林鴻

福州職業(yè)技術(shù)學(xué)院 福建 350108

0 引言

2011年歲未，網(wǎng)絡(luò)上盛傳許多網(wǎng)站、論壇數(shù)據(jù)庫遭黑客攻擊，密碼、賬號被盜的“泄露門”事件，頻頻攪動了國內(nèi)互聯(lián)網(wǎng)安全的神經(jīng)。截至2011年12月29日，國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)通過公開渠道獲得疑似泄露的數(shù)據(jù)庫有26個，涉及賬號、密碼 2.78億條。在這場中國互聯(lián)網(wǎng)有史以來波及面最廣、規(guī)模最大的泄密事件中，人們不禁拷問，企業(yè)的防火墻、IPS(入侵防御系統(tǒng))、UTM(統(tǒng)一威脅管理)都怎么啦？也在深入思考，在面對當(dāng)今熱門的數(shù)據(jù)中心整合和互聯(lián)、云計算、移動計算環(huán)境下更為分散和全方位的安全需求時，傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)體系，是否還能擔(dān)當(dāng)信息安全的防范重任，我們需要什么樣的網(wǎng)絡(luò)安全防范產(chǎn)品。下一代防火墻(Next Generation Firewall,NGFW)，這個近來在業(yè)界得到廠商熱捧的新一代的網(wǎng)關(guān)安全產(chǎn)品，能否面對互聯(lián)網(wǎng)的安全現(xiàn)狀，在應(yīng)用模式、業(yè)務(wù)流程、安全威脅不斷變化的今天挑起大梁，迎接挑戰(zhàn)？它是一個什么樣的安全產(chǎn)品，與傳統(tǒng)的安全產(chǎn)品有什么不同，硬件架構(gòu)的設(shè)計做了什么改進，能實現(xiàn)什么樣的安全功能，技術(shù)性能上有哪些特色，都值得我們加以關(guān)注和討論。

1 什么是下一代防火墻

防火墻產(chǎn)品從上世紀(jì)九十年代使用至今，雖經(jīng)系統(tǒng)架構(gòu)和軟件形態(tài)的多次改進和革新，但在應(yīng)對和識別目前日趨復(fù)雜的混合性安全威脅時已顯力不從心，應(yīng)運而生的一款全新安全產(chǎn)品NGFW是否會取代傳統(tǒng)防火墻、IPS、UTM，成為未來網(wǎng)絡(luò)安全防御的主流產(chǎn)品，它能否解決網(wǎng)絡(luò)新環(huán)境下產(chǎn)生的新安全隱患，NGFW究竟是一個什么樣的產(chǎn)品？

關(guān)于NGFW，業(yè)界普遍認(rèn)同的定義來自市場分析咨詢機構(gòu) Gartner于 2009年 10月發(fā)布的一份名為《Defining the Next-Generation Firewall》的文章。Gartner認(rèn)為，NGFW應(yīng)該是一個線速的網(wǎng)絡(luò)安全處理平臺，可執(zhí)行深層流量檢測，應(yīng)用識別，阻止攻擊的網(wǎng)關(guān)安全產(chǎn)品。在Gartner看來，NGFW至少應(yīng)該具備以下的功能屬性：

傳統(tǒng)防火墻：NGFW必須擁有傳統(tǒng)防火墻的所有功能，如數(shù)據(jù)包過濾、NAT、協(xié)議狀態(tài)檢查、VPN等。

集成IPS：NGFW在同一硬件內(nèi)集成了傳統(tǒng)防火墻和IPS的功能，IPS成為NGFW的核心組件，它不是防火墻和IPS兩個硬件的簡單疊加，而是功能的無縫融合。NGFW中防火墻和IPS的無縫融合、自動聯(lián)動的協(xié)作機制將大大提升防御性能，增強網(wǎng)絡(luò)安全性。

應(yīng)用識別、控制與可視化：NGFW與傳統(tǒng)防火墻基于端口和IP協(xié)議進行應(yīng)用識別不同，而是會根據(jù)深度包檢測引擎識別到的流量在應(yīng)用層執(zhí)行訪問控制策略。流量控制不再是單純地阻止或允許特定應(yīng)用，而是可用來管理帶寬或優(yōu)先排序應(yīng)用層流量。深度流量檢測讓管理員可針對單個應(yīng)用組件執(zhí)行細(xì)粒度策略。

超級智能的防火墻：NGFW可以收集來自防火墻外面的各類信息，用于改進阻塞決定，或優(yōu)化阻塞規(guī)則庫。

2 為什么需要下一代防火墻

網(wǎng)絡(luò)環(huán)境的變化，基于服務(wù)的架構(gòu)與 Web2.0應(yīng)用的普及，大量的應(yīng)用程序都建立在 http和https等協(xié)議之上，網(wǎng)絡(luò)帶寬需求的增加，以太網(wǎng)標(biāo)準(zhǔn)從千兆走向萬兆甚至 10萬兆，都對網(wǎng)絡(luò)安全產(chǎn)品的性能和功能提出了新的要求。傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)體系中的防火墻、IPS、UTM的安全解決方案已經(jīng)不能勝任新環(huán)境下網(wǎng)絡(luò)安全防范的要求。

傳統(tǒng)防火墻的缺陷是只能檢測數(shù)據(jù)包的第三層信息，只能根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口和協(xié)議類型等相關(guān)信息來對流量進行檢測，對于應(yīng)用層的http和https數(shù)據(jù)流量是無法進行控制和甄別的，它不知道到底是什么應(yīng)用通過了防火墻，更無法探測到針對具體應(yīng)用的攻擊，因此也談不上進行防御。

針對應(yīng)用層的IPS設(shè)備可以利用簽名技術(shù)檢查針對操作系統(tǒng)和軟件漏洞的已知網(wǎng)絡(luò)威脅和攻擊方法，但是IPS也無法識別具體的應(yīng)用，達(dá)不到目前用戶所需的精細(xì)粒度的應(yīng)用層控制，因而也無法對特定的應(yīng)用進行防護。

對于UTM，市場分析咨詢機構(gòu)IDC曾經(jīng)這樣定義UTM：這是一類集成了常用安全功能的設(shè)備，必須包括傳統(tǒng)防火墻、網(wǎng)絡(luò)入侵檢測與防護和網(wǎng)關(guān)防病毒功能，并且可能會集成其他一些安全或網(wǎng)絡(luò)特性。所有這些功能不一定要打開，但是這些功能必須集成在一個硬件中。從IDC對UTM的定義，UTM和NGFW功能上似乎非常相似，但UTM的致命缺陷是采用串行掃描方式，集成的安全功能模塊全部啟用時，處理效率非常低下。面對網(wǎng)絡(luò)帶寬需求的不斷增加，UTM雖也大而全，但其整體安全防御性能卻倍受質(zhì)疑。

根據(jù)Gartner的定義，NGFW不是UTM和傳統(tǒng)防火墻的簡單升級，而是提供了更強大的應(yīng)用和用戶識別能力，更靈活的控制機制以及更全面安全防御的產(chǎn)品。在面對網(wǎng)絡(luò)架構(gòu)的演進及更復(fù)雜的終端設(shè)備和用戶應(yīng)用，防范來自 Internet的病毒、木馬、DDoS攻擊、XSS攻擊、網(wǎng)絡(luò)釣魚、SQL注入等種類繁多且危害巨大的威脅時，NGFW將是構(gòu)建網(wǎng)絡(luò)安全防御體系的首選。

3 下一代防火墻安全技術(shù)特色分析

Gartner只是定義了NGFW應(yīng)該具備的基礎(chǔ)功能屬性，雖說NGFW產(chǎn)品尚沒有統(tǒng)一標(biāo)準(zhǔn)，但各安全產(chǎn)品廠商都根據(jù)自己的研發(fā)和專業(yè)優(yōu)勢詮釋著對 NGFW 集成安全功能的理解，推出各自的NGFW產(chǎn)品。這些NGFW產(chǎn)品具備了以下幾個方面的安全技術(shù)特色：

NGFW實現(xiàn)了全部功能模塊集中式管理。NGFW是一個線速網(wǎng)絡(luò)安全處理平臺，集成了傳統(tǒng)防火墻、IPS、UTM等安全技術(shù)主要功能，集中式管理可以大大降低運行管理成本，并保證在大型網(wǎng)絡(luò)中安全策略部署的一致性。通過集中式中央控制管理平臺，無論系統(tǒng)管理員身處什么位置，都可以對網(wǎng)絡(luò)實施統(tǒng)一的管理，簡單、直觀、便捷，大大提升了NGFW產(chǎn)品的可管理性和易用性。此外，集中式管理也使得NGFW在應(yīng)對網(wǎng)絡(luò)攻擊時能實現(xiàn)整體的快速響應(yīng)和快速防御。

NGFW采用了高效的并行處理機制，滿足網(wǎng)絡(luò)高性能。NGFW應(yīng)用了多CPU、多核的硬件技術(shù)，采用單次解析架構(gòu)解決方案，結(jié)合并行處理模式，對傳輸?shù)臄?shù)據(jù)流在一個模塊中一次拆包完成所有識別、掃描、過濾與控制，保證在復(fù)雜應(yīng)用的網(wǎng)絡(luò)環(huán)境中應(yīng)用控制和安全防護的時效性、準(zhǔn)確性和高處理性能。NGFW一次拆包和并行處理架構(gòu)體系，徹底解決了UTM的串行處理機制下，開啟多個模塊功能后，一個數(shù)據(jù)經(jīng)過不同模塊需經(jīng)多次拆包，多次分析，導(dǎo)致數(shù)據(jù)處理效率低下的架構(gòu)體系的設(shè)計短板。

NGFW具備應(yīng)用識別、用戶識別的功能。NGFW可根據(jù)應(yīng)用行為和特征實現(xiàn)對應(yīng)用的識別和控制，NGFW采用基于DPI(深度包檢測技術(shù))/DFI(深度流檢測技術(shù))的檢測，能夠深入到應(yīng)用層報文，通過簽名、行為特征識別技術(shù)，有效識別和區(qū)分應(yīng)用或威脅，以采取不同的控制策略；NGFW改變了傳統(tǒng)防火墻/UTM依賴于物理設(shè)備地址(MAC/IP)和用戶身份對應(yīng)的機制，結(jié)合身份認(rèn)證機制和深層防護，能夠自動和精準(zhǔn)地關(guān)聯(lián)用戶的實際身份，特別是在遠(yuǎn)程或移動應(yīng)用環(huán)境中，NGFW還可以準(zhǔn)確判定用戶的位置。

NGFW實現(xiàn)了流量智能管理和控制。NGFW的智能流量管理和靈活控制策略，可根據(jù)應(yīng)用、用戶或用戶組和內(nèi)容來執(zhí)行相應(yīng)的控制，可使用帶寬管理策略來對穿越防火墻的應(yīng)用數(shù)據(jù)流進行分類、控制和管理。NGFW的深度流量檢測，還可使其對單個應(yīng)用組件執(zhí)行更精細(xì)力度的控制，控制策略不再是單純地阻止或允許特定應(yīng)用，而是可用來管理帶寬或?qū)?yīng)用數(shù)據(jù)流進行優(yōu)先排序。 例如NGFW可以通過限制分配給音頻和視頻網(wǎng)站的帶寬，來保證關(guān)鍵應(yīng)用的帶寬；還可以通過創(chuàng)建對特殊應(yīng)用、或某個用戶和用戶組的帶寬和優(yōu)先排序策略，保證帶寬的使用和數(shù)據(jù)傳輸?shù)膬?yōu)先權(quán)。

NGFW可視化功能，增強了網(wǎng)絡(luò)管理的可控性。要正確控制網(wǎng)絡(luò)使用狀況，網(wǎng)絡(luò)管理員必須能夠?qū)崟r查看網(wǎng)絡(luò)應(yīng)用流量，NGFW應(yīng)用可視化功能可以提供相關(guān)應(yīng)用、入口和出口帶寬、訪問的網(wǎng)站以及所有用戶行為的實時圖表，讓管理員輕松分辨應(yīng)用流量的性質(zhì)，了解哪些應(yīng)用正在被使用以及哪些用戶在使用，哪些是正常流量，哪些是網(wǎng)絡(luò)濫用，哪些是惡意流量，并根據(jù)觀測到的狀況制定和調(diào)整網(wǎng)絡(luò)控制策略。NGFW的實時可視化使系統(tǒng)管理員真正掌握了網(wǎng)絡(luò)的控制權(quán)。

對于 NGFW 集成的安全功能，著名信息安全培訓(xùn)機構(gòu)SANS的專家結(jié)合現(xiàn)有產(chǎn)品和用戶需求給出了未來NGFW產(chǎn)品應(yīng)具有的安全功能列表：FW(防火墻)、IPS(入侵防御系統(tǒng))、AM(反惡意軟件)、VPN(虛擬專用網(wǎng))、URL Filter(URL 過濾)、Content Filter(內(nèi)容過濾)、APP(應(yīng)用識別、控制與可優(yōu)化)、User(用戶和用戶組識別)、AS(反垃圾郵件)、DLP(數(shù)據(jù)泄露保護)、NAC(網(wǎng)絡(luò)接入控制)、SSL Proxy(SSL 代理)。從 SANS給出NGFW的功能列表來看，基本涵蓋了目前市場上所有主流安全技術(shù)。

4 結(jié)束語

關(guān)于NGFW產(chǎn)品，Gartner預(yù)測，到2014年底，35%的企業(yè)會在采購安全設(shè)備時轉(zhuǎn)向NGFW，60%新購買的防火墻將是NGFW。據(jù)相關(guān)資料，北美和歐洲的政府機構(gòu)，包括國家基礎(chǔ)設(shè)施，電力、能源、水利等領(lǐng)域?qū)W(wǎng)絡(luò)安全管控要求較高的機構(gòu)和組織，在最近幾年幾乎摒棄了傳統(tǒng)網(wǎng)絡(luò)防火墻和UTM設(shè)備的采購而轉(zhuǎn)向NGFW。全球500強大型跨國公司包括銀行、保險等機構(gòu)，對網(wǎng)絡(luò)安全的設(shè)備需求也都紛紛轉(zhuǎn)向更加專注于應(yīng)用管控的NGFW為主體。新加坡也從2009年規(guī)定，今后有關(guān)政府、公共安全部門的防火墻采購需求將以NGFW為主體，不再考慮對傳統(tǒng)防火墻和UTM的采購。目前，NEFW作為網(wǎng)絡(luò)新一代安全產(chǎn)品的部署在我國尚處推廣和起步階段，面對日趨復(fù)雜的應(yīng)用控制和安全威脅，我們迫切需要一款定位于邊界防御的高性能、多功能、穩(wěn)定和高可靠性的安全產(chǎn)品。我們期待著，NGFW產(chǎn)品能成為解決日益增多的企業(yè)網(wǎng)絡(luò)安全問題，日益下降的網(wǎng)絡(luò)性能問題和困擾管理員的網(wǎng)絡(luò)管理問題的最佳選擇。

[1]Gartner.Defining the Next-Generation Firewall [EB/OL]. http://www.gartner.com/DisplayDocument?doc_cd=171540.

[2]吳秀梅.防火墻技術(shù)及應(yīng)用教程[M].北京:清華大學(xué)出版社.2010.

[3][美] Yusuf Bhaiji.網(wǎng)絡(luò)安全技術(shù)與解決方案[M].北京:人民郵電出版社.2010.