當前各種網(wǎng)絡威脅層出不窮,企業(yè)的網(wǎng)絡安全重要性日益凸顯,拋開傳統(tǒng)的IP、端口,并基于應用層進行重構(gòu)安全的下一代防火墻,已成為企業(yè)網(wǎng)絡安全防護的新選擇。然而調(diào)查數(shù)據(jù)顯示,企業(yè)用戶(特別是中小型企業(yè)用戶)對于下一代防火墻的認知仍有不足,他們很難明確區(qū)分下一代防火墻與傳統(tǒng)防火墻、UTM的區(qū)別,這就拖慢了下一代防火墻的普及步伐。對此,下文將會對為何要遷移到下一代防火墻展開剖析。
下一代防火墻是什么?
從最早的包過濾防火墻至今,防火墻已經(jīng)歷了5代的演進,每一個時代的進化都向防火墻注入新的技術和活力。而隨著網(wǎng)絡活動的急劇增加并日趨復雜,網(wǎng)絡攻擊也呈現(xiàn)出多樣化、復合化的趨勢。傳統(tǒng)防火墻和UTM在應對網(wǎng)絡新威脅面前,性能越發(fā)捉襟見肘,無法滿足企業(yè)用戶的安全需求。
面對網(wǎng)絡新威脅,傳統(tǒng)的防火墻已無法勝任網(wǎng)絡安全重任
對此,知名咨詢機構(gòu)Gartner于2009年提出了為應對當前與未來新一代網(wǎng)絡安全威脅,有必要將防火墻升級為“下一代防火墻”的理念。
下一代防火墻(Next-Generation Firewall,縮寫為NGFW)是一款可以全面應對應用層威脅的高性能防火墻。它是一種融合式網(wǎng)絡設備平臺,可將多種安全功能整合其上。除了傳統(tǒng)的防火墻功能之外,還包括線上深度封包檢測(DPI),入侵預防系統(tǒng)(IPS),應用層偵測與控制,SSL/SSH檢測,網(wǎng)站過濾,以及QoS/帶寬管理等功能,使得這個系統(tǒng)能夠應對復雜而高級的網(wǎng)絡攻擊行為。
如今,距離下一代防火墻概念首度提出已時隔5年,知名咨詢機構(gòu)IDC又對下一代防火墻所必須具備的5大核心要素進行了歸納,一起來了解下吧。
下一代防火墻必備5大核心要素
IDC認為下一代防火墻所必須具備的5大核心要素分別是:
第一,針對應用、用戶、終端及內(nèi)容的高精度管控。
訪問控制始終是防火墻類產(chǎn)品的核心功能,面對應用爆炸式發(fā)展、用戶接入手段多樣化、信息泄密問題突出等多重挑戰(zhàn),當今的下一代防火墻應持續(xù)增強其訪問控制的精細度。
應用控制絕非傳統(tǒng)意義的阻斷應用,出于精細化控制的需求,下一代防火墻應該能夠控制各類平臺化應用的子功能,如QQ的文件傳輸?shù)?,同時還要能夠基于用戶和終端進行控制,而非傳統(tǒng)的IP地址,并且能夠?qū)δ承┨囟ㄎ募膬?nèi)容進行深入過濾,以削減信息泄密的風險。
應用識別技術無疑成為滿足上述需求的本質(zhì),下一代防火墻在未來仍將持續(xù)提升對應用、用戶、終端和內(nèi)容的識別能力,并對加密流量、隧道封裝的數(shù)據(jù)進行識別,隨著應用識別技術在廣泛度和精細度等方面的提升,企業(yè)將逐步由目前的黑名單訪問控制過渡至安全級別更高的白名單模式。
第二,一體化引擎多安全模塊智能數(shù)據(jù)聯(lián)動。
當今網(wǎng)絡威脅均為采用多種手段的復合式攻擊,無論是事中的防御還是事后的溯源,都要求下一代防火墻能夠?qū)⒍喾N安全檢測技術融合。為此,下一代防火墻應采用“一體化引擎”架構(gòu),使其能夠全方位的防護安全威脅并實現(xiàn)智能的數(shù)據(jù)聯(lián)動。
產(chǎn)品專家認為,采用一體化引擎的優(yōu)越性諸多,除了提升自身的防御能力外,還體現(xiàn)在其他兩個方面。首先,一體化引擎實現(xiàn)了數(shù)據(jù)的單路徑匹配,數(shù)據(jù)包僅需一次解碼即可匹配所有威脅特征,有助于設備性能的大幅提升,讓所有安全功能模塊能夠真正的開啟并發(fā)揮作用。
其次,對于隱蔽性極強的新型威脅,單維的分析散落多處的信息對于盡早感知威脅已毫無幫助。多安全模塊的融合,使得各個安全模塊在對數(shù)據(jù)檢測過程中產(chǎn)生的信息能夠充分關聯(lián),徹底改變傳統(tǒng)安全設備信息割裂的詬病,用戶無需進行人工挖掘和分析即可全面掌握威脅全貌。
第三,外部的安全智能。
防火墻本地的運算性能和檢測能力始終是有限的,下一代防火墻應該具備聯(lián)動外部安全智能系統(tǒng)的能力。盡管這項要求早在2009年的定義中便有提及,但在當時的技術背景下,除了與用戶認證系統(tǒng)聯(lián)動之外,并未明確描述與其他系統(tǒng)的聯(lián)動。
伴隨云計算、大數(shù)據(jù)技術的不斷成熟,將云端的海量資源及大數(shù)據(jù)的高度智能用于判別日趨復雜的威脅,已成為業(yè)界公認的技術發(fā)展方向。近年來市場上也已經(jīng)涌現(xiàn)出了不少以云沙箱檢測、病毒云查殺、威脅情報分析等為核心的新技術產(chǎn)品。因此,下一代防火墻應當具有與外部云計算聯(lián)動的能力,并且能夠利用大數(shù)據(jù)分析技術應對威脅特征庫中并未收錄的未知威脅。
第四,可視化智能管理。
防火墻設備的洞察力往往是廠商和用戶長期忽視的一項能力,然而在更復雜的威脅面前,用戶需要更加及時的掌握網(wǎng)絡現(xiàn)狀、風險、威脅、事件以及防御效果等用于支撐安全決策,下一代防火墻的可視化技術。
“智能”一詞對于下一代防火墻而言同樣是一項新的要求,專家認為,下一代防火墻要實現(xiàn)的可視化智能管理,絕非傳統(tǒng)意義上的日志呈現(xiàn)和TOP 10排名,真正的“智能”應該是在多維統(tǒng)計的基礎上加以深入的分析,并將結(jié)果呈現(xiàn)出來,以幫助用戶更加快速的了解網(wǎng)絡風險并及時部署防御措施。
同時,安全產(chǎn)品的有效性取決于操作安全產(chǎn)品的人員,在信息安全專業(yè)人才緊缺以及安全設備用戶范圍日趨廣泛的大環(huán)境下,下一代防火墻應當簡化配置難度、降低技術門檻并持續(xù)提升產(chǎn)品易用性。
第五,高性能處理架構(gòu)。
性能的高低決定了下一代防火墻能夠部署的場景和位置,以及能否為更多的網(wǎng)絡和系統(tǒng)提供保護。鑒于很多大型網(wǎng)絡、數(shù)據(jù)中心出口出于性能的考慮無法開啟所謂的“下一代”安全功能,為下一代防火墻搭載高性能處理架構(gòu)顯得尤為重要。
未來的網(wǎng)絡安全是應用層安全,所有的流量都要進行應用層的深入分析,因此下一代防火墻已將深度包檢測(DPI,用于應用識別及其它應用層安全功能)作為其架構(gòu)中的基礎部件,設備開機即處于啟動狀態(tài),并且鼓勵用戶打開全部安全功能。對于下一代防火墻用戶而言,真正有價值的參數(shù)是其應用層性能以及開啟全部安全功能后的性能。因此,下一代防火墻要滿足大型數(shù)據(jù)中心、運營商網(wǎng)絡環(huán)境的性能要求,必須持續(xù)提高應用層性能及多威脅安全檢測性能。
同傳統(tǒng)防火墻、UTM的區(qū)別
從前面了解到,為順應安全新形勢,下一代防火墻必須能夠針對應用、用戶、終端及內(nèi)容進行高精度管控,具備一體化引擎并實現(xiàn)多安全模塊智能數(shù)據(jù)聯(lián)動,可擴展外部的安全智能并提供高處理性能,幫助用戶安全地開展業(yè)務并簡化用戶的網(wǎng)絡安全架構(gòu)。那么下一代防火墻同傳統(tǒng)的防火墻以及UTM又有哪些區(qū)別呢?
傳統(tǒng)防火墻弱在哪兒?
傳統(tǒng)防火墻具有數(shù)據(jù)包過濾、網(wǎng)絡地址轉(zhuǎn)換(NAT)、協(xié)議狀態(tài)檢查以及VPN功能等功能。相對而言,下一代防火墻的檢測則更加精細化。不僅如此,傳統(tǒng)防火墻采用端口和IP協(xié)議進行控制的固有缺陷明顯已經(jīng)落伍,對于利用僵尸網(wǎng)絡作為傳輸方法的威脅,基本無法探測到。
同時,由于采用的是基于服務的架構(gòu)與Web2.0使用的普及,更多的通訊量都只是通過少數(shù)幾個端口及采用有限的幾個協(xié)議進行,這也就意味著基于端口/協(xié)議類安全策略的關聯(lián)性與效率都越來越低。深層數(shù)據(jù)包檢查入侵防御系統(tǒng)(IPS)可根據(jù)已知攻擊對操作系統(tǒng)與漏失部署補丁的軟件進行檢查,但卻不能有效的識別與阻止應用程序的濫用,更不用說對于應用程序中的具體特性的保護了。
不同于傳統(tǒng)的防火墻,下一代防火墻可基于應用進行智能識別、精細控制和一體化掃描
因此,由于固有缺陷和過時的管控策略,傳統(tǒng)的防火墻已經(jīng)不能滿足企業(yè)網(wǎng)絡的安全需求了。而且隨著云計算、大數(shù)據(jù)、移動互聯(lián)加社交網(wǎng)絡的快速發(fā)展,傳統(tǒng)的防火墻更是無法應對新的攻擊威脅。
UTM不給力!
UTM(統(tǒng)一威脅管理,Unified Threat Management的縮寫)是由傳統(tǒng)的防火墻觀念進化而成,它將多種安全功能都整合在單一的產(chǎn)品之上,其中包括了網(wǎng)絡防火墻,防止網(wǎng)絡入侵(IDS),防毒網(wǎng)關(gateway antivirus,AV),反垃圾信件網(wǎng)關(gateway anti-spam),虛擬私人網(wǎng)絡(VPN),內(nèi)容過濾(content filtering),負載平衡,防止資料外泄,以及設備報告等。
該UTM方案是由IDC提出,是指由硬件、軟件和網(wǎng)絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能,將多種安全特性集成于一個硬設備里,構(gòu)成一個標準的統(tǒng)一管理平臺。
雖然UTM與下一代防火墻有一些交集,但二者還是有本質(zhì)區(qū)別。UTM只是將防火墻、IPS、AV進行簡單的功能堆砌,其致命缺陷就是采用串行掃描方式,包括吞吐量問題。特別是在較大的網(wǎng)絡中,在功能全部開放時的處理效率非常低下,而下一代防火墻自設計之初,就采用了一體化的引擎,它會一次性的對數(shù)據(jù)流完成識別、掃描,因而可以達到更高的性能。
綠盟下一代防火墻亮相正當其時
在了解了下一代防火墻的優(yōu)勢后,部署什么樣的下一代防火墻更能為企業(yè)用戶帶來安全保障呢?綠盟下一代防火墻(NSFOCUS NF)的出現(xiàn)無疑成為企業(yè)用戶提供了不錯選擇。綠盟下一代防火墻是基于新一代64位多核硬件平臺,采用最新的應用層安全防護理念,同時結(jié)合先進的多核高速數(shù)據(jù)包并發(fā)處理技術,研發(fā)而成的企業(yè)級下一代邊界安全產(chǎn)品。
除了具有下一代防火墻廣義上的各個功能,綠盟下一代防火墻的核心理念更立足于用戶的網(wǎng)絡邊界,在以應用為核心的網(wǎng)絡安全策略、以內(nèi)網(wǎng)資產(chǎn)風險識別、云端安全管理等方面擁有特色的安全防護體系。
綠盟下一代防火墻可進行快速的內(nèi)網(wǎng)資產(chǎn)風險識別
其中綠盟下一代防火墻的七大優(yōu)勢,包括全面的應用和用戶識別能力,細致的應用層控制手段,專業(yè)的應用層安全防護能力,卓越的應用層安全處理性能,首創(chuàng)的內(nèi)網(wǎng)資產(chǎn)風險管理,先進的云端安全管理模式,以及完全涵蓋傳統(tǒng)防火墻功能特性。
綠盟下一代防火墻具有先進的云端安全管理模式
除了搭載有新一代64位多核并發(fā)、高速硬件平臺和雙引擎設計模式之外,其還采用了綠盟自主研發(fā)的并行操作系統(tǒng),將管理、數(shù)通、安全平面并行部署在多核平臺上,借助于多平面并發(fā)處理,緊密協(xié)作,可顯著提升網(wǎng)絡數(shù)據(jù)包的安全處理性能。
綠盟下一代防火墻實測數(shù)據(jù)匯總
那么在實測中綠盟下一代防火墻的表現(xiàn)如何呢?在此前通過思博倫TestCenter和Avalance,以及IXIA Breaking Point三款專業(yè)測試設備對綠盟NX3系列G4000M下一代防火墻展開的實測中了解到,在考慮到實際場景已有基礎流量且部分功能開啟的前提下,綠盟NX3系列G4000M的實際測試結(jié)果可以成功超越了綠盟自己所公布的標稱數(shù)據(jù)。其中,最大并發(fā)會話數(shù)的測試結(jié)果為400萬,而每秒新建會話數(shù)的測試結(jié)果則約為9萬,成績不凡。
實測綠盟下一代防火墻性能表現(xiàn)
那么綠盟下一代防火墻在應用層吞吐性能測試上又表現(xiàn)如何呢?經(jīng)過實測,綠盟NX3系列G4000M應用層實測成績達到了超過了5Gbps,再次超越給出的標稱應用層吞吐性能(4Gbps),同樣成績斐然!
應用層吞吐性能測試:
應用層吞吐性能測試結(jié)果:5Gbps-5.5Gbps
通過綠盟下一代防火墻展開的實際測試,可以驗證其采用雙引擎多核并發(fā)在多個CPU核心之上的這種設計,的確有著獨到的高速運行優(yōu)勢。這種各司其職的創(chuàng)新架構(gòu)不僅保證了基礎網(wǎng)絡數(shù)據(jù)包的高速轉(zhuǎn)發(fā),更加確保了應用層安全處理的高性能。
綜上所述,作為新時代下網(wǎng)絡安全的新一代守護者,下一代防火墻的優(yōu)勢顯而易見,而其中綠盟下一代防火墻更展示了強勁的防護性能,為廣大企業(yè)用戶提供了優(yōu)質(zhì)的網(wǎng)絡安全設備。相信未來的下一代防火墻必定會在應用識別、移動互聯(lián)網(wǎng)安全、整合威脅情報、擴展防御技術以及不斷改善用戶體驗等幾方面持續(xù)發(fā)展,成為企業(yè)網(wǎng)絡的重要防御利器。