看防火墙进化,论次世代防火墙技术


		关于冰盾 \| 使用条款 \| 网站地图

看防火墙进化,论次世代防火墙技术

看防火墙进化,论次世代防火墙技术

作者：冰盾防火墙　网站：www.bingdun.com　日期：2014-08-30

随着网络安全威胁的手法越来越多，传统防火墙功能早就已经有鞭长莫及之感。在这样的状况下，逐渐出现称作次世代防火墙(Next Generation Firewall，NGFW)的产品，不少调查机构与研究单位，也开始发表对于NGFW的定义。

    这让人不禁开始想探究，到底什么样的设备，才能被称为NGFW？而NGFW又会替企业的网络架构带来什么样的改变？目前NGFW还没有一个肯定的定义，但是对于企业来说，很多现有产品和研究报告所归纳出来的线索，或许已经可以提供给企业使用者在选购符合未来需求的设备时，一条明路。

    NGFW没有统一定义，但功能已有明确方向

    虽然目前NGFW还没有一个统一的定义，不过很多功能已经是众所公认为NGFW应该要具备的功能。其中最重要的，就是NGFW必须要有能力辨识应用层，看到不同应用程序的流量;在这之后，还必须要能够针对不同应用内细部的不同功能，做到管控的能力。举例来说，可以把Skype的文件传输功能关闭，但保留其他的功能。

    或许透过不同研究机构的报告，可以更贴切的描述NGFW该具备的功能。2009年10月，调查机构Gartner推出了一份名为”Defining the Next Generation Firewall”报告，里面对于他们心目中的次世代防火墙，就提供了几个应该具备功能的定义。Gartner列出的几点NGFW该具备的功能如下：能够做为封包检测或安全政策执行的据点;并且拥有传统防火墙的功能，如NAT、封包过滤、VPN、传输协定检测等。除此之外，NGFW还需要具备有IDP的功能，并且有能力和防火墙的功能互相沟通，必要时可以透过防火墙阻断危险的流量。

    在这些功能之外，Gartner在报告中也特别提到了应用程序流量辨识的能力，并且把这项能力视为NGFW的重点之一。也就是说，NGFW必须提供可视度(Visibility)，不光是像过去的防火墙一样，只是透过特徵和连接池的号码来管控流量，还必须有能力看得懂第七层应用层，辨识流经的不同流量，分别属于哪些应用、哪些人使用、透过什么装置使用等信息。

    因此，该份报告中还指出，NGFW必须有能力取得其他设备提供的信息，进而透过这些信息达到阻断恶意流量的效果。举例来说，NGFW可能要能够和身分辨识的AD架构、RADIUS等设备沟通，取得使用者身分的信息，然后辅以应用辨识的能力，将不合企业内安全政策与可能的恶意威胁流量阻断，并且能够快速的辨识出使用者位在何方。

    最后，报告中谈到，NGFW还必须具备客制化扩充的能力，如此一来，在面对新威胁时，才能快速的反应。Gartner这份报告，排除了传统UTM和中小企业，并且也不列入DLP(Data Leakage Prevention)、Web安全闸道器、信息安全闸道器等功能，报告中认为，这些功能都不算是NGFW需要必备的功能。

    不过另一个安全训练与研究机构SANS(SysAdmin、Audit、Network、Security)协会，所定义的NGFW，则又是另一番面貌。SANS在2009年2月发表了一份探讨NGFW功能的报告，在其中指出，NGFW应该是除了具备传统防火墙功能外，还能提供包括基础DLP、NAC(Network Access Control)、IDP、防蠕虫、防中介软件、网站过滤、VPN、SSL Proxy、QoS等功能。

    SANS还在该份报告中指出，现有市面号称为NGFW的产品，在DLP、NAC、SSL Proxy这三项功能的提供上比较欠缺，未来NGFW的发展，应该要往增加这些功能的方向前进。

    同时，报告中也指出NGFW所能带来的优势与可能面临的挑战。首先，由于NGFW能够整合了多种不同功能在单一设备上，于是部分对于时效性要求特别高的功能，如IPS与防火墙的联防，就能更有效率，也比较不会有互通上的难度。举例来说，当网站过滤的功能侦测到有使用者连上恶意的网站，就能快速的透过防火墙阻断连线，或是导引到其他地方。报告中也指出，这一点优势是十分重要的能力，因为根据研究，当使用者连上恶意位址而感染了恶意程序后，一般来说网络上的安全设备，如IDP等，要发现这项威胁，往往都在感染已经发生了数天或数月之后，无法防范于未然。此外，这样的做法也可以省下多数设备的投资，提供企业经济上的效益;并且管理和控管上也更为简便。

    不过SANS的报告中也明白的指出，反过来看，这会让企业的网络安全防护更容易倾向只依赖少数的厂商，因为功能都整合到单一设备上，有可能会是一个隐忧。另外就是效能的问题，要提供这么多功能，效能很有可能会是瓶颈。SANS的报告中并没有排除DLP功能和UTM设备，从这一点来看，该份报告所描述的功能细节比起Gartner更为详细，但相对的包含的功能也比较发散。

    更灵活的架构与扩充性，也将成为重点

    由上述两份针对NGFW所做的报告内容，应该已经可以掌握NGFW大概的方向。不过毕竟这些报告主要针对的还是网络上单点设备的描述，事实上，随着虚拟化技术的发展，网络安全的需求已经越来越需要从网络架构的整体面来考量。因此，我们还可以再进一步归纳出报告中没有谈到的重点，那就是灵活的架构与扩充性。

    更灵活的架构除了前述报告中谈到的客制化能力，还有一点很重要的就是硬件资源透过虚拟化技术进行分配的能力。举例来说，NGFW很有可能有能力可以将多台防火墙串连虚拟为单一的防火墙设备，或是将单台防火墙虚拟为多台小型的防火墙，达到分开处理流量的效果。而同时这些虚拟技术，都将让NGFW在分配硬件资源上更灵活，而不再受限于实体的限制。目前已经有不少网络安全设备厂商，已经在往这个方面发展，或是已经有类似的功能，如Juniper、Fortinet等。

    而为了达到更灵活分配硬件资源的目标，NGFW其实还有一个发展趋势很值得注意，那就是软、硬件功能脐带割离的趋势。未来的NGFW，功能将不会再受到硬件的限制，取而代之的，将会逐渐转向以”空白的硬件”的方式，让设备的扩充性更佳。

    接下来我们将列出NGFW应具备的6项重要功能，这些功能都是透过归纳市面上的产品现状，辅以各家调查机构所列出重点的整理而成。Gartner在报告中，建议企业现在在选择防火墙这样的设备时，已经可以逐渐往NGFW的功能考量。而整理出的这6项功能，也同样希望能够提供读者对NGFW这个概念有一定的认识。