当前各种网络威胁层出不穷,企业的网络安全重要性日益凸显,抛开传统的IP、端口,并基于应用层进行重构安全的下一代防火墙,已成为企业网络安全防护的新选择。然而调查数据显示,企业用户(特别是中小型企业用户)对于下一代防火墙的认知仍有不足,他们很难明确区分下一代防火墙与传统防火墙、UTM的区别,这就拖慢了下一代防火墙的普及步伐。对此,下文将会对为何要迁移到下一代防火墙展开剖析。
下一代防火墙是什么?
从最早的包过滤防火墙至今,防火墙已经历了5代的演进,每一个时代的进化都向防火墙注入新的技术和活力。而随着网络活动的急剧增加并日趋复杂,网络攻击也呈现出多样化、复合化的趋势。传统防火墙和UTM在应对网络新威胁面前,性能越发捉襟见肘,无法满足企业用户的安全需求。
面对网络新威胁,传统的防火墙已无法胜任网络安全重任
对此,知名咨询机构Gartner于2009年提出了为应对当前与未来新一代网络安全威胁,有必要将防火墙升级为“下一代防火墙”的理念。
下一代防火墙(Next-Generation Firewall,缩写为NGFW)是一款可以全面应对应用层威胁的高性能防火墙。它是一种融合式网络设备平台,可将多种安全功能整合其上。除了传统的防火墙功能之外,还包括线上深度封包检测(DPI),入侵预防系统(IPS),应用层侦测与控制,SSL/SSH检测,网站过滤,以及QoS/带宽管理等功能,使得这个系统能够应对复杂而高级的网络攻击行为。
如今,距离下一代防火墙概念首度提出已时隔5年,知名咨询机构IDC又对下一代防火墙所必须具备的5大核心要素进行了归纳,一起来了解下吧。
下一代防火墙必备5大核心要素
IDC认为下一代防火墙所必须具备的5大核心要素分别是:
第一,针对应用、用户、终端及内容的高精度管控。
访问控制始终是防火墙类产品的核心功能,面对应用爆炸式发展、用户接入手段多样化、信息泄密问题突出等多重挑战,当今的下一代防火墙应持续增强其访问控制的精细度。
应用控制绝非传统意义的阻断应用,出于精细化控制的需求,下一代防火墙应该能够控制各类平台化应用的子功能,如QQ的文件传输等,同时还要能够基于用户和终端进行控制,而非传统的IP地址,并且能够对某些特定文件的内容进行深入过滤,以削减信息泄密的风险。
应用识别技术无疑成为满足上述需求的本质,下一代防火墙在未来仍将持续提升对应用、用户、终端和内容的识别能力,并对加密流量、隧道封装的数据进行识别,随着应用识别技术在广泛度和精细度等方面的提升,企业将逐步由目前的黑名单访问控制过渡至安全级别更高的白名单模式。
第二,一体化引擎多安全模块智能数据联动。
当今网络威胁均为采用多种手段的复合式攻击,无论是事中的防御还是事后的溯源,都要求下一代防火墙能够将多种安全检测技术融合。为此,下一代防火墙应采用“一体化引擎”架构,使其能够全方位的防护安全威胁并实现智能的数据联动。
产品专家认为,采用一体化引擎的优越性诸多,除了提升自身的防御能力外,还体现在其他两个方面。首先,一体化引擎实现了数据的单路径匹配,数据包仅需一次解码即可匹配所有威胁特征,有助于设备性能的大幅提升,让所有安全功能模块能够真正的开启并发挥作用。
其次,对于隐蔽性极强的新型威胁,单维的分析散落多处的信息对于尽早感知威胁已毫无帮助。多安全模块的融合,使得各个安全模块在对数据检测过程中产生的信息能够充分关联,彻底改变传统安全设备信息割裂的诟病,用户无需进行人工挖掘和分析即可全面掌握威胁全貌。
第三,外部的安全智能。
防火墙本地的运算性能和检测能力始终是有限的,下一代防火墙应该具备联动外部安全智能系统的能力。尽管这项要求早在2009年的定义中便有提及,但在当时的技术背景下,除了与用户认证系统联动之外,并未明确描述与其他系统的联动。
伴随云计算、大数据技术的不断成熟,将云端的海量资源及大数据的高度智能用于判别日趋复杂的威胁,已成为业界公认的技术发展方向。近年来市场上也已经涌现出了不少以云沙箱检测、病毒云查杀、威胁情报分析等为核心的新技术产品。因此,下一代防火墙应当具有与外部云计算联动的能力,并且能够利用大数据分析技术应对威胁特征库中并未收录的未知威胁。
第四,可视化智能管理。
防火墙设备的洞察力往往是厂商和用户长期忽视的一项能力,然而在更复杂的威胁面前,用户需要更加及时的掌握网络现状、风险、威胁、事件以及防御效果等用于支撑安全决策,下一代防火墙的可视化技术。
“智能”一词对于下一代防火墙而言同样是一项新的要求,专家认为,下一代防火墙要实现的可视化智能管理,绝非传统意义上的日志呈现和TOP 10排名,真正的“智能”应该是在多维统计的基础上加以深入的分析,并将结果呈现出来,以帮助用户更加快速的了解网络风险并及时部署防御措施。
同时,安全产品的有效性取决于操作安全产品的人员,在信息安全专业人才紧缺以及安全设备用户范围日趋广泛的大环境下,下一代防火墙应当简化配置难度、降低技术门槛并持续提升产品易用性。
第五,高性能处理架构。
性能的高低决定了下一代防火墙能够部署的场景和位置,以及能否为更多的网络和系统提供保护。鉴于很多大型网络、数据中心出口出于性能的考虑无法开启所谓的“下一代”安全功能,为下一代防火墙搭载高性能处理架构显得尤为重要。
未来的网络安全是应用层安全,所有的流量都要进行应用层的深入分析,因此下一代防火墙已将深度包检测(DPI,用于应用识别及其它应用层安全功能)作为其架构中的基础部件,设备开机即处于启动状态,并且鼓励用户打开全部安全功能。对于下一代防火墙用户而言,真正有价值的参数是其应用层性能以及开启全部安全功能后的性能。因此,下一代防火墙要满足大型数据中心、运营商网络环境的性能要求,必须持续提高应用层性能及多威胁安全检测性能。
同传统防火墙、UTM的区别
从前面了解到,为顺应安全新形势,下一代防火墙必须能够针对应用、用户、终端及内容进行高精度管控,具备一体化引擎并实现多安全模块智能数据联动,可扩展外部的安全智能并提供高处理性能,帮助用户安全地开展业务并简化用户的网络安全架构。那么下一代防火墙同传统的防火墙以及UTM又有哪些区别呢?
传统防火墙弱在哪儿?
传统防火墙具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN功能等功能。相对而言,下一代防火墙的检测则更加精细化。不仅如此,传统防火墙采用端口和IP协议进行控制的固有缺陷明显已经落伍,对于利用僵尸网络作为传输方法的威胁,基本无法探测到。
同时,由于采用的是基于服务的架构与Web2.0使用的普及,更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行,这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏失部署补丁的软件进行检查,但却不能有效的识别与阻止应用程序的滥用,更不用说对于应用程序中的具体特性的保护了。
不同于传统的防火墙,下一代防火墙可基于应用进行智能识别、精细控制和一体化扫描
因此,由于固有缺陷和过时的管控策略,传统的防火墙已经不能满足企业网络的安全需求了。而且随着云计算、大数据、移动互联加社交网络的快速发展,传统的防火墙更是无法应对新的攻击威胁。
UTM不给力!
UTM(统一威胁管理,Unified Threat Management的缩写)是由传统的防火墙观念进化而成,它将多种安全功能都整合在单一的产品之上,其中包括了网络防火墙,防止网络入侵(IDS),防毒网关(gateway antivirus,AV),反垃圾信件网关(gateway anti-spam),虚拟私人网络(VPN),内容过滤(content filtering),负载平衡,防止资料外泄,以及设备报告等。
该UTM方案是由IDC提出,是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。
虽然UTM与下一代防火墙有一些交集,但二者还是有本质区别。UTM只是将防火墙、IPS、AV进行简单的功能堆砌,其致命缺陷就是采用串行扫描方式,包括吞吐量问题。特别是在较大的网络中,在功能全部开放时的处理效率非常低下,而下一代防火墙自设计之初,就采用了一体化的引擎,它会一次性的对数据流完成识别、扫描,因而可以达到更高的性能。
绿盟下一代防火墙亮相正当其时
在了解了下一代防火墙的优势后,部署什么样的下一代防火墙更能为企业用户带来安全保障呢?绿盟下一代防火墙(NSFOCUS NF)的出现无疑成为企业用户提供了不错选择。绿盟下一代防火墙是基于新一代64位多核硬件平台,采用最新的应用层安全防护理念,同时结合先进的多核高速数据包并发处理技术,研发而成的企业级下一代边界安全产品。
除了具有下一代防火墙广义上的各个功能,绿盟下一代防火墙的核心理念更立足于用户的网络边界,在以应用为核心的网络安全策略、以内网资产风险识别、云端安全管理等方面拥有特色的安全防护体系。
绿盟下一代防火墙可进行快速的内网资产风险识别
其中绿盟下一代防火墙的七大优势,包括全面的应用和用户识别能力,细致的应用层控制手段,专业的应用层安全防护能力,卓越的应用层安全处理性能,首创的内网资产风险管理,先进的云端安全管理模式,以及完全涵盖传统防火墙功能特性。
绿盟下一代防火墙具有先进的云端安全管理模式
除了搭载有新一代64位多核并发、高速硬件平台和双引擎设计模式之外,其还采用了绿盟自主研发的并行操作系统,将管理、数通、安全平面并行部署在多核平台上,借助于多平面并发处理,紧密协作,可显著提升网络数据包的安全处理性能。
绿盟下一代防火墙实测数据汇总
那么在实测中绿盟下一代防火墙的表现如何呢?在此前通过思博伦TestCenter和Avalance,以及IXIA Breaking Point三款专业测试设备对绿盟NX3系列G4000M下一代防火墙展开的实测中了解到,在考虑到实际场景已有基础流量且部分功能开启的前提下,绿盟NX3系列G4000M的实际测试结果可以成功超越了绿盟自己所公布的标称数据。其中,最大并发会话数的测试结果为400万,而每秒新建会话数的测试结果则约为9万,成绩不凡。
实测绿盟下一代防火墙性能表现
那么绿盟下一代防火墙在应用层吞吐性能测试上又表现如何呢?经过实测,绿盟NX3系列G4000M应用层实测成绩达到了超过了5Gbps,再次超越给出的标称应用层吞吐性能(4Gbps),同样成绩斐然!
应用层吞吐性能测试:
应用层吞吐性能测试结果:5Gbps-5.5Gbps
通过绿盟下一代防火墙展开的实际测试,可以验证其采用双引擎多核并发在多个CPU核心之上的这种设计,的确有着独到的高速运行优势。这种各司其职的创新架构不仅保证了基础网络数据包的高速转发,更加确保了应用层安全处理的高性能。
综上所述,作为新时代下网络安全的新一代守护者,下一代防火墙的优势显而易见,而其中绿盟下一代防火墙更展示了强劲的防护性能,为广大企业用户提供了优质的网络安全设备。相信未来的下一代防火墙必定会在应用识别、移动互联网安全、整合威胁情报、扩展防御技术以及不断改善用户体验等几方面持续发展,成为企业网络的重要防御利器。