随着网络安全威胁的手法越来越多,传统防火墙功能早就已经有鞭长莫及之感。在这样的状况下,逐渐出现称作次世代防火墙(Next Generation Firewall,NGFW)的产品,不少调查机构与研究单位,也开始发表对于NGFW的定义。
这让人不禁开始想探究,到底什么样的设备,才能被称为NGFW?而NGFW又会替企业的网络架构带来什么样的改变?目前NGFW还没有一个肯定的定义,但是对于企业来说,很多现有产品和研究报告所归纳出来的线索,或许已经可以提供给企业使用者在选购符合未来需求的设备时,一条明路。
NGFW没有统一定义,但功能已有明确方向
虽然目前NGFW还没有一个统一的定义,不过很多功能已经是众所公认为NGFW应该要具备的功能。其中最重要的,就是NGFW必须要有能力辨识应用层,看到不同应用程序的流量;在这之后,还必须要能够针对不同应用内细部的不同功能,做到管控的能力。举例来说,可以把Skype的文件传输功能关闭,但保留其他的功能。
或许透过不同研究机构的报告,可以更贴切的描述NGFW该具备的功能。2009年10月,调查机构Gartner推出了一份名为"Defining the Next Generation Firewall"报告,里面对于他们心目中的次世代防火墙,就提供了几个应该具备功能的定义。Gartner列出的几点NGFW该具备的功能如下:能够做为封包检测或安全政策执行的据点;并且拥有传统防火墙的功能,如NAT、封包过滤、VPN、传输协定检测等。除此之外,NGFW还需要具备有IDP的功能,并且有能力和防火墙的功能互相沟通,必要时可以透过防火墙阻断危险的流量。
在这些功能之外,Gartner在报告中也特别提到了应用程序流量辨识的能力,并且把这项能力视为NGFW的重点之一。也就是说,NGFW必须提供可视度(Visibility),不光是像过去的防火墙一样,只是透过特徵和连接池的号码来管控流量,还必须有能力看得懂第七层应用层,辨识流经的不同流量,分别属于哪些应用、哪些人使用、透过什么装置使用等信息。
因此,该份报告中还指出,NGFW必须有能力取得其他设备提供的信息,进而透过这些信息达到阻断恶意流量的效果。举例来说,NGFW可能要能够和身分辨识的AD架构、RADIUS等设备沟通,取得使用者身分的信息,然后辅以应用辨识的能力,将不合企业内安全政策与可能的恶意威胁流量阻断,并且能够快速的辨识出使用者位在何方。
最后,报告中谈到,NGFW还必须具备客制化扩充的能力,如此一来,在面对新威胁时,才能快速的反应。Gartner这份报告,排除了传统UTM和中小企业,并且也不列入DLP(Data Leakage Prevention)、Web安全闸道器、信息安全闸道器等功能,报告中认为,这些功能都不算是NGFW需要必备的功能。
不过另一个安全训练与研究机构SANS(SysAdmin、Audit、Network、Security)协会,所定义的NGFW,则又是另一番面貌。SANS在2009年2月发表了一份探讨NGFW功能的报告,在其中指出,NGFW应该是除了具备传统防火墙功能外,还能提供包括基础DLP、NAC(Network Access Control)、IDP、防蠕虫、防中介软件、网站过滤、VPN、SSL Proxy、QoS等功能。
SANS还在该份报告中指出,现有市面号称为NGFW的产品,在DLP、NAC、SSL Proxy这三项功能的提供上比较欠缺,未来NGFW的发展,应该要往增加这些功能的方向前进。
同时,报告中也指出NGFW所能带来的优势与可能面临的挑战。首先,由于NGFW能够整合了多种不同功能在单一设备上,于是部分对于时效性要求特别高的功能,如IPS与防火墙的联防,就能更有效率,也比较不会有互通上的难度。举例来说,当网站过滤的功能侦测到有使用者连上恶意的网站,就能快速的透过防火墙阻断连线,或是导引到其他地方。报告中也指出,这一点优势是十分重要的能力,因为根据研究,当使用者连上恶意位址而感染了恶意程序后,一般来说网络上的安全设备,如IDP等,要发现这项威胁,往往都在感染已经发生了数天或数月之后,无法防范于未然。此外,这样的做法也可以省下多数设备的投资,提供企业经济上的效益;并且管理和控管上也更为简便。
不过SANS的报告中也明白的指出,反过来看,这会让企业的网络安全防护更容易倾向只依赖少数的厂商,因为功能都整合到单一设备上,有可能会是一个隐忧。另外就是效能的问题,要提供这么多功能,效能很有可能会是瓶颈。SANS的报告中并没有排除DLP功能和UTM设备,从这一点来看,该份报告所描述的功能细节比起Gartner更为详细,但相对的包含的功能也比较发散。
更灵活的架构与扩充性,也将成为重点
由上述两份针对NGFW所做的报告内容,应该已经可以掌握NGFW大概的方向。不过毕竟这些报告主要针对的还是网络上单点设备的描述,事实上,随着虚拟化技术的发展,网络安全的需求已经越来越需要从网络架构的整体面来考量。因此,我们还可以再进一步归纳出报告中没有谈到的重点,那就是灵活的架构与扩充性。
更灵活的架构除了前述报告中谈到的客制化能力,还有一点很重要的就是硬件资源透过虚拟化技术进行分配的能力。举例来说,NGFW很有可能有能力可以将多台防火墙串连虚拟为单一的防火墙设备,或是将单台防火墙虚拟为多台小型的防火墙,达到分开处理流量的效果。而同时这些虚拟技术,都将让NGFW在分配硬件资源上更灵活,而不再受限于实体的限制。目前已经有不少网络安全设备厂商,已经在往这个方面发展,或是已经有类似的功能,如Juniper、Fortinet等。
而为了达到更灵活分配硬件资源的目标,NGFW其实还有一个发展趋势很值得注意,那就是软、硬件功能脐带割离的趋势。未来的NGFW,功能将不会再受到硬件的限制,取而代之的,将会逐渐转向以"空白的硬件"的方式,让设备的扩充性更佳。
接下来我们将列出NGFW应具备的6项重要功能,这些功能都是透过归纳市面上的产品现状,辅以各家调查机构所列出重点的整理而成。Gartner在报告中,建议企业现在在选择防火墙这样的设备时,已经可以逐渐往NGFW的功能考量。而整理出的这6项功能,也同样希望能够提供读者对NGFW这个概念有一定的认识。