新边界安全中所定义的新边界包括网络安全边界、应用安全边界、数据安全边界、内容安全边界以及云计算安全边界五大部分。其中,网络安全边界已逐步向应用安全边界发酵并转化,传统的防火墙也在逐步向应用级智能防火墙发展。在Gartner看来,NGFW是一个线速(Wire-Speed)网络安全处理平台,定位于企业网络防火墙(Enterprise Network Firewall,Firewall指宏观意义上的防火墙)市场。在网御星云看来,NGFW+则是一个高性能多线程专用平台,通过应用感控技术进行识别,同时能进行智能流量控制的综合型下一代防火墙,定位于政府、行业以及电信级防火墙(Government、Industry、Telecom)市场。
一、市场NGFW属性
传统FW属性:NGFW必须拥有传统防火墙所提供的所有功能,如基于连接状态的访问控制、NAT、VPN、HA等等。虽然我们总是在说传统防火墙已经不能满足用户需求,但它仍然是一种无可替代的基础性访问控制手段。
六元组属性:网御提供了一个全网络视图的六元组安全策略,其与以往的五元组相比,最大的优势在于可使得管理员能够基于实时情况、应用ID定义安全策略。同时,此策略还可以辨别出来自同一网站的不同应用并且可以启用服务质量选项为这些应用优先分配带宽。在访问控制基础上取得了质的飞跃。
云防御属性:云安全防御技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端,实现立体全面的防护。
应用感控属性:NGFW必须具有与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性,但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。
智能联动属性:获取来自“防火墙外面”的信息,做出更合理的访问控制,例如从域控制器上获取用户身份信息,将权限与访问控制策略联系起来,或是来自URL Filter判定的恶意地址的流量直接由防火墙去阻挡,而不再浪费IPS或其他产品的资源去判定。我们理解这个“外面”也可以是NGFW+本体内的其他安全业务,它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系,实现自动联动的效果。
二、NGFW直面UTM
需要注意的是,不同机构对NGFW做出的定义都是最小化的功能集合。站在厂商的角度,势必要根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异,同时更像一个大而全的集中化解决方案,给用户造成了很混乱的印象。用户大多数会产生同一个疑问:NGFW是不是相当于一个加强型的UTM?
实际上,这里提到的NGFW和UTM都是对厂商包装后的产品的认知,已经脱离了最原始的定义。市场分析咨询机构IDC曾经这样定义UTM:这是一类集成了常用安全功能的设备,必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能,并且可能会集成其他一些安全或网络特性。它简单明了,让人易于接受并容易做出判断。而安全业务的集成化,也确实符合当时的市场需求。有了这样一个宽泛的准入条件,UTM的概念一经推出便受到厂商与用户到一致认同,市场份额迅速扩大,成长为目前安全市场上的主流产品。
Gartner在其市场分析报告中对NGFW产品形态则有着更为细致的描述。该机构在调研后认为,除了传统防火墙、VPN,NGFW至少还应该具有 APP、User、URL过滤和内容过滤的能力,并且要支持反恶意软件(包括病毒、木马、间谍软件等)范畴;作为边缘网关,NGFW必须满足时延敏感型应用的需求,与之有悖的功能不适合出现在NGFW上。
通过上面的分析,我们可以得出明确的结论:UTM和NGFW只是针对不同级别用户的需求,对宏观意义上的防火墙的功能进行了更有针对性的归纳总结,是互为补充的关系。无论从产品与技术发展角度还是市场角度看,它们与IDC定义的UTM一样,都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述,其出发点就是用户需求变化产生的牵引力。
三、NGFW产品现状
目前,在国内安全市场,各安全厂商也在为自己的NGFW产品造势,但基本上都是处于宣传阶段,无实际产品正式发布,NGFW的市场前景会进一步扩大化,国内安全厂商将在更细化的区域进行白刃PK。网御星云公司则早在2010年初就已立项启动下一代智能感控防火墙的研发,当前正经历临床试验阶段,其功能包括所有NGFW的特质,并融合网御的云防御理念,预计2011年下半年将全面上市。
四、如何评估NGFW
NGFW属于新生产品,目前业界对其还没有一个公认的测试标准,甚至独立的测试报告都寥寥无几。随着网络应用的增加以及云计算的发展,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小,所以如何判断下一代防火墙好坏应从以下几个方面综合评估:
硬件架构方面:在近几年,一些防火墙制造商开发了基于ASIC的防火墙,从执行速度的角度看来,基于加上芯片的防火墙也是取决于软件的解决方案,它需要在很大程度上依赖于软件的性能,虽然这类防火墙中有一些专门用于处理数据层面任务的引擎,能减轻CPU的负担,性能要比传统防火墙的性能好许多,但这也存在很多问题,ASIC主要处理网络层数据,而当今应用层已经占据半壁江山,虽然起到加速作用,但效果甚微,另一方面,由于ASIC对新建并发、最大并发连接并不起多大作用,防火墙的并发瓶颈并未得到真正解决,人们更多的倾向于多核MIPS技术,所以,多核多线程并行处理技术既能解决高并发的问题,也能处理应用层协议,这一方向得到了多数安全厂商的认可。
易用界面方面:管理界面的易用性也是不容忽视的评估要素。虽然用户识别/控制和统一的策略框架不是NGFW定义中的强制功能,但根据用户的实际需求出发,在该领域应做出更加深入的用户体验改善。用户应当考察NGFW产品是否可以通过获取域控制器信息或Web认证等手段,做到IP与用户身份的绑定,再通过统一的策略框架进行更加直观、简单的权限定义,以达到“允许市场部门的所有员工从任何位置访问新浪微博”、“只允许IT部门员工从特定位置使用SSH、 Telnet、远程桌面应用”等以用户、应用为核心元素的访问控制策略配置模式。易用性的另一个重要体现是设备是否提供中文的WebUI、报表系统、端点套件和集中管理系统。
性能测试方面:许多用户都知道针对传统防火墙有RFC2544、RFC3511、GB/T 20281-2006这样公认的测试规范。这类产品的业务模型比较单一,有经验的测试人员或管理员会依照规范测得的结果,甚至可以凭经验去预估防火墙在某个特定场景中的性能衰减幅度。而当网关设备使用的访问控制技术走进应用层感控时代开始,实验室环境中进行的标准化测试就失去了原有的指导意义。而NGFW 产品在进行性能评估时会更复杂,用户必须根据自身的业务需求,抽象出与之吻合的流量模型,进行细致的、有针对性的测试工作,才能得到有价值的评估依据。并且在测试过程中,应时刻以“寻找最差性能”的目标,方可在未来的实际使用中规避性能瓶颈。
五、网御NGFW+产品
网御星云公司早在2010年初就已立项启动下一代智能感控防火墙的研发,当前正经历临床试验阶段,功能包括所有NGFW的特质,并融合网御的云防御理念的NGFW+新生代产品,预计2011年下半年将全面上市,其产品特点及核心技术有以下几点:
5.1、应用感控
应用感控技术不同于传统的基于端口和协议的状态包过滤技术,这种技术能通过流量识别网络上的应用程序,基于应用ID进行智能识别与控制,同时,可以辨别出来自同一网站的不同应用并且可以启用服务质量选项为这些应用优先分配带宽。达到了六元组的新型智能应用过滤技术,既可以进行应用识别,也可以做到对应用的细粒度控制。
5.2、云安全防御
云安全防御技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。实现立体全面的防护。
5.3、WEB主动过滤
这种技术通常认为是在UTM上实现,但在下一代防火墙中,这种需求也越来越明显,实际上Web过滤是指上网监控功能,具备内容过滤的安全网关通过多重过滤与保护,对内容和网址进行监控,对内容不良的网站实行过滤,从而实现对网络内部人员上网进行监控URL的屏蔽列表。
5.4、IPv6网络安全
虽然IPv6在网络厂商应用较为广泛,但在安全厂商中,支持IPv6的网络安全产品(如防火墙、UTM、IPS等)还是较少,具体功能包括:IPv6环境下的状态包过滤、静态路由、OSPF动态路由、FTP、ALG等基本安全控制,以及IPv6/v4 双协议栈功能;设备在同一信息安全网络中同时支持 IPv4 和IPv6协议的安全控制日渐得到关注。
5.5、多核高性能
高性能多核技术为工程师们打开了另一扇门—它是把更多的CPU压在一个芯片当中以提高整个芯片处理交易事务的能力。以8核为例,在一块CPU基板上集成8 个处理器核心,通过并行总线将各处理器核心连接起来,一般多核芯片都会集成一些针对比较耗费资源处理的硬件加速引擎。比如XLR内置的网络加速器可以对从网络接口进入XLR的数据包进行高速预处理。拿以太网包举例,XLR的网络加速器可以对以太网包2层、3层、4层的内容进行辨析,提取特征串,自动完成校验和验证,把包DMA(Direct Memory Access)到内存,构造以太网包描述符(Descriptor),然后可以基于多种策略把以太网描述符快速均衡的分流到指定的vCPU。这样,既可以提升网络层处理性能,也可以加速处理应用层检测速率,小包性能以及并发数显著提升,并且多核芯片内建应用加速安全引擎,在硬件层面上就可以支持 AES,DES/3DES,SHA-1,SHA-256,MD5算法,最大可提供10Gbps的VPN加密解密运算能力。
5.6、NGFW+自身高安全
如果防火墙系统本身被攻击者突破或迂回,对内部系统来说它就毫无意义。因此,保障防火墙自身的安全是实现系统安全的前提。一个防火墙要抵御黑客的攻击必须具有严密的体系结构和安全的网络结构。 不同类型的拒绝服务攻击。理想情况下,防火墙应该采取直截了当的方式,比如将数据包打回或干脆关闭防火墙的方式。
六、网御NGFW+安全解决方案
网御下一代防火墙分为KingGuard万兆系列、Super V高端系列、Power V中高端系列和Smart V低端系列,共计80余款,可为各种规模的企业和政府机构网络系统提供相适应的产品。网御防火墙已在税务、公安、政府、军队、能源、交通、电信、金融、制造等各行业中部署50000台以上。KingGuard、Super V系列采用高性能的RSIC多核架构,并结合国内首创的WindRunner矩阵式并行处理技术,将多颗CPU排成矩阵,在对网络数据流进行 IPv4/IPv6双协议栈的策略匹配、抗攻击、内容过滤、加解密、QOS、日志等多项业务处理时,采用并行计算和流水线两个维度进行并行处理,确保了高安全的前提下的高性能处理。Power V系列采用基于应用识别的绿色上网控制模块,并在Power V-4000及3000系列集成了专用ASIC加速硬件芯片,使得小包高达10Gbps;Power V是已部署3万多台套的高可用多威胁统一管理的下一代防火墙系列。Smart V系列是集成防火墙、VPN、交换机、主动防御等功能于一身,可采用机架型和桌面型两种设备部署方案,适合各类大集团的分支机构、区县级政府机关、小型企业及SOHO用户。
在应用感控与云安全技术方面,网御下一代防火墙结合VSP、USE、MRP等核心安全技术,通过智能感控技术收集攻击检测源和挂马网站URL等特征,,与已部署的防病毒网关、IPS、UTM、Guard等设备联合抓取病毒源、攻击检测源和挂马网站URL等特征,汇集至云防御服务器定时收纳合并,云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有网御安全网关设备中,使其他设备也具有防病毒、IPS、防挂马等功能,同时使其具备更高的处理性能,共同形成整体可信架构云防御体系。网御公司提前部署可信架构“云防御”体系,主动防御未知威胁,网御下一代防火墙在不断变化的威胁环境、不断变化的业务 IT流程、不断更新的云威胁下,为用户提供真正有价值的信息安全整体防护方案,使信息安全3.0时代提前到来。