网络工程师必知:什么是下一代防火墙NGFW?
Next Generation Firewall(NGFW)是传统状态防火墙和统一威胁管理(UTM)设备的下一代产品。它不仅包含传统防火墙的全部功能(基础包过滤、状态检测、N**、V**等)还集成了应用和用户的识别和控制、入侵防御(IPS)等更高级的安全能力。
相对于UTM设备,NGFW则拥有更快处理效率和更强的外部拓展、联动能力。
NGFW的定义
早在2007年,针对企业业务流程和IT架构的变化,结合安全威胁的新趋势,著名咨询机构Gartner就提出了Next-Generation Firewall (NGFW)的概念。2009年,Gartner正式发布《Defining the Next-Generation Firewall》。
Gartner把NGFW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量执行深度检测,并阻断攻击。Gartner认为,NGFW必须具备以下能力:
传统的防火墙功能
NGFW是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状态检测、NAT、VPN等。
应用识别与应用控制技术
具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是NGFW引进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
IPS与防火墙深度集成
NGFW要支持IPS功能,且实现与防火墙功能的深度融合,实现1+1>2的效果。Gartner特别强调IPS与防火墙的“集成”而不仅仅是“联动”。
例如,防火墙应根据IPS检测到的恶意流量自动更新下发安全策略,而不需要管理员的介入。换言之,集成IPS的防火墙将更加智能。Gartner发现,NGFW产品和独立IPS产品的市场正在融合,尤其是在企业边界的部署场景下,NGFW正在吸收独立IPS产品的市场。
利用防火墙以外的信息,增强管控能力
防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全策略。
例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化带来的管控难题。
从传统防火墙、UTM到NGFW
防火墙从诞生那一天起,就是紧跟着网络演进的步伐亦步亦趋的。
包过滤防火墙、状态检测防火墙、UTM设备、NGFW发展史
- 早期的包过滤防火墙仅实现访问控制就可以满足初期网络隔离的诉求。
- 随后的状态检测防火墙(也称为传统防火墙)集成了TCP/UDP和应用状态的检测能力,实现了L3-L4层的防护。它引入了策略的概念,把处理的目标从包转向了流,从而拥有更高的处理效率。
- 2004年出现了将传统防火墙、内容安全(防病毒、IPS和URL过滤等)和VPN等功能集合到一起的UTM设备。每个模块独立运行,每次检测都需要重新拆包检查,检测效率并没有得到提升。但是UTM的出现在一定程度上简化了安全产品部署的难度,比较适合小中型企业。
- 由于WEB应用越来越多,应用和端口、协议之间的关系也越来越复杂。同样是使用HTTP协议,有人可能在查学习资料,有人可能在玩游戏。所以光靠“五元组”来标识流量的传统防火墙已经无法看清网络中的流量了。此时,拥有应用识别技术的NGFW应运而生,它可以区分流量对应的应用,即使这些应用出使了同一种协议、端口。而且NGFW将IPS、病毒防护等多种安全业务与防火墙业务深度集成,并行处理,解决了UTM设备需要逐个模块处理报文,性能低下的问题。不过,大部分情况下,UTM和NGFW不包含Web应用防火墙(WAF)的能力。
传统防火墙、UTM设备、NGFW能力对比
现在需要什么样的防火墙
随着移动化、社交化、云和大数据的发展,ICT网络环境被再次重塑。NGFW必须满足以下条件,才能应对当前严苛的网络安全环境。
高性能
既然是实时防护设备,NGFW的性能始终是用户选购的第一考量要素。华为NGFW依赖于先进的一体化智能感知引擎对报文内容进行集成化处理,一次检测提取的数据满足所有内容安全特性的处理需求,检测性能高。
全面的威胁防护能力
- 在完全继承和发展传统安全功能的基础上,提供完整丰富的应用识别和应用层威胁、攻击的防护能力。
- 集成用户认证系统,支持用户识别,以应对移动接入。
- 支持内容安全防护,提供网页、邮件、各类文件内容的过滤。
- 支持SSL加密流量检测功能。可以解密SSL流量,并对解密后的流量做内容安全检测。
- 支持联动沙箱,将可疑文件发送给沙箱来检测,识别未知威胁。
细化的检测粒度
基于流的完整检测和实时监控,支持免缓存技术,仅用少量系统资源就可以实时检测分片报文和分组报文中的应用、入侵行为和病毒文件。
支持云计算和数据中心
支持从路由转发、配置管理、安全业务三方面进行全面的虚拟化。可以将单台NGFW虚拟成多个独立的虚拟防火墙提供给云计算和数据中心的租户使用。
简化管理
- 提供可视化管理界面与丰富的日志报表。
- 支持策略智能优化和敏捷云管理。
- 开放RESTful、NetConf API接口,支持北向管理。
NGFW的未来
下一代防火墙并不是终结,网络发展日新月异,新技术、新需求不断涌现。
- 加密流量暴涨,一味提升处理性能并不能解决问题。
- DGA恶意域名、C&C流量等等各种新型攻击手段层出不穷,呈现出立体化、快速变种的趋势。
- 海量的攻击事件也使安全运维分析工作日益繁重。
从传统防火墙到NGFW经历的是网络攻击从网络层走向应用层的过程。在大数据和人工智能时代,NGFW必须向平台化和智能化不断演进。
2018年,华为提出了AI防火墙的概念,基于AI能力实现高级威胁防护。借助大数据安全平台的能力,持续提升自动化处置和知识协同的能力。