思科Firepower 4100系列新一代防火墙解析

*本文属“WitAwards 2016年度安全评选”专题报道，未经许可禁止转载

作为一款位于网络边界的安全产品，防火墙更像是企业安全中的第一道大门。可能很多人并不了解，自上世纪80年代，第一代防火墙的概念被提出之后——时至今日，防火墙本身已经发生了数代变迁。这和现如今企业对安全更强烈的需求是有很大关系的。

当代做防火墙的企业都在推“新一代防火墙”（Next Generation Firewall，或者也可译作下一代防火墙，以下将简称NGFW）。

这里的“新一代”并不是一个修饰词，而作为防火墙的一个大门类存在。Gartner早在2009年时对“新一代防火墙”下了定义，不过近两年NGFW的概念和标准又发生了一些变化。

新一代防火墙产品中，比较典型的如思科Firepower系列。在这篇文章中，我们将简单就思科Firepower 4100系列新一代防火墙产品做分析，包括产品配置、特色，新一代防火墙的市场现状和发展趋势等。

1.背景

1.1 “新一代防火墙”发展背景

新一代防火墙的概念，是相较第一和第二代防火墙而言的。在OSI参考模型中，后两者仅工作在下4层或更低层级。

其中第二代防火墙开始着重于传输层的流量过滤，能够维持活跃会话的上下文，使用“状态信息”来加速包处理——所有网络连接都包含源/目标IP地址、UDP/TCP端口，以及连接现有阶段（包括会话初始化、握手、数据传输以及完成连接），防火墙将某个包与状态表进行对比。

如果存在于现有连接中，则无需更多处理，就令其通行；如果并非现有连接，则需要针对新的连接进行更多评估。所有第二代防火墙又叫状态防火墙，或者状态检测防火墙（Stateful Firewall）。

但是随着现代网络及网络组件不断发展，受攻击面也在不断增大。受利益驱使，攻击者开始越来越多地采用高度复杂的方法来开展网络渗透活动，窃取越来越多的数字化资产。一旦攻击者侵入网络，就很难检测到他们。

完全依赖于时间点防御和相关技术的网络安全系统无法应对当今高度复杂且不断发展的多途径攻击方法。事实上，《思科 2016 年度安全报告》中指出，攻击者已开始利用合法在线资源来发起攻击活动，这种手段有效地使他们的收入大幅增加。

攻击者使用的方法包括：通过消耗服务器容量来窃取数据并勒索赎金；以及使用恶意浏览器扩展程序来窃取数据。组织必须不断寻求尽可能最好的威胁防护解决方案。

与此同时，组织还必须注重检测时间 (TTD)，因为网络攻击者正在越来越多地发起能够逃避检测的攻击，所以检测时间也逐渐成为一项重要指标。目前，业界的检测时间测量结果为 100-200 天，大大超出了可接受的范围。

NGFW的推出是业界向前迈出的重要一步，一般NGFW相较普通防火墙，主要变化在于应用访问控制。部分NGFW加入了第一代入侵防御系统和各种非集成式产品。

这类方案的确一定程度提升了抵御安全问题的能力，但在感染发生后，这些 NGFW 所能提供的帮助仍然比较有限，它们无法在感染发生后帮助确定感染范围、遏制恶意软件，并快速做出补救。

更多企业和组织用户开始寻求更有效的 NGFW 解决方案。当代理想的NGFW 解决方案应满足以下条件：可以使各种一流技术透明地协同工作，并利用这些技术提供多层威胁防护和集成式防御；能够在攻击侵入网络时迅速缓解风险。

简而言之，新一代NGFW 应具备以下要素：

1. 可紧密集成各种安全功能，以提供有效的威胁防御和高级恶意软件防护 2. 可实现全面的统一管理 3. 可提供切实有效的危害表现情报，帮助识别整个网络和终端环境中的恶意活动 4. 可提供全面的网络可视性 5. 可有助于降低复杂性和成本 6. 可与第三方安全解决方案进行集成和交互 7. 可提供投资保护

1.2 思科Firepower 4100系列产品背景

思科也顺应这一潮流，推出了NGFW产品。Cisco Firepower 4100新一代防火墙按照思科的宣传，“是业内首款具有统一管理功能的完全集成、 专注于威胁防御的新一代防火墙”。

它包括应用可视性与可控性 (AVC)、可选的 Firepower 新一代 IPS ( (AMP) 和 URL 过滤。思科宣传文案中反复在强调的是，在攻击前、攻击中和攻击后，这个系列的防火墙产品能够提供高级威胁防护。

这里的NGIPS——也就是新一代IPS，是思科Firepower系列防火墙产品的重要组成部分——实际上思科本身也一直在推独立的NGIPS类产品。在Gartner魔力象限中，思科NGIPS 一直处于领导者象限。

其特色在于， 对主机、操作系统、应用、服务、协议、用户、内容、网络可视性，建立网络主机及终端的可视信息库，进一步利用信息库自动推荐IPS规则，自动分析入侵安全事件。

思科的Firepower系列NGFW即继承了其自家的NGIPS功能，也就能够实现“全栈可视性”“专注于威胁”这些重要特点，这也是现在思科着力宣传的重点。

Figure 1. Magic Quadrant for Intrusion Prevention Systems

同时思科主推的新一代防火墙产品主要包括3个系列，分别是具备FirePOWER服务的ASA防火墙（针对小型企业、分支机构）、Firepower 4100系列（针对大中型企业、组织）和Firepower 9300系列（针对电信运营商、数据中心）。

我们在此讨论的思科Firepower 4100系列，是在今年2月份与Firepower 9000系列一同发布的。思科在通讯稿中提到，这是行业内“首款完全集成的、专注于威胁的新一代防火墙”， 其特色依然在“专注于威胁” 可视性驱动、 基于平台。

这也是思科NGFW产品与其他类产品的主要差异。

2. Firepower 4100系列防火墙介绍

2.1 Firepower 4100性能与配置

Firepower 4100系列NGFW设备前面板包含2个网络模块槽和2个SSD槽，默认仅使用其中1个SSD槽；后方还有6个热插拔风扇和2个电源。

8 x 10 Gb以太网增强SFP+网络模块；4 x 40 Gb以太网Quad SFP+网络模块；最多24 x 10 Gb 以太网SPF+接口，最多8 x 40 Gb以太网（QSFP+）接口；1个RJ-45控制端口；1个USB 2.0接口；1个Gb以太网copper port。

这里的网络模块、电源模块、风扇模块以及SSD都是可更换的（FRU），电源和风扇模块支持开机更换。第二个SSD槽可安装MSP（恶意程序存储Pack），用于存储威胁检测结果，用于此后的分析，支持高级恶意程序防护软件功能。

所以第二个SSD既可用作存储，也可用作恶意程序应用库。

根据型号的不同（目前供4个型号，下半年或还将推出更多型号），内部配置存在差异，其中最顶配的4150型号采用两颗22核至强E5-2699v4处理器（44个物理核心，88个逻辑核心），主频2.2GHz（支持睿频至3.6GHz）；256GB DDR4 2400MHz RAM，单碟400GB SSD存储；2个密码加速器，Cavium Nitrox V XL NHB PCIe Gen3 x16；2个Smart NIC。

而在吞吐方面，顶配的4150型号支持状态检测防火墙75Gbps，多协议状态检测防火墙吞吐50Gbps，防火墙+应用可视与控制吞吐30Gbps，这样的性能的确算是相当出色。各型号的大致情况如下所示：

除此之外，Firepower 4100支持部署的应用包括ASA和Firepower Threat Defence。其中Firepower Treat Defence（FTD）包含了思科ASA特性和FirePOWER服务，在一个平台上即提供ASA和FirePOWER的功能特性，它支持的功能包括：

状态防火墙功能 静态和动态路由（支持RIP、OSPF、BGP、静态路由） NGIPS URL过滤 应用可视性和控制（AVC） 高级恶意程序防护 ISE整合 SSL解密 Captive Portal 多域名管理 站到站V**（某些文章提到不支持V**，但实际上思科后期更新的6.1版本已经开始提供支持） 多播路由

2.2 Firepower 4100的差异化特色

如今在做NGFW的厂商不少，进行差异化竞争，是吸引企业购买产品的关键，这就要求思科在新一代防火墙的概念之外有自己的杀手锏。

这里，我们首先可以简单汇总Firepower 4100的主要功能，包括前文提到的最基本的状态检测防火墙、V**、基于应用的DDoS缓解功能、NGIPS、高级恶意程序防护（AMP）、应用可视性和可控性、基于信誉度和内容分类的URL过滤。

所有这些功能均通过单个设备提供， 并通过统一管理控制台进行管理——统一管理控制台是思科Firepower系列防火墙的重要更新，尤其对OSI模型中四层和七层包检测的整合管理。

另外，这里值得一提的是思科近几年非常重视中文本地化，增加了全中文管理界面和大量中文应用的支持。

前文提到“攻击前、攻击中、攻击后”整个攻击过程的覆盖是思科Firepower 4100的一大特色。另外，此系列产品能够为思科演进的SDN（可编程网络）、以及思科ACI（以应用为中心）的基础设施架构提供保护。

面向可编程的开放式网络的 Firepower 4100 解决方案，可以与上述方案结合，实现自动化的安全调度，这也是Firepower 4100在整个思科设备家族中，扩展性的体现。

区别于传统的NGFW， 思科Firepower4100新一代防火墙还是有一些亮点可以值得提一提：

冗余与性能优化设计

Firepower 4100秉承了思科防火墙的集群Clustering技术, 能够将多台防火墙无缝虚拟成一台防火墙，对防火墙的吞吐、新建会话、并发连接、NAT连接等关键指标进行性能扩展；提供更高的多活冗余方式，同时又能提供统一管理。

比如说，企业在初期采购时，思科可以按照其现有业务需求，采购两台防火墙，将两台组成集群。

若企业后期业务增长，现有防火墙性能不够，则通过购买新的防火墙动态加入集群，就能提高防火墙集群的扩展能力——这在降低TCO的同时也提高了ROI。

集群适用于大部分防火墙部署场景，包括当前的热点“双活数据中心”的安全部署，能够通过集群对多个数据中心提供统一多活安全保护。

按照思科的宣传，Firepower 4100的应用卸载功能，通过独立的策略定义和硬件优化，可为指定的应用提供低至3微秒的网络延迟，单流40G的超高吞吐量，从而满足快速交易网络的低延迟/高吞吐需求。

全栈可视性

作为应用控制的扩展，Firepower 4100提供相对全面的网络可见性，网络中所有用户，移动终端，客户端应用程序，操作系统，虚拟机通讯，漏洞信息，威胁信息，URL等信息都可以图形化的形式显示。

这对于定义安全策略，只让可信的用户进入网络，控制恶意、未授权的用户是具备了积极意义的。值得一提的是，思科提供了超过4000种应用识别特征（虽然只有百种是针对中国应用特征的，但思科OpenAPPID社区正在发展中）。

统一管理平台

思科今年推出Firepower系列新一代防火墙的时候，同时还推了Cisco Firepower Management Center，也就是Firepower管理中心。

这是Firepower NGFW的网络中枢，作为统一管理控制台存在。它为Firepower NGFW提供了共享情报、共享情景感知信息和一致的策略执行功能，同时集成了其他思科安全与网络解决方案。

Cisco Firepower Management Center也集成了另外一些合作伙伴的第三方解决方案，比如针对分布式拒绝服务（DDoS）攻击的Radware。目前市面上的许多NGFW产品需要用户在三个或更多控制台之间进行切换，才能获得用户所需的详细信息。

从这一点来看，思科的这一管理中心在单个控制台上提供了统一和相对丰富的管理功能，的确是提供了较多便利的。

如上所述，Cisco Firepower NGFW可以与其他思科安全解决方案（例如用于识别数据和网络分段的思科身份服务引擎 [ISE]）以及 OpenDNS 相集成，提供互联网范围内的域可视性；也能够与其他思科安全产品共享情报、情景和策略控制，这对管理效率，降低管理难度和成本是有意义的；自动化网络分段功能亦有助于快速遏制威胁。

专注于威胁防御

在思科的宣传文案中，“以威胁为核心”是Firepower 4100新一代防火墙最为着重的部分，这是其他品牌的新一代防火墙不曾提过的理念。

思科认为，传统的NGFW产品无法为企业提供针对当代威胁的上下文关联信息、自动化和优先级，企业仍然需要部署专门的威胁平台，或者将NGFW融入到其他系统中，但这么做对预算、部署复杂性而言都有压力。

具体来说，Firepower 4100系列“专注于威胁防御”表现在，支持所谓的“倒带（go back in time）”能力，针对那些可能漏网的复杂攻击，极大减少威胁检测所需的时间——在发生事件后依旧进行持续分析。

这个过程实际上就是期望覆盖攻击的整个过程，尤其在攻击发生之后，通过入侵事件关联分析、异常流量分析和恶意软件防护的攻击跟踪追溯，以期更快做到响应，减少恶意攻击带来的损失。

整个过程实际上是NGFW中的状态防火墙、NGIPS、恶意软件引擎进行关联的过程，得出感染指数来帮助用户进行响应。

这里的高级恶意程序防护（AMP）也是思科的绝活，基于云安全情报针对恶意程序、APT和目标攻击做防护。

这实际上应该算是持续分析和追溯警报的重要核心。如上面提到的“回到过去”的能力，AMP不止是提供单个时间点对高级恶意软件的检测，还提供持续分析，识别、遏制和修复最初逃避了检测的恶意软件。如前文所述，这也是各方联动的结果。

此外就“威胁防御”这一环节值得一提的是，为Firepower系列新一代防火墙提供全球DNS和IP威胁情报的是著名的思科Talos安全情报团队。

这个团队由诸多网络安全专家组成，他们进行黑客活动、入侵企图、恶意软件和漏洞最新趋势的分析。这个团队得到了Snort、ClamAV、Senderbase.org和Spamcop.net社区的资源支持，可算网络安全行业目前最大的安全研究团队。

NSS Labs今年8月份发布的《Breach Detection Report》测试报告在专注威胁这部分给予了思科解决方案较高的评价：

“具备NGIPS和AMP服务的思科FirePOWER 8120威胁检测率达到100.0%。FirePOWER 8120在所有评估技术测试中均表现出高效性。该解决方案也通过了所有的稳定性和可靠性测试。”

虽然这份报告并非直接针对Firepower系列新一代防火墙，不过针其中的AMP和NGIPS是相同的技术，因此具备参考价值。有关这份报告的评判标准描述是这样的：

“产品成功、及时检测和报告感染的能力，对于维持监控网络的安全性和功能性而言是很关键的。针对恶意程序的感染和传播，应该做出快速且准确的报告，让管理员能够控制感染、将其影响降到最小。 要控制恶意程序导致的破坏，响应时间就很关键，因此受测系统需要在初步感染和C&C回叫的24小时内检测到已知样本，或者分析未知样本并进行上报。”

也就是说，思科的产品能够在24小时内100%检测到NSS Labs测试威胁。不过思科方面认为，24小时这个标准还不够严苛，思科安全业务部门的首席工程师Jason Brvenik提出了一个叫做“Reducing Operational Space”的概念，其本质在于威胁产生后，减少攻击者或者威胁本身的发挥空间。

所以“时间”成为检测入侵威胁的更佳标准，即Time to Detection（TTD）。设想一下有2个安全产品 都实现了100%的威胁检测，一个产品是在5分钟内完成，另外一个是在24小时内完成，这两个成绩还是有质的区别的。

所以即便在NSS Labs的测试中都有100%的Breach Detection检出率，产品间还是存在差异的。更快速的检测时间是思科安全的努力方向，在最新的思科年中网络安全报告中，思科宣称已经将威胁检测时间-TTD 降低到8.64小时，业界的威胁检测时间平均为100-200天。

所以在“专注威胁防御”这一块，思科还是有自己的追求的。这套解决方案也应用到了Firepower 4100系列防火墙之上，自然也成为了Firepower 4100系列防火墙的核心所在。

附录：

关于思科系统公司及安全业务介绍

Cisco Systems, Inc.是一家跨国科技公司，总部位于美国加州圣何塞。思科公司在全球范围内设计、生产、出售网络设备，是全球最大的网络公司。

如今的思科系统公司已经成为全球网络互联解决方案的重要领衔者。思科提供的解决方案是世界各地的企业、学校、政府部门建立互联网的基础，其用户遍及电信、金融、服务、零售、教育等行业。

思科针对企业网络安全，以威胁防御为中心的方法降低了复杂性，提供全面可见性和可控性，在攻击发生的整个过程（攻击发生之前，之中和之后）提供威胁防御。

在过去两年中，思科安全投入了数十亿美金，完成了对Sourcefire，ThreatGRID，Neohapsis，OpenDNS和Lancope等的收购和整合，加强和丰富了自身的整体网络安全解决方案。

关于思科Talos安全情报团队

思科Talos团队由网络安全专家组成，他们分析评估黑客活动，入侵企图，恶意软件以及漏洞的最新趋势。包括ClamAV团队和一些标准的安全工具书的作者中最知名的安全专家，都是Talos的成员。

这个团队同时得到了Snort、ClamAV、Senderbase.org和Spamcop.net社区的庞大资源支持，该团队也成为网络安全行业最大的安全研究团队，也为思科的安全研究和安全产品服务提供后盾支持。

当代企业用户需要网络安全产品能够提供威胁情报智能。这亦是思科Talos安全情报与研究团队的核心关注点。Talos依靠思科的基础设施，对业界的数据进行关联和分析，进而提供可见性，涵盖的数据包括：

• 数以千亿计的Web请求和电子邮件

• 数以百万计的恶意软件样本

• 开源数据集

• 数以百万计的网络入侵

这些安全大数据分析涵盖了包括网络，终端，移动设备，虚拟系统，Web和电子邮件威胁在内的众多平台；也为客户提供了对威胁相对全面的理解，包括威胁的根源，爆发的范围等；这些情报智能也可以更新至用户侧思科的网络安全平台当中，为用户提供实时威胁防御。

WitAwards年度安全评选火热报名中

由FreeBuf主办的FIT 2017（2017 FreeBuf互联网安全创新大会）将于2016年12月28日-29日在上海陆家嘴上海国际会议中心召开。

与FIT 2017大会并行的WitAwards 2016，作为一年一度的互联网创新安全评选盛典和FIT 大会的重头戏之一，自然备受业界关注。

WitAwards 2016互联网安全年度评选，旨在发掘全年卓越的安全产品和杰出人物；给予在2016年为安全行业做出贡献的个人、团队及产品以掌声和肯定；为超过100款安全产品的创新和努力，及行业的专业精神全情投入喝彩。

参选奖项报名

不同奖项的参与报名通道现已开启，9月15日-10月31日，针对以上四大奖项，任何人都可以进行线上报名，或以为他人及其产品提名的形式参与WitAwards 2016评选。FIT官方会对报名和提名的项目进行初步审核。

行业评委申请

自古高手出民间，尤其在安全领域更是藏龙卧虎。

本届WitAwards年度互联网安全评选，特邀“懂安全”的你担当我们的行业评委，也相信你能够代表业界同行评选出最专业最优秀的奖项。

入选行业评委，将获得FIT 2017大会门票。

点击阅读原文参与WitAwards 2016

* FreeBuf官方出品，作者：欧阳洋葱，未经许可禁止转载