下一代防火墻：網絡安全防范技術分析

林鴻

福州職業技術學院 福建 350108

0 引言

2011年歲未，網絡上盛傳許多網站、論壇數據庫遭黑客攻擊，密碼、賬號被盜的“泄露門”事件，頻頻攪動了國內互聯網安全的神經。截至2011年12月29日，國家互聯網應急中心(CNCERT)通過公開渠道獲得疑似泄露的數據庫有26個，涉及賬號、密碼 2.78億條。在這場中國互聯網有史以來波及面最廣、規模最大的泄密事件中，人們不禁拷問，企業的防火墻、IPS(入侵防御系統)、UTM(統一威脅管理)都怎么啦？也在深入思考，在面對當今熱門的數據中心整合和互聯、云計算、移動計算環境下更為分散和全方位的安全需求時，傳統的網絡安全架構體系，是否還能擔當信息安全的防范重任，我們需要什么樣的網絡安全防范產品。下一代防火墻(Next Generation Firewall,NGFW)，這個近來在業界得到廠商熱捧的新一代的網關安全產品，能否面對互聯網的安全現狀，在應用模式、業務流程、安全威脅不斷變化的今天挑起大梁，迎接挑戰？它是一個什么樣的安全產品，與傳統的安全產品有什么不同，硬件架構的設計做了什么改進，能實現什么樣的安全功能，技術性能上有哪些特色，都值得我們加以關注和討論。

1 什么是下一代防火墻

防火墻產品從上世紀九十年代使用至今，雖經系統架構和軟件形態的多次改進和革新，但在應對和識別目前日趨復雜的混合性安全威脅時已顯力不從心，應運而生的一款全新安全產品NGFW是否會取代傳統防火墻、IPS、UTM，成為未來網絡安全防御的主流產品，它能否解決網絡新環境下產生的新安全隱患，NGFW究竟是一個什么樣的產品？

關于NGFW，業界普遍認同的定義來自市場分析咨詢機構 Gartner于 2009年 10月發布的一份名為《Defining the Next-Generation Firewall》的文章。Gartner認為，NGFW應該是一個線速的網絡安全處理平臺，可執行深層流量檢測，應用識別，阻止攻擊的網關安全產品。在Gartner看來，NGFW至少應該具備以下的功能屬性：

傳統防火墻：NGFW必須擁有傳統防火墻的所有功能，如數據包過濾、NAT、協議狀態檢查、VPN等。

集成IPS：NGFW在同一硬件內集成了傳統防火墻和IPS的功能，IPS成為NGFW的核心組件，它不是防火墻和IPS兩個硬件的簡單疊加，而是功能的無縫融合。NGFW中防火墻和IPS的無縫融合、自動聯動的協作機制將大大提升防御性能，增強網絡安全性。

應用識別、控制與可視化：NGFW與傳統防火墻基于端口和IP協議進行應用識別不同，而是會根據深度包檢測引擎識別到的流量在應用層執行訪問控制策略。流量控制不再是單純地阻止或允許特定應用，而是可用來管理帶寬或優先排序應用層流量。深度流量檢測讓管理員可針對單個應用組件執行細粒度策略。

超級智能的防火墻：NGFW可以收集來自防火墻外面的各類信息，用于改進阻塞決定，或優化阻塞規則庫。

2 為什么需要下一代防火墻

網絡環境的變化，基于服務的架構與 Web2.0應用的普及，大量的應用程序都建立在 http和https等協議之上，網絡帶寬需求的增加，以太網標準從千兆走向萬兆甚至 10萬兆，都對網絡安全產品的性能和功能提出了新的要求。傳統網絡安全架構體系中的防火墻、IPS、UTM的安全解決方案已經不能勝任新環境下網絡安全防范的要求。

傳統防火墻的缺陷是只能檢測數據包的第三層信息，只能根據數據包的源地址、目的地址、源端口、目的端口和協議類型等相關信息來對流量進行檢測，對于應用層的http和https數據流量是無法進行控制和甄別的，它不知道到底是什么應用通過了防火墻，更無法探測到針對具體應用的攻擊，因此也談不上進行防御。

針對應用層的IPS設備可以利用簽名技術檢查針對操作系統和軟件漏洞的已知網絡威脅和攻擊方法，但是IPS也無法識別具體的應用，達不到目前用戶所需的精細粒度的應用層控制，因而也無法對特定的應用進行防護。

對于UTM，市場分析咨詢機構IDC曾經這樣定義UTM：這是一類集成了常用安全功能的設備，必須包括傳統防火墻、網絡入侵檢測與防護和網關防病毒功能，并且可能會集成其他一些安全或網絡特性。所有這些功能不一定要打開，但是這些功能必須集成在一個硬件中。從IDC對UTM的定義，UTM和NGFW功能上似乎非常相似，但UTM的致命缺陷是采用串行掃描方式，集成的安全功能模塊全部啟用時，處理效率非常低下。面對網絡帶寬需求的不斷增加，UTM雖也大而全，但其整體安全防御性能卻倍受質疑。

根據Gartner的定義，NGFW不是UTM和傳統防火墻的簡單升級，而是提供了更強大的應用和用戶識別能力，更靈活的控制機制以及更全面安全防御的產品。在面對網絡架構的演進及更復雜的終端設備和用戶應用，防范來自 Internet的病毒、木馬、DDoS攻擊、XSS攻擊、網絡釣魚、SQL注入等種類繁多且危害巨大的威脅時，NGFW將是構建網絡安全防御體系的首選。

3 下一代防火墻安全技術特色分析

Gartner只是定義了NGFW應該具備的基礎功能屬性，雖說NGFW產品尚沒有統一標準，但各安全產品廠商都根據自己的研發和專業優勢詮釋著對 NGFW 集成安全功能的理解，推出各自的NGFW產品。這些NGFW產品具備了以下幾個方面的安全技術特色：

NGFW實現了全部功能模塊集中式管理。NGFW是一個線速網絡安全處理平臺，集成了傳統防火墻、IPS、UTM等安全技術主要功能，集中式管理可以大大降低運行管理成本，并保證在大型網絡中安全策略部署的一致性。通過集中式中央控制管理平臺，無論系統管理員身處什么位置，都可以對網絡實施統一的管理，簡單、直觀、便捷，大大提升了NGFW產品的可管理性和易用性。此外，集中式管理也使得NGFW在應對網絡攻擊時能實現整體的快速響應和快速防御。

NGFW采用了高效的并行處理機制，滿足網絡高性能。NGFW應用了多CPU、多核的硬件技術，采用單次解析架構解決方案，結合并行處理模式，對傳輸的數據流在一個模塊中一次拆包完成所有識別、掃描、過濾與控制，保證在復雜應用的網絡環境中應用控制和安全防護的時效性、準確性和高處理性能。NGFW一次拆包和并行處理架構體系，徹底解決了UTM的串行處理機制下，開啟多個模塊功能后，一個數據經過不同模塊需經多次拆包，多次分析，導致數據處理效率低下的架構體系的設計短板。

NGFW具備應用識別、用戶識別的功能。NGFW可根據應用行為和特征實現對應用的識別和控制，NGFW采用基于DPI(深度包檢測技術)/DFI(深度流檢測技術)的檢測，能夠深入到應用層報文，通過簽名、行為特征識別技術，有效識別和區分應用或威脅，以采取不同的控制策略；NGFW改變了傳統防火墻/UTM依賴于物理設備地址(MAC/IP)和用戶身份對應的機制，結合身份認證機制和深層防護，能夠自動和精準地關聯用戶的實際身份，特別是在遠程或移動應用環境中，NGFW還可以準確判定用戶的位置。

NGFW實現了流量智能管理和控制。NGFW的智能流量管理和靈活控制策略，可根據應用、用戶或用戶組和內容來執行相應的控制，可使用帶寬管理策略來對穿越防火墻的應用數據流進行分類、控制和管理。NGFW的深度流量檢測，還可使其對單個應用組件執行更精細力度的控制，控制策略不再是單純地阻止或允許特定應用，而是可用來管理帶寬或對應用數據流進行優先排序。 例如NGFW可以通過限制分配給音頻和視頻網站的帶寬，來保證關鍵應用的帶寬；還可以通過創建對特殊應用、或某個用戶和用戶組的帶寬和優先排序策略，保證帶寬的使用和數據傳輸的優先權。

NGFW可視化功能，增強了網絡管理的可控性。要正確控制網絡使用狀況，網絡管理員必須能夠實時查看網絡應用流量，NGFW應用可視化功能可以提供相關應用、入口和出口帶寬、訪問的網站以及所有用戶行為的實時圖表，讓管理員輕松分辨應用流量的性質，了解哪些應用正在被使用以及哪些用戶在使用，哪些是正常流量，哪些是網絡濫用，哪些是惡意流量，并根據觀測到的狀況制定和調整網絡控制策略。NGFW的實時可視化使系統管理員真正掌握了網絡的控制權。

對于 NGFW 集成的安全功能，著名信息安全培訓機構SANS的專家結合現有產品和用戶需求給出了未來NGFW產品應具有的安全功能列表：FW(防火墻)、IPS(入侵防御系統)、AM(反惡意軟件)、VPN(虛擬專用網)、URL Filter(URL 過濾)、Content Filter(內容過濾)、APP(應用識別、控制與可優化)、User(用戶和用戶組識別)、AS(反垃圾郵件)、DLP(數據泄露保護)、NAC(網絡接入控制)、SSL Proxy(SSL 代理)。從 SANS給出NGFW的功能列表來看，基本涵蓋了目前市場上所有主流安全技術。

4 結束語

關于NGFW產品，Gartner預測，到2014年底，35%的企業會在采購安全設備時轉向NGFW，60%新購買的防火墻將是NGFW。據相關資料，北美和歐洲的政府機構，包括國家基礎設施，電力、能源、水利等領域對網絡安全管控要求較高的機構和組織，在最近幾年幾乎摒棄了傳統網絡防火墻和UTM設備的采購而轉向NGFW。全球500強大型跨國公司包括銀行、保險等機構，對網絡安全的設備需求也都紛紛轉向更加專注于應用管控的NGFW為主體。新加坡也從2009年規定，今后有關政府、公共安全部門的防火墻采購需求將以NGFW為主體，不再考慮對傳統防火墻和UTM的采購。目前，NEFW作為網絡新一代安全產品的部署在我國尚處推廣和起步階段，面對日趨復雜的應用控制和安全威脅，我們迫切需要一款定位于邊界防御的高性能、多功能、穩定和高可靠性的安全產品。我們期待著，NGFW產品能成為解決日益增多的企業網絡安全問題，日益下降的網絡性能問題和困擾管理員的網絡管理問題的最佳選擇。

[1]Gartner.Defining the Next-Generation Firewall [EB/OL]. http://www.gartner.com/DisplayDocument?doc_cd=171540.

[2]吳秀梅.防火墻技術及應用教程[M].北京:清華大學出版社.2010.

[3][美] Yusuf Bhaiji.網絡安全技術與解決方案[M].北京:人民郵電出版社.2010.