1.1传统防火墙
在网络安全的实际应用中,单一的安全防护技术并不足以构筑一个安全的网络安全体系,多种技术的综合应用才能够将安全风险控制在尽量小的范围内。一般而言,安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线,以抵御来自外部的绝大多数攻击,完成这项任务的网络边防产品我们称其为防火墙。 类似于建筑大厦中用于防止火灾蔓延的隔断墙,Internet 防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。 防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。 传统防火墙可以分为四种类型,分别为包过滤、应用级网关、代理服务器和状态检测。总体的功能是 防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全,过滤不安全服务、阻止非法用户和控制对特殊站点的访问、提供监视Internet安全和预警的方便端点。
状态检测防火墙是应用最广泛的防火墙产品,但是它们面对新一代的安全威胁的作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查
数据包头,分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量,然而随着网络的发展,黑客已经研究出大量的方法来绕过防火墙策略。 如今黑客能利用传统防火墙开放的端口,巧妙躲过网络防火墙的监测,直接针对目标应用程序。他们想出复杂的攻击方法,能够绕过传统网络防火墙。传统网络防火墙存在着以下不足之处:1、无法检测加密的Web流量;2、普通应用程序加密后,也能轻易躲过防火墙的检测;3、对于Web应用程序防范能力不足;4、应用防护特性只适用于简单情况;5、无法扩展深度检测功能。
1.2网络的巨大变革
以太网标准现在已经由万兆开始向40G/100G迈进,网络带宽的增长十分迅猛。另外,数据量也在成爆炸性增长。据统计,我国各类数据中心和机房总量已经达到50余万个。 无论是带宽增长还是数据增长,都对网关安全产品的性能和功能提出了新的要求。网络环境趋于复杂,致使用户需要寻找新的安全解决方案来满足除了抵挡外部攻击以外的安全需求。 以往,网络攻击手段基本停留在第三层的网络层,而随着Web2.0时代的到来,大量的应用程序都建立在了http和https等协议之上,传统的防火墙对应用层望尘莫及。基于网络层的操作就意味着传统防火墙只能根据与数据包源地址和目标地址有关的信息来检测流量,但是对于上述的http和https流量却是无能为力。虽然现在有针对应用层的IPS设备,但是IPS却无法识别具体的应用,达不到目前用户所需的精细力度的应用层控制,因而也无法对特定应用进行防护。 自防火墙的概念诞生以来已经经过了十几年的发展,防火墙的功能并没有变革性的改进,相比网络的飞速发展,防火墙的功能、性能与网络的飞速前进并不匹配,网络环境的新需求迫使防火墙进行根本性的变革,因而催生出革命性的防火墙产品—下一代防火墙。
1.3下一代防火墙
防火墙作为一款历史悠久的经典产品,在IP/端口的网络时代,发挥了巨大的作用,合理的分隔了安全域,有效的阻止了外部的网络攻击。然而面对网络应用的高速发展以及网络规划的复杂化,传统防火墙显得力不从心。 对于使用僵尸网络等传播方式的威胁,第一代防火墙基本上是看不到的。随着面向服务的架构和Web 2.0使用的增加,更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输,这意味着基于端口/协议的政策已经变得不太合适和不太有效。深度包检测入侵防御系统(IPS)的确是检查针对没有打补丁的操作系统和软件的已知攻击方法,但不能有效地识别和阻止应用程序的滥用,更不要说应用程序中的特殊性了。 Gartner在2009年发布了一份名为《Defining the Next-GenerationFirewall》,将下一代防火墙(NGFW)定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。 根据Gartner的理论,NGFW 应该是一个线速(wire-speed)网络安全处理平台,至少应当具备以下几个属性: 1、联机“bump-in-the-wire”配置,不中断网络运行。 2、发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性: (1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。 (2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。 (3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止GoToMyPC。
(4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。 Gartner认为,随着防火墙和IPS更新周期的自然到来,或者随着带宽需求的增加和成功的攻击,促使更新防火墙,大企业将用NGFW替换已有的防火墙。不断变化的威胁环境,以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。 Gartner预计到2014年底,用户采购防火墙的比例将增加到占安装量的35%,60%新购买的防火墙将是NGFW。
1.5下一代防火墙的革新
应用识别是防火墙未来发展的重要技术方向,基于应用的攻击不断变化,也要求防御技术必须有所提升。对于这样的变化,传统防火墙只能望而兴叹。因为它在应用层无法起到良好的防御效果,而IPS仅关注应用层检测,防火墙功能较弱,这也是有些用户把IPS当做IDS使用的一个原因。UTM则是一个集大成的产品,能够很好地融合各种安全技术。 下一代防火墙在性能、安全性、易用性、可管理性等方面有了质的飞跃,满足用户新的防御和管理需求。相比传统防火墙和UTM,下一代防火墙与它们的主要区别在于: 1)传统防火墙局限于IP地址、接口层面的安全防护。从基于简单包过滤技术防火墙到基于状态检测技术的防火墙,重点的防护还仅仅是停留在OSI模型的四层以内; 2)UTM是在“瘦防火墙”基础上发展而来的,集防火墙、IPS、VPN等安全功能于一体的集成安全网关,其不足之处在于处理机制烦琐,效率低下,内部安全模块间缺少智能关联;
3)下一代防火墙除了具备传统防火墙功能外,更关注针对应用层面的安全防护。实时性、准确性、高效性也成为下一代防火墙的主要特点。它会根据深度包检测引擎的检测结果,自动识别到该流量在应用层执行的安全策略。流量控制需要更“精细化”的管理,不仅仅能够对异常攻击流量进行阻止或允许动作,更可用来进行基于应用层的QoS控制,控制粒度更为细致。例如,可允许用户使用Netmeeting会议,但禁止其白板功能等,检测顺序也更为高效。设备对数据流仅需进行一次检测,IPS、FW模块并行进行识别判断。
2WINFUN下一代防火墙方案
2.1系统简介
基于对下一代防火墙技术的深入研究,以及多年来对我国网络特征的准确把握,WINFUN为中国用户推出了革命性的WINFUN下一代防火墙产品。 WINFUN下一代防火墙面向应用层设计,建立并强制执行基于身份的应用使用策略。融合VPN技术;能够精确识别用户、应用和内容,能够对流量执行入侵防御扫描,具备完整的安全防护能力。WINFUN下一代防火墙是针对当今网络特征的全方位网络防护产品,F解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足,开启了防火墙应用的新篇章。 WINFUN下一代防火墙不但可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,整合了多种检测技术,有效应对系统漏洞、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等网络安全问题,为不同规模的行业用户提供细粒度的应用内容防护方案。
2.2网络部署
WINFUN下一代防火墙可以替换传统防火墙,部署在网关处。WINFUN下一代防火墙基于应用层设计和开发的防火墙产品,拥有7层应用层数据过滤的功能,同时具有VPN、防病毒及IPS入侵检测的功能,并且保留了传统防火墙的所有功能。 基于应用的类型实现可视化管控。NG Firewall可以恢复安全设备对应用的可视化感知,对同一端口上运行的不同应用类型进行区分,在根据客户需要对同一端口的不同应用进行管理。
WINFUN下一代防火墙可以提供更加完整的应用防护功能:终端防护(AV、Web安全过滤等)、服务器防护(IPS、WAF、DDoS防护等)。其中WAF(web application firewall)的各种功能包括了:对弱密码的保护、对数据注入攻击的保护、服务器信息隐藏等。 WINFUN下一代防火墙能够基于应用的内容实现更精确的安全防护。她既能让用户访问各种应用,又能对其中的内容进行信息过滤和危险流量拦截,还可以通过关联分析技术识别出未知威胁,并及时处理。 在飞速发展的网络环境下,WINFUN下一代防火墙实现了对应用层的保护。用户可以看见网络管道中跑着那些应用,有哪些内容,存在哪些风险,并且均可以一一进行控制和记录。WINFUN下一代防火墙通过多核并行计算技术、数据包一次扫描技术、深度内容识别及快速还原等技术,使其在全功能开启后最高性能依然非常强劲。