安全分析:下一代防火墙有效应对安全新变化

防火墙必须演进,能够更主动地阻止新威胁(例如僵尸网和定位攻击)。随着攻击变得越来越复杂,企业必须更新网络防火墙和入侵防御能力来保护业务系统。

不断变化的业务流程、企业部署的技术以及威胁正推动对网络安全性的新需求。不断增长的带宽需求和新应用架构(如Web 2.0)正在改变协议的使用方式和数据的传输方式。安全威胁将焦点集中在诱使易受攻击的用户安装试图避免被检测出的针对性的恶意执行程序上。在这种环境中,简单地强制要求在标准端口上使用合适的协议和阻止寻找未修补的服务器的攻击不再有足够的价值。为了应对这些挑战,防火墙必须演进为Gartner称之为“下一代防火墙(NGFW)”的产品。如果防火墙厂商不进行这些改变的话,企业将要求降价来降低第一代防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。

什么是NGFW?

对于使用僵尸网传播方式的威胁,第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加,更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确检查针对没有打补丁的操作系统和软件的已知攻击方法,但不能有效地识别和阻止应用程序的滥用,更不要说应用程序中的特殊特性了。

Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和攻击试图入侵业务系统的方式发生的变化时必要的演进。

NGFW至少具有以下属性:

支持联机“bump-in-the-wire”配置,不中断网络运行。

发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:

1,标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。

2,集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和,例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员不得不跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码是NGFW的一个主要特征。

3,应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype但关闭Skype中的文件共享或始终阻止GoToMyPC。

4,额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定,或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。

支持新信息馈送和新技术集成的升级路径来应对未来的威胁。

NGFW执行的例子包括阻止细粒度的网络安全政策违规或发出报警,如使用Web邮件、匿名服务器、对等网络技术或PC远程控制。简单地根据目的IP地址来阻止对提供这些服务的已知源地址的访问是不够的。政策的颗粒度要求仅阻止某些类型的应用与目的IP地址的通信,而允许其他类型的应用与这些目的IP地址通信。转向器使确定的黑名单不可能实现,这意味着有许多NGFW可以识别和阻止的不受欢迎的应用,即使这些应用被设计为逃避检查或用SSL加密。应用识别的一个额外好处是带宽控制,因为,消除了不受欢迎的对等网络传输流可以大大减少带宽的使用。

什么不是NGFW?

现在有一些与NGFW相邻但不相等的基于网络的安全产品领域:

中小企业多功能防火墙或UTM设备:这类设备是提供多种安全功能的单一设备。尽管它们总是包含第一代防火墙和IPS功能,但它们不提供应用意识功能,而且不是通常集成的、单引擎产品。它们适合于在分支办事机构中节省费用,适用于较小的公司,但它们不能满足大型企业的需要。这类产品包括与低质量IPS搭配的第一代防火墙,并且/或者深度检查和应用控制特性只不过同时出现在一台设备中而不是紧密的集成。

基于网络的数据丢失防御(DLP)设备:这类设备执行对网络传输流的深度包检查,但将重点放在检测以前识别的数据类型是否经过检查点。它们在执行数据安全政策时没有实时要求,不能执行线速度网络安全政策。

安全Web网关(SWG):这类设备侧重于通过集成的URL过滤和Web杀毒,执行出站的用户访问控制和进站的恶意件防御。它们侧重于在“使用任意协议的任意源到任意目的地”基础上,执行以用户为中心的Web安全政策,而不是网络安全政策。

消息安全网关:这类设备重点放在执行容忍延时的出站内容政策和执行入站防垃圾邮件和防恶意件上。它们不执行线速度网络安全政策。

尽管这些产品可能基于网络并使用类似的技术,但它们执行属于企业内不同运营部门的责任和权力的安全政策。Gartner认为在IT和安全组织责任从根本上改变之前,这些领域不会融合在一起。

NGFW也不是“身份防火墙”,不是一种基于身份的访问控制机制。在多数环境中,网络安全部门没有在应用层上执行基于用户的访问控制政策的责任和权力。Gartner认为NGFW将能够在部门级合并身份信息来做出更好的网络安全决定,但它们一般将不用于执行细粒度的用户级执行决定。

NGFW将逐渐成功

目前,有一些已经将他们的产品升级为提供应用意识和一些NGFW特性的防火墙和IPS厂商和一些关注NGFW能力的新兴公司。随着防火墙和IPS更新周期的自然到来,或者随着带宽需求的增加,或者随着成功的攻击促使更新防火墙,大企业将用NGFW替换已有的防火墙。Gartner认为不断变化的威胁环境以及不断变化的业务和IT流程,将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。NGFW厂商成功的关键将是以同样或略高于第一代防火墙的价格,提供包含NGFW能力又具有第一代防火墙和IPS特性的NGFW。

目前仅有不到1%的Internet连接采用NGFW来保护。我们认为到2014年底,这个数字将增加到占安装基础的35%,60%新购买的防火墙将是NGFW。

关键结论

第一代防火墙提供的状态性协议过滤和有限的应用意识在对付当前和新出现的威胁时不再有效。

与优化的组合平台相比,使用分离的防火墙和入侵防御设施导致更高的运营成本,并且没有提高安全性。

可以检测针对特定应用的攻击和执行针对特定应用的细粒度安全政策(不管是入站还是出站传输流)的下一代防火墙(NGFW)正在出现。

NGFW在与其他安全控制层结合时最为有效。

建议

如果你还没有部署入侵检测,到了更新防火墙时,要求厂商提供NGFW。

如果你已经部署了网络防火墙和网络入侵检测系统,同步这两种技术的更新周期,向NGFW迁移。

如果你使用托管的外围防线安全服务,在下一次更新合同时,将服务升级为NGFW服务。