自出现之日起,下一代防火墙(Next-Generation Firewall,以下简称NGFW)就一直在争议中前行。究其原因,在于概念提出得比较超前、产品跟进却相对缓慢。
就在不久前,梭子鱼与深信服在国内先后发布了NGFW产品,加上产品已经正式在售的SonicWall、Check Point和Palo Alto,市场上俨然一副山雨欲来风满楼的景象。
那么,NGFW究竟是如何定义的?它与传统防火墙、UTM有哪些不同?用户部署NGFW又需从哪些角度考虑?请随我们一起走进NGFW的神奇世界,共同领略这类新产品的价值所在。
何谓NGFW?
什么是下一代防火墙?这一代、上一代防火墙指的又是什么?在讨论NGFW之前,我们必须先正确认识“防火墙”这个概念。
在经历了多次技术变革后,防火墙的概念正在变得模糊,在不同语境中有着不同的含义。在描述具体产品时,防火墙大部分指代的是作用在2~4层,采用状态检测机制、集成IPSec VPN、支持桥/路由/NAT工作模式的访问控制设备;而宏观意义上的防火墙,实际上指的是以性能为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备(Gateway)。国内的厂商、用户习惯将前者称为“传统防火墙”,国外的分析机构和厂商在描述产品形态时则更多地倾向于使用宏观的防火墙概念,其包含了传统防火墙、IPS、UTM及一些厂商市场推广时宣称的“多功能安全网关”、“综合安全网关”等多种产品形态。随着用户安全需求的不断增加,广义的防火墙必然将集成更多的安全特性。
得益于许多厂商市场部门行之有效的推广工作,我们在市场上可以看到不少针对NGFW概念的解释(即便其中可能存在着完全不同的理解)。而业内普遍认同的关于NGFW的定义,来自市场分析咨询机构Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文章。Gartner注意到,在应用模式、业务流程和安全威胁不断变化的今天,传统防火墙已经无法满足用户的需求。即便在此基础上再加入IPS,也很难有效识别并阻止存在滥用行为的应用程序。在这种形势下,Gartner定义了“NGFW”这个术语来形容防火墙的必然发展阶段,以应对攻击行为和业务流程使用IT方式的变化。
在Gartner看来,NGFW应该是一个线速(wire-speed)网络安全处理平台,定位于企业网络防火墙(Enterprise Network Firewall,Firewall指宏观意义上的防火墙)市场。这里的企业指的是大型企业,国内很大一部分都归为行业用户范畴。NGFW在功能上至少应当具备以下几个属性:
传统防火墙:NGFW必须拥有传统防火墙所提供的所有功能,如基于连接状态的访问控制、NAT、VPN等。虽然我们总是在说传统防火墙已经不能满足需求,但它仍然是一种无可替代的基础性访问控制手段。
支持与防火墙自动联动的集成化IPS:在同一硬件内集成IPS功能是必须的,但这不是Gartner想表达的重点。该机构认为,NGFW内置的防火墙与IPS之间应该具有联动的功能,例如IPS检测到某个IP地址不断地发送恶意流量,可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当是由NGFW自动完成的,而不再需要管理员介入。比起前些年流行的传统防火墙/IDS间的联动机制,这次升级并不是一个特别高深的技术进步,但我们必须承认它能让管理和安全业务处理变得更简单、高效。
应用识别、控制与可视化:NGFW必须具有以与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性,但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。
智能化联动:获取来自“防火墙外面”的信息,做出更合理的访问控制,例如从域控制器上获取用户身份信息,将权限与访问控制策略联系起来,或是来自URL Filter判定的恶意地址的流量直接由防火墙去阻挡,而不再浪费IPS的资源去判定。我们理解这个“外面”也可以是NGFW本体内的其他安全业务,它们应该像之前提到的IPS那样与防火墙形成紧密的耦合关系,实现自动联动的效果(如思科的“云火墙”解决方案)。
除此之外,文档中也提到了NGFW在部署、升级方面的一些规定,但并未做更多的强制性约束。正如文章作者、Gartner研究副总裁Greg Young在接受本报记者采访时强调的那样,集成传统防火墙、可与之联动的IPS、应用管控/可视化和智能化联动就是NGFW要具备的四大基本要素。
发现用户需求及产品形态变化的并不只Gartner一家,国际著名第三方安全产品评测机构NSSLabs也在今年正式开始了NGFW产品的公开测试工作。从官方发布的信息来看,该机构基本认同Gartner对NGFW的定义,只是在智能化联动方面并未做过多的强制性要求,但突出了对用户/用户组的控制能力。从测试的角度出发,NSSLabs的工程师对产品配置的复杂度和易用性都有很深刻的了解,他们的观点可以代表许多用户。此外,该机构还认为企业并没有准备在数据中心中用任何方案替换独立的IPS设备,所以NGFW集成的IPS模块应该提供对客户端保护(主要在特征库方面体现)在内的完整方案,并且将针对于此的配置归纳到预定义策略模版中去。
NGFW产品加入应用识别后的访问控制量效果 #p#
NGFW与UTM:
竞合或互补,但非竞争
需要注意的是,不同机构对NGFW做出的定义都是最小化的功能集合。站在厂商的角度,势必要根据自身技术积累的情况,在产品上集成更多的安全功能。这导致不同厂商的NGFW产品在功能上可能存在差异,同时更像一个大而全的集中化解决方案,给用户造成了很混乱的印象。我们在采访中听到用户最多的也是最经典的反问就是:NGFW不就是一个加强型的UTM么?
实际上,这里提到的NGFW和UTM都是对厂商包装后的产品的认知,已经脱离了最原始的定义。市场分析咨询机构IDC曾经这样定义UTM:这是一类集成了常用安全功能的设备,必须包括传统防火墙、网络入侵检测与防护和网关防病毒功能,并且可能会集成其他一些安全或网络特性。所有这些功能不一定要打开,但是这些功能必须集成在一个硬件中。IDC对UTM的定义无疑是非常聪明的,它简单明了,让人易于接受并容易做出判断。“所有功能不一定要打开”这句话,除了说明安全业务要由用户需求决定外,也考虑了早年间硬件平台的实际处理能力。而安全业务的集成化,也确实符合当时的市场需求。有了这样一个宽泛的准入条件,UTM的概念一经推出便受到厂商与用户的一致认同,市场份额迅速扩大,成长为目前安全市场上的主流产品。
与IDC的宽松态度不同,Gartner在其市场分析报告中对UTM产品形态则有着更为细致的描述。该机构在调研后认为,除了传统防火墙与IPS,UTM至少还应该具有VPN、URL过滤和内容过滤的能力,并且将网关防病毒的要求扩大至反恶意软件(包括病毒、木马、间谍软件等)范畴。另一方面,Gartner对UTM的用户群体有着自己的看法,认为该产品主要面对1000人以下的中小企业或分支机构。这类用户通常对性能没有太高要求,看中的是产品的易用性和集成安全业务乃至网络特性(如无线规格、无线管理、广域网加速)的丰富度。实际上,Gartner之前一直使用SMB多功能防火墙(SMB Multifunction Firewalls,这里的Firewall也指宏观意义上的防火墙)来描述这类产品,只是在2010年因为UTM这个名称被市场普遍接受,才在分析报告中修改了称谓。该机构认为它与NGFW集成安全功能的差异主要体现在时延敏感性上——作为边缘网关,NGFW必须满足时延敏感型应用的需求,与之有悖的功能不适合出现在NGFW上。而从Gartner针对其他产品市场的分析报告中可以推断,安全Web网关(Secure Web Gateway)似乎是该机构认为的NGFW联合部署的理想对象,此外独立的WAF、反垃圾邮件产品也应被考虑。
通过上面的分析,我们可以得出明确的结论:至少在Gartner看来,UTM和NGFW只是针对不同级别用户的需求,对宏观意义上的防火墙的功能进行了更有针对性的归纳总结,是互为补充的关系。无论从产品与技术发展角度还是市场角度看,它们与IDC定义的UTM一样,都是不同时间情况下对边缘网关集成多种安全业务的阶段性描述,其出发点就是用户需求变化产生的牵引力。对此,美国飞塔有限公司创始人、CTO、工程副总裁谢华在接受记者采访时有着非常精辟的总结:“UTM的概念在不断地进化,包含了越来越多的安全功能。但像500强那样的大企业对UTM的接纳相对保守,不过他们也开始从独立的安全设备开始转向集成化的道路,其关注重点就是Gartner定义的以传统防火墙与IPS为基础元素的NGFW——UTM进化中的一个细化分支。无论如何,我们将看见安全功能整合的革命将继续进行下去。”
途牛旅游网的工程师们在配置NGFW #p#
NGFW产品
现状
理论上的定义总是滞后于用户需求和技术发展,从市场上可以购买到的实际产品来看,NGFW集成的安全功能已经远远超过了咨询机构给出的最小化定义。虽然不同厂商在功能提供上还存在差异,但大家的目标都是一样的,那就是功能最大化集成,性能(产品规格)通吃低端到高端,这与Gartner细分功能、用户群体的追求有很大出入。其实厂商这样做无可厚非,只有功能模块化加系统平台化的方式才能做到成本最低和利润最大化。
近日,记者走访了发布了NGFW产品的5个厂商和部分用户,梳理出一些国内用户在选型时最关注/最值得关注的功能和评估经验,供读者参考。
应用识别、控制与可视化:作为NGFW定义中明确要求具备的特性,应用识别、控制与可视化可以解决给企业用户带来极大压力的网络滥用问题,受到了所有受访用户的关注。而5家提供NGFW产品的厂商均表示,该功能已经成为各自产品中的标准配置,也就是说,即便用户在购买时不包含其他任何安全功能的使用许可,也会得到一个“应用防火墙”形态的产品,我们认为这也将成为未来NGFW产品商业模式方面的常态。但多数受访厂商也希望用户认识到,NGFW产品只能做到上网行为管理产品中基于应用的访问控制与优化功能,并不提供法规遵从及审计相关的特性,不存在完全的取代关系。
全方位的本土化:应用特征库的本土化是影响NGFW产品使用效果的关键因素,每一个厂商都需在协议种类与更新响应速度方面做出最大努力。采访中有用户就抱怨,目前使用的国外某UTM产品在IPS模块中虽然也集成了对应用的识别控制功能,但扩充更新速度太慢,以至于上线不久就失去了对迅雷等频繁更新应用的控制能力,同时全英文的操作/报表界面也加大了使用难度,对于IT管理效率有着不可忽视的影响。
对此,SonicWALL中国研发中心总经理陈中在接受采访时有针对性地提到,目前该公司的NGFW产品在每次系统版本更新后1~2个月内即可提供中文版,并且有专人负责国内应用特征的添加与维护,达到平时每周1次、紧急情况下1天响应的更新频率。而以内容和应用安全起家的深信服科技在这方面显然也有着先天性的优势,该公司技术总监殷浩表示,本土化的应用识别和应用防护功能是NGFW用户获得良好使用体验的基础,深信服目前使用的识别引擎已经能够辨析600多种应用,可以满足不同部署场景的要求。
用户识别与控制/统一的策略框架:虽然它们不全是Gartner的NGFW定义中的强制性功能,但我们发现目前所有的NGFW产品都有提供,并且在此领域做着更加深入的尝试。NGFW应当可以通过获取域控制器信息或Web认证等手段,做到IP与用户身份的绑定,再通过统一的策略框架进行更加直观、简单的权限定义。据Palo Alto公司创始人、首席架构师毛宇明介绍,该公司的NGFW产品将用户识别与应用识别、内容识别并列为3大核心功能,最大化地融合了用户权限与策略配置的描述,例如“允许市场部门的所有员工从任何位置访问新浪微博”、“只允许IT部门员工从特定位置使用SSH、Telnet、远程桌面应用”等等,并且这种融合会让报表更具实用价值。
集中管理平台:NGFW集成了更多的安全功能,我们认为在管理尤其是集中管理上还应该给行业用户提供更强大、易用的解决方案。梭子鱼网络有限公司中国区技术总监谷新就特别提到,该公司在集中管理平台的构建上投入了很大精力,可以管理维护多达数千台NGFW产品。该平台还结合独特的图形化管理维护技术,利用业界独特的“梭子鱼NG地球”特性,使分布网络的管理变得简单高效。
在实验室级别的测试方面,目前业界对出现在市场上不久的NGFW产品还没有一个公认的测试标准,甚至独立的测试报告都寥寥无几。NSSLabs曾经在几个月前发布了针对Check Point Power-1 11065的单品测试报告,这也是该机构第一次发布NGFW类别的测试报告。我们从中可以看出,针对NGFW产品的测试方法可以理解为在传统防火墙和IPS测试的基础上,补充了针对用户/应用的识别与控制能力的测试。据Check Point中国区技术经理刘刚介绍,该产品在测试中有着非常优秀的性能表现,在防火墙、身份识别以及应用程序控制执行的各项评测中取得100%的有效率,成为业界首个获得NSSLabs NGFW“推荐”级别的厂商。但用户也应认识到,实验室环境中的测试结果代表了一种特殊的应用场景,在选型时还应结合自身业务需求寻找更多的评估依据。例如未来如果打算启用DLP功能,就一定要关注重组大小、解码种类等方面的限制,最好能创造环境去测试设备在此条件下的最差性能。此外,我们注意到NSSLabs在应用识别与控制测试中使用的多为欧美地区流行的应用样本,国内用户应当重点考察NGFW产品对迅雷、新浪微博、开心网等本土热门应用的识别与控制能力。
防火墙技术发展简介
从技术发展角度看,到目前为止,防火墙大致经历了4代变革。
首先出现在市场上的是包过滤防火墙,这类产品可以根据IP数据包的五元组(源地址、目的地址、源端口、目的端口、协议类型)做访问控制,代表性的产品是具备ACL能力的路由器。因为处理逻辑比较简单,包过滤防火墙可以做到相对较高的性能。
包过滤防火墙的缺点是处理不够智能,不能很好地适应网络应用发展的需要,所以逐步被使用状态检测技术(Stateful Packet Inspextion,SPI)的防火墙所取代。状态检测机制在基于五元组执行包过滤的基础上引入了会话的概念,维护一个全局的连接状态表,使访问控制功能更加完善、易用。即便在今天,它仍然是绝大多数防火墙或UTM产品中最基础的处理模块,其地位不可动摇。
应用代理防火墙则采用了与状态检测完全不同的处理机制,改由透明代理中断连接、重组数据。虽然这种技术可以做到非常细粒度的访问控制,但仅支持有限的应用协议,只适用于非常特殊的应用场景。并且该机制注定了相对较低的执行效率,不易于性能的提升(用过ISA的朋友可以仔细体会)。也许是时间比较久远,我们并不记得曾经测试过这类硬件产品,只是在一些使用状态检测机制的防火墙上看到它以功能模块的形式出现。如果您在正在使用的防火墙上看到了针对HTTP、FTP、SMTP等常见协议的指令级或字符串级的过滤功能,不妨尝试开启一下,看看是不是会对性能造成很大影响。截至目前为止,可能只有国标中所定义的安全审计产品仍然在使用应用代理机制。
而深度包检测技术(Deep Packet Inspection,DPI)则可以看做是性能与功能平衡的产物,它在状态检测技术的基础上,尝试对数据流中更多的内容进行检测,以在资源消耗较少的情况下提供部分应用代理级别的安全性。正如名称中强调的那样,大部分采用深度包检测的设备依然不会去做太多的重组工作,仅依靠特征比对的方式执行更复杂的访问控制策略。IDS与IPS就是使用这种技术的标志性产品,它们表现出来的性能虽然比起使用状态检测机制的传统防火墙还有一定的差距,却远高于使用应用代理机制的产品。近年来,DPI在不断改进中又衍生出深度流检测技术(Deep Flow Inspection,DFI),以更好地实现各类安全特性。
NGFW产品选购指南
用户在选购NGFW产品时肯定会感到更多的困惑。一方面,UTM和NGFW短期内不存在取代关系,经过包装推广的产品在形态上会越来越相似。另一方面,NGFW必然还会加入更多的安全特性,从著名信息安全培训机构SANS的专家结合现有产品和用户需求给出的未来NGFW产品将需集成的功能列表来看,目前市场上所有主流安全技术都被涵盖在内。乱花渐欲迷人眼,用户(尤其是中小企业用户)难免会像几年前刚接触UTM那样,产生一种不理智的选购心态。
所以,用户在选型前必须先明确自己的需求是什么,再利用NGFW体系结构上的集成化优势对未来部署做出合理性的规划,否则必将带来过犹不及的负面效果。途牛旅游网的资深网络工程师吴康就谈到这样的体会:该公司在明确自身安全需求后,选择了NGFW产品取代UTM搭配上网行为管理的方案,保护包括订单系统在内的在线OA平台。经过长达半年的细致测试,途牛旅游网的IT团队在用户身份关联的基础上逐步实现了策略的统一配置,成功地在满足需求的同时大幅提升了管理效率。
由此可见,充分的测试也是必不可少的环节,鉴于大部分用户都会同时启用NGFW产品提供的多种功能,我们建议无论是否进行实验室级别的测试,都要做至少3个月以上的、结合自身业务需求的上线测试,尽可能地与原有信息系统磨合,排除潜在隐患。
