随着网络安全威胁的手法越来越多,传统防火墙功能早就已经有鞭长莫及之感。在这样的状况下,逐渐出现称作次世代防火墙(Next Generation Firewall,NGFW)。今天eNet安全频道就这种防火墙所应具备的几类功能强化进行归类总结如下:
功能1:具备应用程序流量识别能力,进而强化管理
传统的防火墙,是依照封包的来源、连接池等网络层第三、第四层的信息,进行封包过滤,像水闸门一样,减少网络被恶意程序攻击的可能性,但是次世代防火墙必须做到更多。
首先,次世代防火墙(Next Generation Firewall,NGFW)要有能力看懂第七层应用层的流量,识别不同的应用程序流量,而且还要再更进一步,还能够识别使用者的身分、装置等信息。也就是说,NGFW必须提供比传统防火墙更好的可视性,如此一来面对许多新型态的攻击,如僵尸网络等,才能有能力反应。
事实上目前市面上不少提供防火墙功能的安全厂商,已经具备有这样的能力。举例来说,Palo Alto的防火墙,就是以这一点为号召。Palo Alto亚太区业务副总林本国表示,现在Palo Alto有能力识别900多种不同的应用,并且能透过图像化分析每种应用流量的使用者使用时间、占用频宽等信息,也能进一步看到每个使用者连线的状况与报表,并且透过政策控管流量的通过。而以人为基础的报表,则能协助企业在发生问题时快速找到问题的症结点。
除了Palo Alto外,如Juniper等厂商,也能透过IDP模组的功能看到类似的信息,再辅以与身分识别的AD架构、RADIUS等服务器的沟通,就能做到辨识使用者与应用流量的功能。
这项功能之所以对于次世代防火墙来说非常重要,主要的原因除了先前谈到可以协助快速找出问题外,还有一个重点,就是只有透过提供这种可视性,才能协助企业在NGFW上,做到基础的网络存取控管(Network Access Control,NAC)功能。这将能协助企业在安全政策和阻挡大规模感染上更有效率,有能力将感染限制在一定区域。
而且不仅于此,事实上NGFW应该还要能够更进一步的能够针对特定应用的特定功能去管控,举例来说,在Gartner的报告中就写到,可以针对Skype这种应用,只关闭档案传输的功能,类似这样的能力才能算是做到对应用程序识别管理的能力。这样的功能,现在也已经有部分产品可以达成。
提供可视性,进而透过这样的深层封包检测能力去管理流量,是次世代防火墙和传统防火墙最大的不同。可以预见的,未来会有越来越多提供防火墙功能的设备商,往这个方向前进。例如Check Point在2009年就并购了一家名为FaceTime的厂商,根据Check Point台湾区技术顾问陈建宏的说法,这次并购就是为了让Check Point的设备,在未来能提供应用程序识别的能力。
功能2:软、硬件将逐渐不被绑死,能更弹性调配
次世代防火墙其实还有一个很重要的特性,就在于能够提供更弹性和灵活的架构。而软、硬件功能的脐带被分割,就是其灵活特性所展现出来的一个重点。
有别于过去的防火墙产品,买了硬件,软件的功能就固定无法变动,NGFW将能够松动这一环羁绊。NGFW为了更灵活的调配硬件资源,将会走向软件功能与硬件分开来运作的道路,这样一来,在扩充硬件时,就不会有过去受到局限的问题,购买的就单纯是硬件资源,而软件功能则直接做在原有设备上。
举例来说,使用者如果要增加防火墙的硬件效能,就购买硬件的模组即可,每个模组并不是单独的防火墙,而是可以分配给不同功能的硬件资源。所以购买进来的硬件模组,比如说有4个处理器的话,也可以把这4个处理器的运算资源分配给NGFW的其他功能。同样的,软件的功能也能依照使用的需求增加或减少,而不会因为购买了特定硬件,就必须使用特定软件的功能,例如购买防火墙模组的插板,该模组就只能当防火墙用。
Juniper香港/台湾区技术总监游源滨表示,这样的灵活架构设计,将能够减少传统防火墙所面临的模组负载平衡等问题,并且打破硬件模组就是相当于独立设备的局限,减少很多使用上的麻烦。事实上,现在包括Juniper、思科的产品,都已经在往这个方向前进。例如Juniper的SRX,以及思科的ISG R2,都推出了单纯的硬件模组支援扩充。而Fortinet台湾区技术顾问刘乙也指出,随着Fortinet设备虚拟化的技术发展,未来也很有可能会往这个方向前进。此外,Check Point现在也提供软件功能增减的能力,让使用者能够依据需求和硬件的效能状况,自由增减要执行的软件。
软、硬件功能的松绑,也有助于设备的虚拟化发展,无论是将多台设备虚拟为单台;或是将单台设备透过虚拟化切割成不同的小台防火墙,都能让NGFW具备更灵活与更弹性资源分配能力。而这样的能力,对于之後将要谈到未来支援云端架构的需求来说,十分的重要。
功能3:必须要有能力提供客制化的功能,对新的威胁快速反应
和先前谈到的概念类似,NGFW之所以要在架构上变得更灵活,其实很大的因素就是要让使用者能够更快的面对新的威胁。
传统购买安全设备,能提供的功能就是厂商宣称的那些,未来如果有新功能推出,如果不是能够模组化抽换的设备,可能就必须重新购买才能使用到新功能。此外,当企业遇到一些独特的需求时,由厂商协助提供客制化过滤器或功能的可能性也非常低,或者是难度非常高。
不过,未来的NGFW,在这一点上将会有所改变。首先,正如先前谈到,由于已经可以打破软、硬件绑死的局限,NGFW在提供客制化功能或过滤器等能力时,将会相对比较容易。不过Check Point台湾区技术顾问陈建宏指出,虽然如此,但是要企业自己有办法写出过滤器或是新增一些专属的功能,企业往往也难以拥有这样的IT人才。在这样的状况下,未来NGFW应该是保留住提供升级新功能的弹性,让设备厂商有能力协助企业使用者建立这样的客制化功能。
目前很多厂商都已经开始提供这样的功能,前面提到的Palo Alto、Juniper、思科、Check Point等,其实都已经有不同的方案可以协助企业做到这一点,过滤器的客制化还较为容易,但功能的增加现在可能难度仍高。NGFW保留这样的能力是必需的,这将能有效的协助企业解决许多自己遭遇的独特状况,针对安全情况做出更快速的反应。
功能4:能够支援云端架构动态变化的需求
随着虚拟化和云端的大趋势开始起跑,其实次世代防火墙也必须要有能力支援未来这样的新架构。Juniper香港/台湾区技术总监游源滨表示,这代表NGFW在硬件功能上必须要能够有些新的变化,比如说每秒用户连线能力、横向扩充能力、虚拟化架构的防护、硬件资源的分配等,都会是云端运算架构中需要面对的问题。
他接着指出,NGFW必须要有能力承受更高的每秒用户连线能力,而不光只是支援更高的同时在线人数。游源滨说:"光有很高的同时在线人数,就像你虽然有一个大水池,可是却只能让水慢慢的流进去,否则水池就会垮掉。"而在云端架构的基础下,企业根本没有办法限制用户的连线数。
除此之外,虚拟化的防护,也会是NGFW需要面对的重点问题,如何让防火墙能够与虚拟层沟通,进而能够针对每一台虚拟机器的流量做扫描与阻挡,而不会将之视为单一的实件服务器,这会是NGFW必须拥有的能力。事实上,现在虚拟化平台厂商如VMware,就有VMsafe这样的合作计划,让资讯安全设备能够透过与虚拟层的沟通,做到前述的能力。
其他诸如横向扩充与硬件资源灵活分配的能力,我们已经在功能2谈过,就现在来看,NGFW在这一块技术的发展,将会以自身设备的虚拟化来达成。设备的虚拟化,将让NGFW的硬件资源,能够依照不同功能负载量的状况动态分配,这也能够满足云端的需求,例如防火墙需要更多的硬件资源,就分更多给这项功能;QoS需要更多的硬件资源,就分享更多的资源给它。这和传统模组各自独立,硬件资源无法共用的状况完全不同,也会是NGFW的一个重要特色。
目前像是Juniper SRX的作法,就是以单台虚拟为多台,让设备的硬件资源能够灵活分配的作法,减少管理难度与扩充的问题。而据了解,未来Fortinet很有可能推出的作法,则将会是以多台设备虚拟为一台的方式,来达到类似的效果,降低横向扩充的难度。
Fortinet台湾区技术顾问刘乙认为,支援云端架构,将会是NGFW的一个重要功能特色。而只有更灵活与更弹性的设计,搭配设备本身虚拟化的技术,才有可能达成这一点。事实上,思科的ISR G2,虽然主要还是以路由器为主要功能,但根据台湾思科业务开发经理张志渊的说法,未来也会提供原本Iron Port的许多功能,强化其安全上的能力。而其新设计的硬件模组概念,就是要符合NGFW更灵活与更弹性架构的想法。
功能5:能与不同装置共同联防
谈到安全设备间的联防,很多人的直觉是想到类似NAC的架构,甚至在贩售产品的经销商,都有人有这种想法,然后因为NAC不容易实现,赚不了钱,所以避而不谈区域联防这种概念。不过事实上,这是以偏概全的想法,区域联防并不是这么一回事。
NAC只是安全设备联防的一种形式而已,而NGFW概念中的区域联防,则又是另一种形式的想法。我们甚至可以这么说,NGFW必须要具备与其他安全设备沟通的能力,这才是未来发展合理的走向。在现在的网络架构上,就算你拥有一台宛如超级英雄般的无敌安全设备,也不能确保企业的网络架构能够安全无虞,因为不可能所有的流量,都流经单台设备。
在这样的状况下,NGFW势必必须拥有与其他设备的联防的能力,举例来说,若能与其他设备,或自己设备中的网站过滤功能沟通,那么当使用者连结上到含有恶意连结的网站,或者是违反企业安全政策的网站时,NGFW就能扮演阻断流量的角色,把威胁的可能性在发生前就截断,防患于未然。
其他诸如IDP等功能,如果能与NGFW互通,也同样能够发挥类似的效果。目前来看,市面上有能力做到这样联防的设备还不多,多数还以拥有众多产品线的大型公司为主,如Juniper。而NGFW也能透过与其他设备的互通,做到部份NAC的功能。如与和身分辨识的AD架构、RADIUS等设备沟通,取得使用者身分的资讯,然后辅以应用辨识的能力,将不合企业内安全政策与可能的恶意威胁流量阻断,并且能够快速的辨识出使用者位在何方。
总而言之,在威胁日益增多的现在,过去单一设备铜墙铁壁的想法已经行不通了,也因此我们在思考NGFW这样的概念时,不能落入这样的陷阱。这也是为什么与其他设备联防,会被视作NGFW重要能力的原因。
功能6:整合更多强化的功能
前面的几个必备功能,我们比较着重在整件架构面的观察。而NGFW其实还有一个能力不能不提,那就是必需整合更多强化的功能。
过去UTM这样类型的安全设备,由于硬件技术的不足,当功能全开的时候,往往会有效能大幅降低的状况发生。不过随着硬件技术的发展,处理器现在运算能力甚至不会比不可程序化的ASIC差到哪里去,这也使得单一安全设备整合多功能的可行性越来越高。而NGFW也因此可以预见,未来一定能够整合更多传统防火墙所没有的功能。
我们拿安全训练与研究机构SANS(SysAdmin、Audit、Network、Security)协会,所定义的NGFW来看,就会发现NGFW除了该具备传统防火墙功能外,还必须要能提供包括基础DLP、NAC(Network Access Control)、IDP、防蠕虫、防中介软件、网站过滤、VPN、SSL Proxy、QoS等功能。
不但拥有更多功能,NGFW的功能也还要更为深入,例如NGFW的IDP功能,应该要能够透过不同技术辨识流量,如Header-based、Pattern matching、Protocol-based、Heuristic-based、Anomaly-based等。并且有能力提供客制化的过滤器。而在防蠕虫的功能上,则必须做到减轻试图直接瘫痪攻击的影响程度,以及不让蠕虫的扩散。并且要有能力针对电子邮件去设定阻挡政策。此外,还必须要拥有部份路由和交换等功能,QoS能力也应该要具备,并且要能够和辨识不同应用程序流量的功能结合,针对不同的流量做出不同管理。