安全形势每天都在发生变化。例如,企业内部的变化就包括应用程序如何安全使用和通信。虽然从可用性的角度来看,这种变化在很多情况下是一个好处。但如果处理不当,它也有可能成为信息安全人员的灾难。
为应对这种变化,企业防火墙的厂商们已经生产出了新的一代的防火墙设备,即下一代防火墙。这些设备在多个不同的方面都与传统的防火墙不一样。下面看一下这些不同点,并且看看其如何影响企业的网络安全。
什么是传统防火墙
传统防火墙是一种能够控制通信进出网络内部某个点的设备。这种防火墙根据运行的协议类型,一般是通过使用一种无状态方法或是有状态方法来进行工作。
使用无状态进行监视的通信只是简单地检查每个数据包,并不能够理解数据流。而使用有状态方法进行监视的通信能够在一定程度上使用监视协议跟踪通信流,并且能够在数据流的生命周期内记录其位置。
很明显,能够跟踪状态的防火墙要比不能跟踪状态的防火墙更高效。但是,许多传统的防火墙仅限于工作在2层到4层,并且只能根据这些信息跟踪通信。
传统防火墙的其它特征还包括支持网络地址转换、端口地址转换、虚拟私有网络(即VPN),还能够提供高级的可用性和性能。
什么是下一代防火墙
很多安全厂商都将自己的新防火墙称为“下一代防火墙”,但每家厂商产品的特征可能与其它厂商有些不同。一般而言,下一代防火墙产品应当包含如下特性:应用程序感知、状态检测、集成入侵防御系统、身份感知(用户和组的控制)、桥接模式和路由模式、能够利用外部的情报源,等等。
下面详细地看看下一代防火墙的这些特性:
1.应用程序感知
传统防火墙与下一代防火墙的大不同是:下一代防火墙可以感知应用程序。传统的防火墙依赖常见的应用程序端口来决定正在运行的应用程序以及攻击类型。而下一代防火墙设备并不是认为特定的应用程序运行在特定的端口上。防火墙必须能够在第二层到第七层上监视通信,并且决定发送和接收哪类通信。
最常见的例子是当前对HTTP和80号端口的使用。传统上,这个端口仅用于HTTP的通信,但如今的情况不同了,而且有大量的不同应用程序都使用这个端口在终端设备和中央服务器之间传送通信。常见端口用于不同类型通信的方法有很多种,其中最常见的方法之一就是隧道技术。借助于隧道技术,通信在传统的HTTP数据字段内部建立隧道,并在目的结点解开封装。从传统的防火墙的观点看,这看起来就是简单的HTTP Web通信,但对于下一代防火墙来说,它真正的目的在其能够到达目的结点之前就在防火墙上被发现了。如果这种通信是由下一代防火墙的策略所允许的,就放行;否则,防火墙将阻止通信。
2.身份感知
传统防火墙和下一代防火墙之间的另一个很大的不同点是,后者能够跟踪本地通信设备和用户的身份,它一般使用的是现有的企业认证系统(即活动目录、轻量目录访问协议,等)。信息安全人员通过这种方法就不仅能够控制允许进出网络的通信类型,还可以控制哪个特定用户可以发送和接收数据。
3.状态检测
虽然从状态检测的一般定义上来看,下一代防火墙并无不同,但它不是仅跟踪第二层到第四层的通信状态,而是要能够跟踪第二层到第七层的通信状态。这种不同可以使安全人员实施更多控制,而且可以使管理员能够制定更精细的策略。
4.集成IPS
入侵防御系统(IPS)能够根据几种不同的技术来检测攻击,其中包括使用威胁特征、已知的漏洞利用攻击、异常活动和通信行为的分析等。
在部署了传统防火墙的环境中,入侵检测系统或入侵防御系统是经常部署的设备。通常,这种设备的部署是通过独立的设备部署的,或是通过一个设备内部在逻辑上独立的设备来部署的。而在下一代防火墙中,入侵防御或入侵检测设备应当完全地集成。入侵防御系统本身的功能与其在独立部署时并无不同,下一代防火墙中此功能的主要不同在于性能,以及通信的所有层如何实现对信息的访问。
5.桥接和路由模式
桥接或路由模式虽不是全新的特征,但下一代防火墙的这种功能仍很重要。在当今的网络中部署了许多传统的防火墙,但其中的多数并非下一代防火墙。为更容易地过渡下一代防火墙,下一代防火墙必须能够以桥接模式(也称为透明模式)连接,设备本身并不显示为路由路径的一部分。对任何一家特定的企业来说,在合适的时间,下一代防火墙应逐渐地替换传统防火墙,从而使用路由模式。
比较下一代防火墙
如今的市场上有不少信息安全方案都宣称自己是下一代防火墙。如何发现其差异并?下面谈几个审查和比较下一代防火墙的标准:
1.下一代防火墙是否可以防御针对服务器应用和客户端应用的攻击?其防御程度如何?
2.是否能被规避或逃脱?
3.它是否稳定和可靠?
4.该方案是否能够强化入站和出站的应用策略?
5.该方案是否能够强化入站和出站的身份策略?
6.其性能如何?
进一步讲,企业选择部署哪种防火墙设备取决于几个有限的因素。这是因为多数设备都满足下一代防火墙的范畴,并能执行同样的任务。所以,为什么要选择这个而不选那个?安全管理者最初可能是凭个人的喜爱和直觉来选择,有时是根据一些事实或道听途说的证据,但这些毕竟已经成为选择标准的一部分。
在选择具体的方案时,我们应考虑设备的功效问题。其中一个主要方面在发生了针对服务器和客户端应用的攻击时,具体的方案可以阻止攻击的比例有多大。虽然不同的方案之间的差异可能很小,但正是这小小的不同就可能成为发生严重安全事件和挫败攻击的分水岭。
另一个需要考虑的因素是可通过设备的总吞吐量。由于这些设备在总吞吐量方面并不能直接比较,那如何更好地使用此标准呢?方法之一就是衡量每个受保护的比特所花费的成本。如果企业没有经过审查而优先选择了一家厂商,那么机会成本是什么呢?那就是还有一个更小巧或更强大的版本满足企业环境的要求。
企业需要考虑的最后一个因素是该方案利用的电能和空间。还是那个问题,不同的设备并不能直接比较,一个简单的比较和决定方法是,将设备的消耗量除以设备的规模(或除以设备的总吞吐量),并比较不同设备的计算结果。
结语
如今,各种新威胁层出不穷,对任何企业而言,时刻关注最新的攻击至关重要。下一代防火墙的实施应当成为企业安全部署计划的关键一步。
下一代防火墙日渐成熟,基本上都能够提供完整功能。因而,导致购买者选择此产品而不选另一产品的原因往往就是个别的规格和特性。由于将来企业对这类产品的需要将日渐增加,下一代防火墙的竞争也将更激烈,而产品的成本也会逐步降低。
在众多的下一代防火墙产品中,既有适应中小企业的类型,也有满足大型企业的品牌。此领域的领导者在不远的将来必然出现,因为所有的防火墙厂商都将从传统的防火墙转移到下一代防火墙的产品阵线中。