(shù),利用業(yè)界獨(dú)特的“梭子魚(yú)NG地球”特性,使分布網(wǎng)絡(luò)的管理變得簡(jiǎn)單高效。
在實(shí)驗(yàn)室級(jí)別的測(cè)試方面,目前業(yè)界對(duì)出現(xiàn)在市場(chǎng)上不久的NGFW產(chǎn)品還沒(méi)有一個(gè)公認(rèn)的測(cè)試標(biāo)準(zhǔn),甚至獨(dú)立的測(cè)試報(bào)告都寥寥無(wú)幾。NSSLabs曾經(jīng)在幾個(gè)月前發(fā)布了針對(duì)Check Point Power-1 11065的單品測(cè)試報(bào)告,這也是該機(jī)構(gòu)第一次發(fā)布NGFW類(lèi)別的測(cè)試報(bào)告。我們從中可以看出,針對(duì)NGFW產(chǎn)品的測(cè)試方法可以理解為在傳統(tǒng)防火墻和IPS測(cè)試的基礎(chǔ)上,補(bǔ)充了針對(duì)用戶(hù)/應(yīng)用的識(shí)別與控制能力的測(cè)試。據(jù)Check Point中國(guó)區(qū)技術(shù)經(jīng)理劉剛介紹,該產(chǎn)品在測(cè)試中有著非常優(yōu)秀的性能表現(xiàn),在防火墻、身份識(shí)別以及應(yīng)用程序控制執(zhí)行的各項(xiàng)評(píng)測(cè)中取得100%的有效率,成為業(yè)界首個(gè)獲得NSSLabs NGFW“推薦”級(jí)別的廠商。但用戶(hù)也應(yīng)認(rèn)識(shí)到,實(shí)驗(yàn)室環(huán)境中的測(cè)試結(jié)果代表了一種特殊的應(yīng)用場(chǎng)景,在選型時(shí)還應(yīng)結(jié)合自身業(yè)務(wù)需求尋找更多的評(píng)估依據(jù)。例如未來(lái)如果打算啟用DLP功能,就一定要關(guān)注重組大小、解碼種類(lèi)等方面的限制,最好能創(chuàng)造環(huán)境去測(cè)試設(shè)備在此條件下的最差性能。此外,我們注意到NSSLabs在應(yīng)用識(shí)別與控制測(cè)試中使用的多為歐美地區(qū)流行的應(yīng)用樣本,國(guó)內(nèi)用戶(hù)應(yīng)當(dāng)重點(diǎn)考察NGFW產(chǎn)品對(duì)迅雷、新浪微博、開(kāi)心網(wǎng)等本土熱門(mén)應(yīng)用的識(shí)別與控制能力。
防火墻技術(shù)發(fā)展簡(jiǎn)介
從技術(shù)發(fā)展角度看,到目前為止,防火墻大致經(jīng)歷了4代變革。
首先出現(xiàn)在市場(chǎng)上的是包過(guò)濾防火墻,這類(lèi)產(chǎn)品可以根據(jù)IP數(shù)據(jù)包的五元組(源地址、目的地址、源端口、目的端口、協(xié)議類(lèi)型)做訪問(wèn)控制,代表性的產(chǎn)品是具備ACL能力的路由器。因?yàn)樘幚磉壿嫳容^簡(jiǎn)單,包過(guò)濾防火墻可以做到相對(duì)較高的性能。
包過(guò)濾防火墻的缺點(diǎn)是處理不夠智能,不能很好地適應(yīng)網(wǎng)絡(luò)應(yīng)用發(fā)展的需要,所以逐步被使用狀態(tài)檢測(cè)技術(shù)(Stateful Packet Inspextion,SPI)的防火墻所取代。狀態(tài)檢測(cè)機(jī)制在基于五元組執(zhí)行包過(guò)濾的基礎(chǔ)上引入了會(huì)話(huà)的概念,維護(hù)一個(gè)全局的連接狀態(tài)表,使訪問(wèn)控制功能更加完善、易用。即便在今天,它仍然是絕大多數(shù)防火墻或UTM產(chǎn)品中最基礎(chǔ)的處理模塊,其地位不可動(dòng)搖。
應(yīng)用代理防火墻則采用了與狀態(tài)檢測(cè)完全不同的處理機(jī)制,改由透明代理中斷連接、重組數(shù)據(jù)。雖然這種技術(shù)可以做到非常細(xì)粒度的訪問(wèn)控制,但僅支持有限的應(yīng)用協(xié)議,只適用于非常特殊的應(yīng)用場(chǎng)景。并且該機(jī)制注定了相對(duì)較低的執(zhí)行效率,不易于性能的提升(用過(guò)ISA的朋友可以仔細(xì)體會(huì))。也許是時(shí)間比較久遠(yuǎn),我們并不記得曾經(jīng)測(cè)試過(guò)這類(lèi)硬件產(chǎn)品,只是在一些使用狀態(tài)檢測(cè)機(jī)制的防火墻上看到它以功能模塊的形式出現(xiàn)。如果您在正在使用的防火墻上看到了針對(duì)HTTP、FTP、SMTP等常見(jiàn)協(xié)議的指令級(jí)或字符串級(jí)的過(guò)濾功能,不妨嘗試開(kāi)啟一下,看看是不是會(huì)對(duì)性能造成很大影響。截至目前為止,可能只有國(guó)標(biāo)中所定義的安全審計(jì)產(chǎn)品仍然在使用應(yīng)用代理機(jī)制。
而深度包檢測(cè)技術(shù)(Deep Packet Inspection,DPI)則可以看做是性能與功能平衡的產(chǎn)物,它在狀態(tài)檢測(cè)技術(shù)的基礎(chǔ)上,嘗試對(duì)數(shù)據(jù)流中更多的內(nèi)容進(jìn)行檢測(cè),以在資源消耗較少的情況下提供部分應(yīng)用代理級(jí)別的安全性。正如名稱(chēng)中強(qiáng)調(diào)的那樣,大部分采用深度包檢測(cè)的設(shè)備依然不會(huì)去做太多的重組工作,僅依靠特征比對(duì)的方式執(zhí)行更復(fù)雜的訪問(wèn)控制策略。IDS與IPS就是使用這種技術(shù)的標(biāo)志性產(chǎn)品,它們表現(xiàn)出來(lái)的性能雖然比起使用狀態(tài)檢測(cè)機(jī)制的傳統(tǒng)防火墻還有一定的差距,卻遠(yuǎn)高于使用應(yīng)用代理機(jī)制的產(chǎn)品。近年來(lái),DPI在不斷改進(jìn)中又衍生出深度流檢測(cè)技術(shù)(Deep Flow Inspection,DFI),以更好地實(shí)現(xiàn)各類(lèi)安全特性。
NGFW產(chǎn)品選購(gòu)指南
用戶(hù)在選購(gòu)NGFW產(chǎn)品時(shí)肯定會(huì)感到更多的困惑。一方面,UTM和NGFW短期內(nèi)不存在取代關(guān)系,經(jīng)過(guò)包裝推廣的產(chǎn)品在形態(tài)上會(huì)越來(lái)越相似。另一方面,NGFW必然還會(huì)加入更多的安全特性,從著名信息安全培訓(xùn)機(jī)構(gòu)SANS的專(zhuān)家結(jié)合現(xiàn)有產(chǎn)品和用戶(hù)需求給出的未來(lái)NGFW產(chǎn)品將需集成的功能列表來(lái)看,目前市場(chǎng)上所有主流安全技術(shù)都被涵蓋在內(nèi)。亂花漸欲迷人眼,用戶(hù)(尤其是中小企業(yè)用戶(hù))難免會(huì)像幾年前剛接觸UTM那樣,產(chǎn)生一種不理智的選購(gòu)心態(tài)。
所以,用戶(hù)在選型前必須先明確自己的需求是什么,再利用NGFW體系結(jié)構(gòu)上的集成化優(yōu)勢(shì)對(duì)未來(lái)部署做出合理性的規(guī)劃,否則必將帶來(lái)過(guò)猶不及的負(fù)面效果。途牛旅游網(wǎng)的資深網(wǎng)絡(luò)工程師吳康就談到這樣的體會(huì):該公司在明確自身安全需求后,選擇了NGFW產(chǎn)品取代UTM搭配上網(wǎng)行為管理的方案,保護(hù)包括訂單系統(tǒng)在內(nèi)的在線(xiàn)OA平臺(tái)。經(jīng)過(guò)長(zhǎng)達(dá)半年的細(xì)致測(cè)試,途牛旅游網(wǎng)的IT團(tuán)隊(duì)在用戶(hù)身份關(guān)聯(lián)的基礎(chǔ)上逐步實(shí)現(xiàn)了策略的統(tǒng)一配置,成功地在滿(mǎn)足需求的同時(shí)大幅提升了管理效率。
由此可見(jiàn),充分的測(cè)試也是必不可少的環(huán)節(jié),鑒于大部分用戶(hù)都會(huì)同時(shí)啟用NGFW產(chǎn)品提供的多種功能,我們建議無(wú)論是否進(jìn)行實(shí)驗(yàn)室級(jí)別的測(cè)試,都要做至少3個(gè)月以上的、結(jié)合自身業(yè)務(wù)需求的上線(xiàn)測(cè)試,盡可能地與原有信息系統(tǒng)磨合,排除潛在隱患。
