下一代防火墙.doc

1下一代防火墙概述

在网络安全的实际应用中,单一的安全防护技术并不足以构筑一个安全的网络安全体系,多种技术的综合应用才能够将安全风险控制在尽量小的范围内。一般而言,安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线,以抵御来自外部的绝大多数攻击,完成这项任务的网络边防产品我们称其为防火墙。类似于建筑大厦中用于防止火灾蔓延的隔断墙, 防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙是一类防范措施的总称,之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。传统防火墙可以分为四种类型,分别为包过滤、应用级网关、代理服务器和状态检测。总体的功能是防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全,过滤不安全服务、阻止非法用户和控制对特殊站点的访问、安全和预警的方便端点。
状态检测防火墙是应用最广泛的防火墙产品,但是它们面对新一代的安全威胁的作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查
数据包头,分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量,然而随着网络的发展,黑客已经研究出大量的方法来绕过防火墙策略。如今黑客能利用传统防火墙开放的端口,巧妙躲过网络防火墙的监测,直接针对目标应用程序。他们想出复杂的攻击方法,能够绕过传统网络防火墙。传统网络防火墙存在着以下不足之处:1、无法检测加密的Web流量;2、普通应用程序加密后,也能轻易躲过防火墙的检测;3、对于Web应用程序防范能力不足;4、应用防护特性只适用于简单情况;5、无法扩展深度检测功能。

以太网标准现在已经由万兆开始向40G/100G迈进,网络带宽的增长十分迅猛。另外,数据量也在成爆炸性增长。据统计,我国各类数据中心和机房总量已经达到50余万个。无论是带宽增长还是数据增长,都对网关安全产品的性能和功能提出了新的要求。网络环境趋于复杂,致使用户需要寻找新的安全解决方案来满足除了抵挡外部攻击以外的安全需求。以往,网络攻击手段基本停留在第三层的网络层,,大量的应用程序都建立在了http和https等协议之上,传统的防火墙对应用层望尘莫及。基于网络层的操作就意味着传统防火墙只能根据与数据包源地址和目标地址有关的信息来检测流量,但是对于上述的http和https流量却是无能为力。虽然现在有针对应用层的IPS设备,但是IPS却无法识别具体的应用,达不到目前用户所需的精细力度的应用层控制,因而也无法对特定应用进行防护。自防火墙的概念诞生以来已经经过了十几年的发展,防火墙的功能并没有变革性的改进,相比网络的飞速发展,防火墙的功能、性能与网络的飞速前进并不匹配,网络环境的新需求迫使防火墙进行根本性的变革,因而催生出革命性的防火墙产品—下一代防火墙。

防火墙作为一款历史悠久的经典产品,在IP/端口的网络时代,发挥了巨大的作用,合理的分隔了安全域,有效的阻止了外部的网络攻击。然而面对网络应用的高速发展以及网络规划的复杂化,传统防火墙显得力不从心。对于使用僵尸网络等传播方式的威胁,第一代防火墙基本上是看不到的。随着面向服务的架构和Web ,更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知攻击方法,但不能有效地识别和阻止应用程序的滥用,更不要说应用程序中的特殊性了。 Gartner在2009年发布了一份名为《Defining the Next-GenerationFirewall》,将下一代防火墙(NGFW)定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。根据Gartner的理论,NGFW 应该是一个线速(wire-speed)网络安全处理平台,至少应当具备以下几个属性: 1、联机“bump-in