众所周知,所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙,那新一代防火墙的出现可剔除哪些严重的安全隐患呢?
大中型企业的IT经理需要在网络性能和网络安全之间进行权衡。虽然安全性对于企业至关重要,但企业不应该因为安全性而降低产量和生产力。下一代防火墙(NGFW)应运而生,用于解决这一棘手问题。
前几代防火墙给当今企业带来了严重的安全隐患。它们的技术已经过时,无法应对当前互联网罪犯投放的网络封包的数据负载。许多供应商只能以状态封包检测(SPI)速度吸引客户,但安全和性能的真正衡量标准是深度包检测的吞吐量和有效性。为了解决这一缺陷,许多防火墙供应商采用传统桌面反病毒解决方案使用的恶意软件检查方式:缓冲下载的文件,然后检查恶意软件。该方法的负面影响是不仅显著增加了延迟,而且会造成严重的安全隐患,因为临时存储器会限制文件大小。
定义下一代防火墙
从本质上讲,下一代防火墙通过集成入侵防御系统(IPS)以及应用智能和控制,应用了深度包检测(DPI)防火墙技术,以实现正在访问和处理的数据内容的可视化。
Gartner公司将NGFW 定义为“一种执行深度流量检测以及阻止攻击的线速(wire-speed)综合网络平台。” Gartner认为NGFW 至少应当提供:
· 非破坏性线内嵌入式配置;
· 第一代防火墙的标准功能,例如,网络地址转换(NAT)、状态协议检测(SPI)和虚拟专用网络(VPN);
· 集成式基于特征码的IPS引擎;
· 应用程序识别、全堆栈可见性和精细控制;
· 合并来自防火墙外部信息(例如,基于目录的策略、黑名单、白名单)的能力;
· 升级路径以包括未来信息源和安全威胁;
· SSL解密以启用对不受欢迎的加密应用程序的识别。
下一代防火墙的演变
使用状态检测技术的防火墙仅适用于恶意软件尚未大范围流行且网页只是供阅读文档的时代。当时,端口、IP地址和协议是需要管理的关键因素。但是随着互联网的发展,服务器和客户端浏览器能够提供动态内容,从而引入了大量丰富的应用,我们现在称之为Web 2.0时代。
现在,从Salesforce.com、SharePoint到Farmville的应用都运行在TCP 80端口以及加密SSL(TCP 443端口)上。下一代防火墙检查大量的数据包,并即时匹配恶意活动的特征,例如已知漏洞、漏洞利用攻击、病毒和恶意软件。此外,深度包检测也意味着管理员可以创建非常精细的许可,以及控制特定应用和网站的拒绝规则。由于数据包内容经过检查,因此可以导出所有类型的统计信息,这意味着管理员现在可以轻松地分析数据流,以执行容量规划、进行故障排除或监控每个员工的工作。当前的防火墙在网络应用模型的第2、3、4、5、6和7层运行。
企业的需求
企业面临应用程序混乱的困境。网络通信不再仅仅依靠电子邮件等存储转发应用,现在已扩展至包括实时协作工具、Web 2.0应用、即时通讯(IM)和p2p应用、基于IP的语音传输(VoIP)、流媒体和电话会议,每种应用程序都有被攻击的潜在风险。许多企业无法区分网络上的合法商业应用程序以及非业务关键性应用程序,而后者消耗企业带宽或对企业造成危险。
现在,企业需要提供关键业务解决方案,同时应对员工使用无用并且(从安全角度看)危险的基于Web的应用。关键应用享有带宽优先权,而社交媒体和游戏应用需要被节流或完全阻止。此外,如果企业不符合安全法律和规定,他们还会面临罚款、处罚以及业务损失。
在当今企业中,防护和性能是相辅相成的。企业无法再忍受过时的状态检测防火墙造成的安全性下降,也不能忍受部分下一代防火墙造成的网络瓶颈。防火墙或网络性能的任何延迟都会降低延迟敏感性协作应用的质量,因此会对服务水平和生产力造成负面影响。更严重的是,某些IT企业甚至禁用网络安全解决方案中的功能以避免网络性能的下降。
公共部门和私营部门中各种规模的企业都面临常见应用中漏洞的新威胁。这是看似美好的社会化网络和互联带来的阴暗秘密:它们正在为恶意软件提供滋生的土壤,互联网罪犯搜索每个角落狩猎毫无戒备心的受害者。同时,员工使用公司和家庭办公电脑发布博客、从事社交、传送消息、观看视频、收听音乐、玩游戏、购物和收发邮件。流媒体视频、点对点(P2P)和托管或云应用使企业面临潜在入侵、数据泄露和宕机风险。除了带来安全威胁外,这些应用消耗带宽并降低生产力,并与任务关键性应用抢占宝贵的网络带宽。更重要的是,企业需要使用工具保障关键业务相关的应用的带宽,并且需要应用智能和控制保护入站和出站流量,同时确保速度和安全以实现高生产力的工作环境。
NGFW的优势
下一代防火墙可以数千兆比特的速度提供应用智能和控制、入侵防御、恶意软件防御和SSL检查,并且可以扩展以便实现网络的最高性能。
固若金汤的NGFW使管理员能够控制和管理业务和非业务相关的应用程序,保证网络和用户的生产力,他们可以扫描任何端口的任何大小的文件,不会造成安全或性能下降。并发文件或网络数据流的数量不会对高端NGFW产生限制,因此当防火墙在重负荷下工作时,受感染的文件也不会瞒天过海。此外,NGFW也可以将所有安全和应用控制技术应用到SSL加密数据流,确保它不会成为恶意软件进入网络的新载体。
选择深度包检测的IT管理员需要注意NGFW领域中有多种处理器架构方式。一些人选择通用处理器,使安全协处理器保持独立。让然有其他人选择设计和建立专用集成电路 (ASIC)平台。Dell SonicWALL则使用多核架构作为我们的解决方案,以加速网络流量的处理。IT管理员务必确保他们选择的NGFW解决方案完全能够根据预测的网络性能要求进行扩展,提供最稳定的性能、最有用的网络分析和洞察力,并且便于实施和管理。