更快、更智能——下一代防火墙新技术初探

最近几年,传统防火墙解决方案在应对当前大量的威胁以及不断变化的应用环境时已经显得力不从心。

首先,随着网络的发展,网络应用不断丰富。大量应用建立在HTTP等基础协议之上,或者随机产生端口号,或者采用SSL加密等方式来隐藏内容。此时IP地址不等于用户,协议端口号不等于应用,数据包不等于行为。如何“看清”应用中的内容并进行防御,这是对防火墙提出了新要求。其次,网络正在从千兆走向万兆甚至10万兆,网络带宽增长迅速,防火墙应有足够的性能和扩展性来应对这种变化。再次,随着远程办公的快速增长,要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,尤其重要的是能够识别加密过的数据。

显然,和其他网络设备一样,防火墙必须随需而变,升级到下一代防火墙,才能在变革的大潮中焕发新的生命力。

越“跑”越快

随着互联网的蓬勃发展,网络流量大幅提升,要求下一代防火墙必须具备更高性能、更低时延。Hillstone山石网科(以下简称山石网科)产品经理张龙勇向记者介绍,该公司的防火墙采用多核Plus G2架构和新一代的全并行流检测引擎技术,在同档的硬件配置下有多达5倍的性能提升。防火墙最高可达20万每秒新建连接、20Gbps吞吐量和1000万并发会话。

SonicWALL的下一代防火墙技术Project SuperMassive也采用大规模多核架构,运行于SonicWALL的多刀片机架之上。96核和384核的产品实施原型已经在Interop大会上展出。

SonicWALL首席技术官兼工程副总裁John Gmuender说:“面对不断增加的带宽速度以及互联网威胁的数量、频率及复杂性的不断上升,我们知道Project SuperMassive技术平台需要具备大规模的可扩展性。通过采用Cavium的卓越芯片技术,该平台可扩展到1024个核。同时,经安全与漏洞检测领先公司IXIA验证,其性能超过了40 Gbps。”

华为赛门铁克的高端安全网关设备则采用“NP +多核+分布式”架构,具备优异的防火墙性能,最多可支持8个业务处理模块,整机吞吐量可达到80Gbps,每秒新建连接数为160万,最大并发连接数为3200万。此外该系列产品还具备完善的VPN性能,目前业务处理模块并发隧道数量为4万,整机最高支持32万。

“性能与业务复杂度天生就是一对矛盾体,在一些要求较高的应用场合,就算是多核系统平台也很难做到功能、性能两全。”网御神州防火墙负责人王刚说。为了解决这个问题,网御神州的新一代防火墙基于“为多核加速”的设计理念,在多核架构上引入了可编程ASIC加速引擎技术和多核负载均衡技术。一方面,可编程ASIC加速引擎的引入,彻底解决了传统多核架构在网络层处理性能上的不足,尤其是“小包”处理性能的不足,可以达到64字节小包8G线速的处理性能; 另一方面,多核处理器计算性能优越、在应用层处理能力上的优势得到了很好的继承;而多核负载均衡技术,解决了传统多核架构下由于没有高效的调度技术导致多核的并行处理效能无法得到充分释放的难题。多核负载均衡技术能够将需要应用层处理的流量按照比例分配到不同的CPU核上,最大程度地做到了多核间的并行处理, 大幅提升了设备的应用层处理性能,IPS吞吐可以轻松超过双向1Gbps线速。

看透应用

传统防火墙能够很好地防范网络层攻击。但是,随着富媒体应用的爆炸性增长,以及Web 2.0应用快速向业务环境渗透,隐藏在应用层中的恶意威胁越来越多,用户要求下一代防火墙必须能够检测出隐藏在应用层数据流中的攻击。

Check Point的工程师向记者介绍,Check Point防火墙软件刀片采用智能检查技术—INSPECT,将网络层和应用层保护集成在一起。INSPECT支持多种应用程序和应用协议,可以方便地扩展支持新的应用程序和应用协议。

在深度应用安全方面,山石网科的防火墙可对P2P、IM、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用进行控制。识别的应用多达几百种,而且随着应用的发展每天都在增加。应用特征库可独立升级,不影响系统的稳定性。而且,其采用交叉检测技术,不仅对协议进行深度的分析,还通过综合分析用户状态、应用状态和行为状态,来确认协议的真正含义,实现更精准和更快速的定位。

当前Web 2.0 应用使企业面临着新的威胁以及与应用检测和控制相关的策略与法规遵从问题。在迈克菲的新一代防火墙解决方案—McAfee Firewall Enterprise第八版中,迈克菲扩展了防火墙现有的应用保护功能,能够帮助安全管理员发现和识别数千种应用并执行相应的安全策略,传统的防火墙技术无法做到这一点。通过集成迈克菲基于云的实时全球威胁智能感知系统,迈克菲防火墙还可提供更详细的内、外部威胁和漏洞信息,降低法规遵从和运营成本。

SonicWALL的“应用智能和控制”技术提供了对应用层流量的全面保护、管理和控制。通过持续地运用和更新2700多个独特的应用签名,应用智能可以根据应用标识、用户/群组标识及内容标识来识别和控制流量,并通过建立针对进入和外出带宽管理的政策(不是简单的‘阻止/允许’方案)来管理流量。另外,与其他只提供应用控制的方案不同,Project SuperMassive将应用智能与入侵防御及恶意软件拦截组件集成到了下一代防火墙中,形成了一个功能强大的网络安全平台。

现在,企业的数据中心普遍采用了虚拟化技术,但是,伴随虚拟化技术而来的,还有其本身的安全隐患。安全厂商已经着手解决虚拟化的安全问题,例如迈克菲的防火墙现在既可用于传统设备,也可用于新的虚拟化硬件设备,甚至可以作为一款基于软件的防火墙虚拟设备来使用。这些新的交付方式使客户能够在整合数据中心和应用环境以及引入新的虚拟环境时,充分利用虚拟化技术来降低成本,提高灵活性,而不必担心安全性。

从“云”中获取能量

绿盟产品市场部崔云鹏曾向记者表示,云安全是利用云计算的技术,在分布式计算的基础上,部署中心服务器或者安全系统,并利用互联网,将各个安全节点纳入到云安全中心系统中。在这个体系中,各个节点将会有效地利用云安全供应商提供的强有力服务和安全能力,实现原先单一节点不可能实现的安全防护机制。

目前,应用威胁的数量众多,快速多变。传统安全设备的处理机制已经无能为力。因此,新一代防火墙需要引入云安全,利用云计算加强和加速防御,这是解决当前安全需要快速反应的重要手段。

思科的防火墙已经率先进入“云”时代,思科将其称为云火墙。思科安全产品事业部技术专家郭庆向记者介绍,云火墙具备4大特征,包括:防僵尸网络/木马,防止网络内部主机感染;云检测—全球IPS联动;云接入—SSL VPN;云监控—唯一支持Netflow的防火墙,实现了NOC和SOC二合一。云火墙的“大脑”是SensorBase。SensorBase提供全球安全威胁实时视图和电子邮件的“信用报告服务”,还能敏感监控僵尸网络的动态。SensorBase所更新的信息同步到所有云火墙。各种安全信息不但可以从SensorBase传到云火墙,还可以从云火墙传到SensorBase,云火墙中的IPS可以在第一时间把攻击同步给SensorBase,SensorBase再同步给其他云火墙。

迈克菲的防火墙解决方案中同样使用了云安全—全球信誉技术,包括基于信誉的拦截和地理位置功能,可以在不需要的流量到达网络之前将其过滤,也就是在攻击发生之前将其阻止。

编看编想

下一代防火墙的几个特征

防火墙一方面可以阻止来自互联网的对受保护网络的未授权访问,另一方面允许内部网络用户对互联网进行访问。

回顾发展历程,防火墙经历了包过滤防火墙和状态检测防火墙两个发展阶段。状态检测防火墙实现了对数据包连接状态的监控,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。状态检测防火墙通过检查报文的协议类型和端口号等信息,来监控基于连接的应用层协议。然而,它只能粗粒度地识别来自应用层的攻击行为,也无法针对数据内容做检查。

用户对防火墙提出了更高的要求。下一代防火墙不但要能够检测并拦截复杂攻击,还要在应用层(包括端口和协议)执行细化安全策略,具备出色的可视化性能和控制能力,可以及时查看网络中应用程序和用户的相关信息以及整个企业网络的流量内容,并进行相应的控制。

要做到应用的可视化,下一代防火墙就必须采用能够提供更高性能的架构。现在多核架构已经成为主流,在多核的基础上,各家厂商还设计了“NP +多核+分布式”、“多核+ASIC”等架构。

当云计算成为无法阻挡的趋势时,防火墙也将借助云的力量变得更强大、更智能,部分国外厂商已经推出了采用此类技术的防火墙。

虚拟化技术是对防火墙的更大挑战,在如何保护虚拟环境的安全性方面,少数防火墙厂商已经提出了解决方案,我们希望能有更多的解决方案出现。