下一代防火墙何时才会替换现有防火墙?

虽然网络工程师和分析师十分钟爱下一代防火墙,或称应用感知防火墙,但是技术仍在发展中。所以许多企业都保留着原有的防火墙和协议,至少到现在为止是这样的。

网络系统工程师Mike Wade,是Palo Alto Networks最早的下一代防火墙使用者,他在Summa Health(俄亥俄州医院与医学中心)系统的网络周边就部署了应用感知防火墙。Palo Alto的防火墙位于网络DMZ的外围。然而,他的网站中仍然有传统的状态防火墙,如Cisco ASA 5500s,就位于DMZ的内侧。这两个防火墙就这样背靠背地部署在他的主数据中心和次级"hot site"数据中心当中。

DMZ两侧不同类型的防火墙服务于不同的需求,Wade说。“DMZ两侧的具体需求总是不一样的,”他说。“外侧的防火墙会受到不断的攻击,而内侧的防火墙只限于去处理路由至防火墙的一些流量而已。”

Palo Alto防火墙可以扫描攻击数据中心的应用程序,而Cisco ASA可以检查端口和协议。分层防火墙的使用是安全策略的一部分,可划分职责,Wade说。他现在就负责DMZ外围及周边的设备,同时还有一个单独的网络小组负责DMZ内侧的ASA。

“如果有人能够破解我的密码或其他安全信息,那么攻击者到达二级防火墙时,需要面对复杂的个人化(内部网络管理人员)信息以及完全不同的其他设备,”Wade说。“我们的设想是在如此机关重重的情况下,攻击者就不得不选择放弃。”

尽管最近一段时间应用感知防火墙被炒作的很厉害,但是至少在接下来的几年内,状态端口和协议防火墙仍会在大多数网络中博得一席之地。

状态防火墙在网络演进的十字路口

过去的15年当中,在网络安全领域,状态防火墙一直是处于第一道防线上。就像是嗅探端口和协议的交警,在网络工程师等制定的成千上万条规则的基础上为流量采取最恰当的措施。

但是网络不断变化的本质已经抛弃了这种陈旧的防火墙架构。网站上可以运行无数单独的应用程序——比如聊天、视频、文件传输,甚至是类似于Salesforce.com这样的企业应用程序。因为这些应用程序都需要在Web上运行,所以传统防火墙将其视为HTTP或HTTPS 以及 Port 80 或Port 443。黑客之所以把这些端口当做攻击目标是因为这些流量对于防火墙来说是不可见的,并且看起来类似于合法的Web流量。

传统防火墙的劣势带来了纷繁的网络世界,继而出现了多种多样的网络安全应用程序和软件。网络工程人员部署了许多产品来填补这个技术与市场的空白,这些产品的覆盖范围可以从入侵检测与防御系统(IDS/IPS)和杀毒软件到Web过滤和内容过滤产品等。

下一代防火墙的新品牌,或称应用感知防火墙的新品牌,它们更多地注重OSI模型中的应用层而不是端口和协议,目的在于实现基于策略的应用访问。几乎市场上的每一个防火墙供应商(除了Cisco之外)都有了自己的下一代防火墙产品。根据不同供应商对下一代防火墙的不同理解,其应用程序也都不尽相同。有些厂商的产品只可以识别到是来自Facebook的流量,而其他的一些产品则可以更加深入,它们可以把流量从Facebook video,Facebook聊天或简单的Facebook状态更新中区分出来。

供应商的发展是存在差异的。从最初开始,Palo Alto公司就已经做应用感知防火墙了。竞争对手,比如Sonicwall 和Fortinet,都选择了把现有的IPS/IDS技术加入到防火墙平台中,实现应用感知。Mike Rothman是Securosis的分析师兼安全研究总裁,说道:IPS/IDS方法只是演化至应用感知防火墙的第一个阶段,到最后,采用这种方法的供应商往往都会再次修改防火墙配置,也会从根本上重新修改产品功能。在某种程度上这归根于IDS/IPS产品是由恶意应用程序签名所推动的,而下一代防火墙是通过挑选出这些特殊的网站和应用程序来实现应用感知的。

“把它想象成为一个主动与被动的安全模式,” Rothman说。“如果你把他当做IPS/IDS附加模式,你就需要配置各种策略和规则来寻找不同的恶意程序。这样就显得过于复杂而且还要配置许多不必要的处理设备。如果在一个主动安全模式内,你就可以说‘这是我允许的应用程序和功能。’”

但是根据Nemertes Research高级副总裁兼合伙人Andreas Antonopoulos的看法是:应用感知防火墙的处理器本质就是强制企业对防火墙做多层部署。

“如果想在细分的内部VLAN,MPLS以及管理虚拟服务器时实现10 Gigabit-capable防火墙的功能,那下一代防火墙可能就无法让你满意了,” Antonopoulos说。“我认为在数据中心中连接数以百计的外联网及合作伙伴的连接时使用这样的平台并不是一个明智的选择。在管理内部分段网络、非常复杂的DMZ以及虚拟服务器网络时也没有什么好处。但是对于处理来自Web和用户流量中的威胁时它确实是一个很好的平台,有些是传统防火墙无法实现的。”

下一代防火墙可消除边缘蔓延

在Summa医疗机构安装Palo Alto应用感知防火墙之前,Wade 是通过Microsoft Internet Security and Acceleration (ISA)服务器阵列来保护系统的。之后ISA就被面向外部的网络连接替换,速度也从50 Mbps 提高至100 Mbps。此阵列上曾运行着防火墙、杀毒软件和内容过滤等。

“忽然间,ISA就变得很不稳定了,”Wade说。“当时在这个阵列中我们有三个面向外部的服务器。后来我扩充为五个,虽然数量增加了,但是系统仍然不稳定。我曾与Microsoft合作,修改了我们防火墙服务器上的缓冲,虽然情况有了些许好转,但是操作起来确实不如从前。Microsoft说未来做面向外部ISA阵列扩容,这样的话整个企业服务器的数量就会达到11个。这种说法似乎有些不切实际。”

Wade开始准备重新购置一套系统时,但没有想买下一代防火墙设备。过去,Wade曾用过Juniper Networks、Check Point Software以及Sonicwall公司的传统防火墙,但是当他与网络安全方案供应商FishNet Security交谈时,Palo Alto被推荐给了Wade。

“我们把Palo Alto的产品部署到我们的环境中,并设置其与ISA并列,这样在做端口扫描时我们就可以观察到所有进入ISA的流量,”Wade说。“我们的视野更加宽阔。很显然,在ISA上有一个内容过滤器错误,我们运行了一个不能处理IP地址的内容过滤器,所以除非把主机名传送给ISA,ISA完成主机名的解析,否则根本就就无法得知你浏览的到底是什么网页。唯一能够知道的只有IP流量是在80端口上以及它是允许通过的流量,”他继续说。“人们发现只要他们在工作站上安装了防火墙客户端以及不抑制ISA上的自动侦测,他们就可以去访问YouTube,Facebook,porn等。很多东西都会避开内容过滤器,成为漏网之鱼。”

Palo Alto使Wade制定了一套新的基于应用的防火墙策略。该防火墙与Microsoft的Active Directory结合,可以使Wade更加细致地配置其策略。

“在我们组织中,有一部分人有参加在线研讨会的需求。他们需要上在线课堂并在医院的各种计算机上进行操作,”Wade说。“我可以设定策略允许特定的用户使用HTTP视频和HTTP音频,但是我没办法禁止用户使用YouTube。用ISA或Check Point我无法做到。虽然我可以阻止用户访问YouTube网站,但用户仍可以允许嵌入式的YouTube视频或者从别的站点进入。”

企业需要注意下一代防火墙的架构变化

由于大多数供应商都在销售应用感知防火墙,其实从根本上讲就是带有IDS/IPS功能的状态防火墙。为了确保所选择的防火墙能够很好地在自己的网络环境中使用,网络工程人员在开始时就需要留意,Rothman说。

“随着时间的推移,所有的供应商势必都会改进他们的架构,”他说。“现实情况是,大多数安全产品都需要从根本上改变。问题是:什么时候才会发生?企业认为现在的下一代防火墙只是初期产品,他们可以通过绑定其他功能来解决当前问题,当产品成熟时再做彻底改变。其实,这对技术来说只是一个发展线路,但是对企业来说却是巨大的挑战,尤其是那些还没有树立正确期望值的企业。”