淺談防火墻技術及其發展

防火墻技術

防火墻是針對網絡安全防護而出現，其采用訪問控制技術，它是外部網絡與內部網絡之間的屏障，目前防火墻已成為目前最為流行也是使用最為廣泛的一種網絡安全技術，其處于網絡安全的最底層，負責網絡間的安全認證與傳輸，是網絡安全的第一道防線。隨著網絡安全技術和網絡應用的整體發展以及網絡安全防御理念的需要，現代防火墻技術已經逐步由網絡層擴展至其他安全層。不僅要完成傳統防火墻的基本過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

防火墻發展歷程

雖然防火墻早在二十世紀九十年代就已出現并廣泛應用，但隨著越來越強的網絡攻擊手段的不斷出現，與早期防火墻相比，如今的防火墻在技術上早已有了較大發展。在經歷了多次技術變革后，防火墻的概念正在變得模糊，在不同語境中有著不同的含義。

1.傳統防火墻：以服務訪問控制為核心

防火墻（Firewall），也稱防護墻，一般是指一種位于內部網絡與外部網絡之間的網絡安全系統。設置防火墻目的是為了在內部網與外部網之間設立唯一通道，簡化網絡安全管理，防止不合法的訪問。它建立起一套隔離體系，允許“同意”的人和數據進入網絡，同時將“不同意”的人和數據拒之門外，將內部網絡與外部網絡“隔離”開來。

在描述具體產品時，防火墻大部分指代的是采用狀態檢測機制、集成VPN、支持橋/路由/NAT等工作模式的作用在二至四層的訪問控制設備；宏觀意義上的防火墻，實際上指的是以性能、穩定性為主導的、在網絡邊緣執行多層次的訪問控制策略、使用狀態檢測或深度包檢測機制、包含一種或多種安全功能的網關設備（Gateway）。傳統防火墻在阻擋黑客攻擊，非法入侵時發揮著重要作用。

但隨著網絡技術的不斷發展，簡單的安全規則和簡單的協議過濾已無法滿足威脅防御的需求，傳統防火墻已基本無法探測到利用僵尸網絡作為傳輸方法的威脅，由于更多的通訊量都只是通過少數幾個端口及采用有限的幾個協議進行，這也就意味著基于端口/協議類安全策略的關聯性與效率都越來越低。

2.下一代防火墻：以應用層管理為核心

針對傳統防火墻所暴露出來的一系列弊端，NGFW（Next generation firewall）即下一代防火墻應運而生。

業內普遍認同的NGFW定義來自Gartner2009年發布的一份名為《Defining the Next-Generation Firewall》的文檔，在該文檔中Gartner將 NGFW定義為：“下一代防火墻是一種深度包檢測防火墻，超越了基于端口、協議的檢測和阻斷，增加了應用層的檢測和入侵防護，下一代防火墻不應該與獨立的網絡入侵檢測系統混為一談，后者只包含了日常的或是非企業級的防火墻，或者把防火墻和IPS簡單放到一個設備里，整合的并不緊密。”

NGFW不僅具備傳統防火墻的功能，諸如數據包過濾、網絡地址轉換（NAT）、協議狀態檢查以及VPN功能等，還具備應對綜合威脅的發現能力、阻斷能力，而且并不是簡單的功能堆砌和性能疊加，而是從全局視角，幫助用戶解決網絡面臨的實際問題。

NGFW的出發點是圍繞應用，最大化地做應用識別、風險管理和分類，保留企業業務需要的應用，屏蔽業務不需要的應用，試圖通過建立應用白名單的方式，做最小化的授權，使得網絡中只允許使用白名單應用，從而保證安全。這種方式提高了攻擊的門檻，使得攻擊的難度和代價加大，這種防御思想是個非常好的想法。但現實中，很少有企業能按照這種方式進行管理，而且企業規模越大就越難，只能做到一定程度上的收緊。這樣風險也就隨之而來。

圖1 防火墻的發展

具體來說NGFW具有以下局限：一是以本地規則庫為核心，無法全面檢測已知威脅；二是缺乏數據智能，無法感知未知威脅；三是沒有協同防御機制，依然在用單機的、私有的思路來解決網絡的、公有的威脅。

3.智慧防火墻：以發現和響應高級威脅為核心

盡管NGFW在應用感知、精細管控、內容安全、全棧可視方面取得了不小的進步，但隨著大數據時代的到來，以APT為代表的各類高級威脅讓邊界防御難以發揮作用，表現出越來越多的不足，例如高級威脅難發現、內部違規看不見、安全調查缺信息、威脅處置配置繁。

要想規避上述不足，簡單的功能添加和性能提升是無法真正解決問題的，NGFW需要徹底的變革和重新定義。面對海量的數據及隱藏其中的各種高級威脅，防火墻不能再孤軍作戰，而是需要建立起協同防御的安全體系，并依托于持續更新的威脅情報和不斷加強的技術能力，持續提升自身提升發現和響應高級威脅的能力，從而在邊界更好的對抗各種安全威脅。智慧防火墻便應運而生，如圖1所示。

智慧防火墻

防火墻在安全防御體系中的地位不言而喻，那防火墻對網絡攻擊究竟起到多大作用？能解決掉多少的攻擊問題？真實數據卻讓人們大跌眼鏡，根據Gartner的報告，防火墻能有效處理的攻擊不超過25%。

智慧防火墻是為解決原有的下一代防火墻的不足而建立的。智慧防火墻仍舊具有傳統防火墻的一般特征，但已不再僅僅是針對于其自身應對威脅能力的提升，而是體現了協同聯動的理念，即以大數據處理平臺為基礎，然后再結合外部的威脅情報對這些數據進行分析處理，并將得到的策略下發到防火墻當中去，從而提升分析和響應能力，這就是智慧防火墻的核心理念。同樣，這也是對數據協同理念的體現。