下一代防火墙技术发展趋势

集应用智能、控制功能和网络可视化于一身,打造全方位网络安全平台

全球最具权威的IT研究与咨询公司Gartner认为,下一代防火墙(NGFW)是一种集成式线速网络平台,可执行深度流量检测,阻止攻击。Gartner以“下一代防火墙”这个术语阐明防火墙在应对业务流程使用IT的方式,以及威胁试图入侵业务系统的方式发生变化时应采取的必要演进。SonicWALL公司对下一代防火墙的定义与 Gartner的理念完全一致。过去,IT管理员只能过滤少量端口的内容,然后阻止其它端口的所有流量,从而避免所有可能的攻击载体入侵网络。尤其是那些基于3层网络设备的老旧防火墙,只能根据与数据包源地址和目标地址有关的信息,即协议和端口号来检测流量。但如今近三分之二的流量都是HTTP和 HTTPS流量,就设置和执行安全策略而言,协议和端口细节实际上已毫无用处。随着Web2.0、社交媒体、移动性及云计算等创新技术的飞速发展,通过协议和端口号分类来检测流量已不能有效阻止新型的威胁,传统防火墙在应对这类威胁方面已显得力不从心。IT以及威胁格局的日益复杂性,要求企业具备更精准的 IT控制能力。为重新取得控制权,企业的首席信息官和IT总监大胆采用了具备应用层智能和控制功能的下一代防火墙,以有效抵御各种新生威胁。

对我们而言,下一代防火墙包括入侵防护、网关防病毒、内容过滤、反垃圾邮件等功能,同时还要确保网络的可视化,即管理员能够实时查看应用流量,并根据观察到的情况调整网络策略。然而,穿越防火墙的大多数流量是一些应用和数据,并不具备威胁性。那么,现实生活中应用智能和控制意味着什么?它又是如何实现日常安全防护的?

NGFW能够根据深度包检测(DPI)引擎识别到的流量在应用层执行网络安全策略。流量控制不再是单纯地阻止或允许特定应用,而是可用来管理带宽或优先排序应用层流量。深度流量检测让IT部门可针对单个应用组件执行细粒度策略。而应用智能防火墙提供了带宽管理和控制、应用层访问控制、数据泄密控制,以及对特定文件传输进行限制等功能,可有效地管理和控制穿越防火墙的数据和应用。

流视频及流音频管理为关键业务应用预留带宽

应用防火墙允许对穿越防火墙的应用和数据进行分类、控制和管理。例如,企业许可员工访问带宽高消耗型网站如Youku(优酷),但仅限工作中需要访问这类网站的员工。同时,企业可根据媒体或时间限制速率,为关键业务应用预留带宽。员工通过企业网开展各种社会交往,与工作无关的行为耗费了大量带宽,对关键商务活动造成了极大影响。假如某公司有100名员工使用PC经Youku观看视频,这无疑会造成网络拥塞,从而降低商务应用的性能。要解决此问题,绝不是简单地阻止这类流音/视频网站,而是需要对策略进行细粒度管理。

访问流视频或音频网站有时是工作必需的,但通常会被滥用。拦截网站本身可能有效,但最好是限制分配给流音/视频网站的带宽。管理员可根据预先定义的逻辑类别(如社交媒体或流视频网站)、个别应用或用户和用户组轻松创建带宽管理策略。例如,使用深度包检测引擎在HTTP报头中搜索HTTP网址=www.youku.com,继而将带宽限制应用于带此报头的流量,在特定时间段内(如早上9时到下午5时)限制应用的带宽。当然,企业也可以创建一份希望管理的音频文件扩展名列表,通过文件扩展名进行控制,一旦“检测”出符合搜索条件的网站或扩展名,即可阻止流音频或对流音频进行带宽管理。

分组带宽管理实现生产力最大程度提升

如上所述,我们对Youku等流视频网站运用了带宽限制。但如今,公司首席执行官和首席财务官总在抱怨每天访问的“商业新闻视频”速度太慢。鉴于此,我们可以通过放松对每个人的带宽限制来改善这种情况。但还有一个更好的方法,即进行分组带宽管理。将此策略应用于LDAP 服务器导入的“管理”组,使用深度包检测引擎在HTTP报头中搜索HTTP网址= www.youku.com, 确保包含“管理”报头的流量具有足够的带宽,从而创建不限制管理层浏览流视频的策略。

不管是为关键应用优先分配带宽还是限制生产力不高的用户组带宽,以最大程度地提高生产力,企业均可在每用户/用户组基础上结合所有控制能力,创建详细的策略。

创建拦截策略避免机密电子邮件外泄

在一些公司内,外发电子邮件系统无法检查电子邮件附件内容,作为邮件附件的“公司机密”文件可被轻松“带出”公司。即使公司现有的垃圾邮件防护系统可检测和阻止包含“公司机密”信息的外发电子邮件,但如何阻止员工使用Yahoo或Gmail邮件服务发送“公司机密”信息?事实上,NGFW可标记出通过上传方式或Webmail附件传输的敏感、带水印、公章或标签的数据,通过增强对加密流量的监管和控制,防止机密文件及数据外泄,避免敏感客户信息和知识产权不必要的暴露而蒙受损失。首先,使用深度包检测引擎搜索电子邮件内容=“公司机密”或“公司专有”,继而阻止邮件发送,并通知发件人此邮件为“公司机密”。一旦外发网络流量穿越公司防火墙,NGFW即可以检测并拦截“移动中的数据”。

创建FTP上传策略控制文件上载权限

许多公司会建立一个或多个FTP 网站,以便与业务合作伙伴交换大型文件,同时,希望确保合作伙伴方只有项目经理可以上传文件,其他任何人均不被授权。NGFW使用深度包检测引擎搜索 FTP命令=“放置”,而后搜索验证用户名= “pm_partner”(项目经理),若两者均符合,便允许FTP上传放置。当然,NGFW还可以驳回任何企业认为指定FTP服务器不需要的FTP命令。

除上述创建不同策略以管理和控制网络应用外,NGFW还可利用带宽和时间限制阻止或限制对等网(P2P)应用,从而防止宽带盗用及恶意文件。此外,如今许多企业的关键业务如SAP、?Salesforce.com和 ?SharePoint都是基于云的应用,或者,它们的运行需要跨越不同地理位置的网络,NGFW能够确保这些应用可以优先获得运行所需的带宽,从而改善业务效率。

总而言之,下一代防火墙进一步增强了安全性,对传统的网络层威胁防御系统进行了扩展,纳入了应用层检测功能。其真正的价值在于智能流量管理,可根据应用、用户或用户组和内容来执行相应的策略。下一代防火墙无缝集成了应用智能以及入侵防御和防恶意软件等核心功能,打造全方位的网络安全平台。这就是防火墙技术的未来。