利用下一代防火牆（NGFW）提升網路邊界安全防禦能力

利用下一代防火牆（NGFW）提升網路邊界安全防禦能力

文 | 李夢君、李強

近年來，隨著計算機互聯網技術的飛速發展，全球網路化進程的不斷加深，信息技術創新應用已經滲透到各個行業當中，涉及政府、軍事、金融、教育等諸多領域，數字化智能網路已經成為社會發展的重要組成部分。

但是，隨著網路規模和複雜性不斷增大，傳統網路邊界逐漸變得模糊或者消失，同時，網路的攻擊技術不斷革新，新型安全威脅不斷湧現。這使得原有安全防護策略體系出現了各種各樣的問題，傳統的信息安全1.0時代的防護技術已經顯得力不從心。

相比信息安全1.0傳統防護體系，網路安全2.0新一代防禦體系，更加強調從靜態防護到動態防禦的轉變，從單點安全防護到安全能力聚合的轉變，從基於特徵防護到基於異常深度檢測的轉變，從已知風險處置到未知威脅防禦的轉變。

下一代防火牆作為網路安全2.0時代的典型技術產品，如何能夠提升組織機構網路邊界防禦能力呢？筆者通過這篇文章作一個簡單的分析。

一、傳統防火牆在邊界安全防禦中所面臨的不足

防火牆一般作為網路的出口設備，用來抵禦來自網路外部的安全攻擊。但是，現在很多安全攻擊可以通過攻擊開放埠、偽裝攻擊報文、應用層攻擊等手段，輕而易舉的繞過傳統防火牆的檢測。可以說，傳統防火牆已經無法應對當前高水平的網路攻擊，其不足主要表現在以下幾個方面。

1.1 基於五元組的ACL具有局限性

防火牆從發明至今，一直使用五元組（源IP地址、目的IP地址，源埠、目的埠以及協議）方式的ACL為網路訪問進行保駕護航，但在移動互聯及雲計算新的網路行為模式下，越來越多的應用通過80埠進行服務，而五元組卻無法進行有效區分，導致許多黑客應用通過80、8080等常見埠進入系統內部。

1.2 不能提供L2-L7層攻擊防護

提起五元組，就不得不提包過濾，包過濾技術正是建立在五元組的基礎上使用較為廣泛的網路安全實踐方法。我們日常使用IP在網路中進行數據通訊，必須確定的就是五元組，正是這種不可或缺性，讓傳統的網路安全設備選擇通過基於包過濾來檢測、限制或更改跨越它的數據流，但是它主要針對的是TCP/IP協議的三四層，無法對更高層協議的協議進行有效防護。

1.3 埠檢測機制失去了應用的作用

在傳統場景下，一個埠對應一個服務，但現在越來越多的應用具有埠跳變能力，應用在一個埠上被阻塞，會自動選擇其它埠進行嘗試。所以，埠檢測的作用日漸式微，基於埠阻斷的傳統防火牆也失去了作用。同時，使用非常見埠就是一種常用的方法，而這種場景要想傳統防火牆準確檢測是非常困難的。

1.4 粗粒度訪問控制導致誤報率較高

依靠ACL規則堆疊來進行檢測和攔截，對準確率和誤報率之間的平衡是極大的挑戰，首先，過於粗放的的規則可能無法識別到攻擊行為，而過於細粒度的規則所產生的誤報對於用戶來說也無異於滅頂之災，它會把正常用戶的訪問流量拒絕掉，這種噎廢食的行為實在令人難以接受。

1.5 基於特徵的機制無法防範未知威脅

基於ACL的設備之所以能識別威脅、防範攻擊，主要是依據特徵庫，它需要及時的搜集攻擊特徵，並升級特徵庫。但特徵收集本身的難度就比較大，而且對於新型攻擊往往沒有效果。再者，目前黑客攻擊時所發送的數據報文和正常報文沒有差別，傳統安全設備很難識別這種攻擊意圖，從而成為其發展的另一大瓶頸。

1.6 傳統防火牆安全架構存在極大性能風險

一般具備防禦功能的安全設備都是串聯（多設備串聯或UTM）在網路當中，在此情況下基本上所有的數據報文都要穿過設備，如果防護的應用變多或數據包數量增加，設備的硬體資源的使用率會急速上升，極大的提升了設備單點故障的可能性，最終不但起不到防護作用，設備本身也成為了加大的風險點。

二、下一代防火牆應具有的關鍵能力指標

下一代防火牆在傳統防火牆的基礎上，對安全防護的廣度、深度進一步進行擴展，同時可以實現自身各個功能的融合以及與其他安全產品功能的聯動，實現基於應用層構建安全、主動防禦、多威脅檢測機制智能融合。

2.1 基於業務／應用／用戶的細粒度訪問控制

在可以隨時接入互聯網的企業網路環境下，員工的工作效率是許多企業需要考慮的重要問題。因此，用戶和應用程序控制是下一代防火牆的必備功能。

應用程序控制要比埠和協議控制高級的多，它可以基於用戶身份、角色，網頁應用的特徵來建立詳細的控制策略，更高級的控制還包括擴充用戶組、域名、安全傳輸層協議（TLS）的匹配，以及用報告、日誌和統計報表形式表現出來的用戶信息和應用程序使用細節。

業務應用識別技術有兩個重要指標，即可識別的應用總數和其應用庫的更新速度。下一代防火牆必須具備對大量業務應用進行識別與分析的能力。

2.2 深度數據包檢測（DPI）能力

深度數據包檢測（DPI）是另一個NGFW的必備功能。它能確保數據包的各個組成部分被完整的檢測，以識別畸形包、錯誤、已知攻擊和其他異常數據。

DPI能夠快速識別並阻止木馬、病毒、垃圾郵件、入侵行為，以及其他違反正常通信協議的行為。數據包分析通過各種方法實施，包括基於數據流的檢測，漏洞特徵、策略配置、協議識別、數據標準化，以及明文HTTP和加密HTTPS連接。配備深度數據包檢測能力的下一代防火牆，還能夠提供動態更新服務，常規性的自動地更新推薦的策略配置和基於漏洞的指紋保護。

2.3 高級逃避技術（AET）防範能力

高級逃避技術（AET）可以發動複合攻擊、動態改變攻擊方法，從多種協議層實施攻擊，最終目的是躲過安全檢測，把惡意內容或程序傳入系統。

具備AET防範能力的下一代防火牆可以跨越多層協議對流量進行完整檢測，並提供全棧式（full-stack）多層流量標準化的解構和拆分數據包。當AET防範正確的構建到NGFW中時，即使最完全的數據分析和標準化也不會影響網路性能。

智能下一代防火牆異常行為檢測引擎通過對業務系統的正常運行狀態進行學習，建立起幾十個維度的業務動態安全模型，依靠這個模型能夠檢測出網路異常行為，進而判斷是哪種網路攻擊。

2.4 多層面深度集成、智能聯動能力

下一代防火牆多層面集成不是功能模塊和引擎的堆砌，而是一種深度的集成，將各種安全功能融入一個獨立的架構中，這一切的主要目的，則是為了提升安全檢測效率和安全防護水平。所以，下一代防火牆各安全模塊間可開展有機聯動，各模塊產生的信息可實現全維度關聯，使NGFW具備強大的模塊間安全協同能力和威脅情報聚合能力。

下一代防火牆要具備極強的用戶身份鑒別能力，以及將應用識別及身份鑒別與安全策略整合的能力，這樣才真正做到辨別「誰在什麼地方訪問了什麼應用」。同時，下一代防火牆還應能夠與其它網路安全產品，如網路監控工具、日誌伺服器、認證伺服器、網路訪問控制(NAC)產品和外部Web/電子郵件安全解決方案進行互動。

2.5 威脅分類、可視化和智能分析能力

下一代防火牆還必須具備對應用威脅的分類和分析能力，能夠對所有應用進行多維度分類，將應用按照類型、威脅大小、實現技術和功能特點進行歸類，並最終通過一個應用過濾器方便用戶篩選出一個更精確的應用集中來制定策略，這樣才可以提供更安全的應用環境。

下一代防火牆還應具備良好的可視化和智能分析能力，幫助用戶看得清威脅，防得住攻擊。在多維統計的基礎上加以深入的分析，從應用和用戶視角多層面的將網路應用的狀態展現出來。同時，通過引入外部威脅情報，實現安全態勢感知和風險預測功能，以幫助用戶更加快速的了解網路風險並及時部署防禦措施。

2.6 高度可用性和抗壓性能力

下一代防火牆至少應融合IPS的防護，同時各廠家根據各自的理解還集成了其他更多的功能，但是有的廠商集成過多功能，甚至是集成Web應用防火牆這樣產品功能，嚴重導致NGFW性能下降，甚至出現死機現象。業內權威機構認為，優秀的下一代防火牆產品開啟IPS功能後整機性能下降不應超過50%，下一代防火牆功能完備性不能以顯著的性能衰減為代價。

大多數人認為，即使在系統維護期間，企業網路的停止運行也是無法接受的。要想達到系統的高度可用性和抗壓力性，一個關鍵點就是在你的NGFW中使用雙活集群（Active-Active Clustering）。AAC可以讓系統在維護和更新期間持續運行，並在密集應用程序進程佔用過多的系統性能時保持一定的抗壓。集群則保證在服務不中斷的情況下，逐個節點的進行升級，在系統維護時也可與不同的軟體版本或硬體型號一起運行。

2.7 虛擬化、適應雲架構部署

隨著越來越多的組織將核心業務遷移至公有雲，用戶期望現有的防火牆管理體系能夠平滑過渡至雲端，對雲端的業務數據和流量進行同等級別的保護。下一代防火牆適應雲架構部署也是大勢所趨。

使用虛擬化可以輕鬆獨立的部署即綜合又複雜的安全基礎設施。每一種虛擬化應用都能充當一個獨立的角色，運行自己的軟體版本和操作系統。虛擬化環境提供一種，把安全配置入口邏輯分隔成單獨管理實例的方法，而這一切只建立在一台下一代防火牆上。這種方法對於安全服務管理提供商來說，提供了一種理想的方便的多客戶管理工作模式。

三、總結

當下，面對日漸複雜、攻擊變化多端、病毒木馬橫行的互聯網環境，下一代防火牆的出現是大勢所趨，它可以解決傳統防火牆所不能解決的問題。

雖然，目前下一代防火牆還存在著這樣或樣的問題，或者有些標榜為下一代防火牆的防火牆並不是真的下一代防火牆，但是，我深信下一代防火牆的推出順應了大勢所趨，必然會在未來大顯身手，為用戶提供更好的網路安全體驗。

如果覺得內容不錯，歡迎關注微信公共號（微信號ID：WeYanXPJ）獲得後續更新；如需閱讀以前文章，請在公共號後台查看歷史消息。