下一代防火牆

2009年，著名諮詢機構Gartner介紹為應對當前與未來新一代的網路安全威脅認為防火牆必需要再一次升級為“下一代防火牆”。第一代防火牆已基本無法探測到利用殭屍網路作為傳輸方法的威脅。由於採用的是基於服務的架構與Web2.0使用的普及，更多的通訊量都只是通過少數幾個連線埠及採用有限的幾個協定進行，這也就意味著基於連線埠/協定類安全策略的關聯性與效率都越來越低。深層數據包檢查入侵防禦系統（IPS）可根據已知攻擊對作業系統與漏失部署補丁的軟體進行檢查，但卻不能有效的識別與阻止應用程式的濫用，更不用說對於應用程式中的具體特性的保護了。

Gartner將網路防火牆定義為線上安全控制措施，即：可實時在各受信級網路間執行網路安全策略。Gartner使用“下一代防火牆”這一術語來說明升級防火牆的必要性，以應對業務程式使用IT的方法以及針對業務系統所發起的攻擊方法所發生的改變。

下一代防火牆需具有下列最低屬性：

·支持線上BITW（線纜中的塊）配置，同時不會干擾網路運行。

·可作為網路流量檢測與網路安全策略執行的平台，並具有下列最低特性：

1）標準的第一代防火牆功能：具有數據包過濾、網路地址轉換（NAT）、協定狀態檢查以及VPN功能等。

2）集成式而非託管式網路入侵防禦：支持基於漏洞的簽名與基於威脅的簽名。IPS與防火牆間的協作所獲得的性能要遠高於部件的疊加，如：提供推薦防火牆規則，以阻止持續某一載入IPS及有害流量的地址。這就證明，在下一代防火牆中，互相關聯作用的是防火牆而非由操作人員在控制台制定與執行各種解決方案。高質量的集成式IPS引擎與簽名也是下一代防火牆的主要特性。所謂集成可將諸多特性集合在一起，如：根據針對注入惡意軟體網站的IPS檢測向防火牆提供推薦阻止的地址。

3）業務識別與全棧可視性：採用非連線埠與協定vs僅連線埠、協定與服務的方式，識別應用程式並在套用層執行網路安全策略。範例中包括允許使用Skype但禁用Skype內部共享或一直阻止GoToMyPC。

4）超級智慧型的防火牆: 可收集防火牆外的各類信息，用於改進阻止決策，或作為最佳化阻止規則的基礎。範例中還包括利用目錄集成來強化根據用戶身份實施的阻止或根據地址編制黑名單與白名單。

·支持新信息流與新技術的集成路徑升級，以應對未來出現的各種威脅。

一體化引擎數據包處理流程大致分為以下幾個階段：

入站主要完成數據包的接收及L2-L4層的數據包解析過程，並且根據解析結果決定是否需要進入防火牆安全策略處理流程，否則該數據包就會被丟棄。在這個過程中還會判斷是否經過VPN數據加密，如果是，則會先進行解密後再做進一步解析。

主引擎處理大致會經歷三個過程：防火牆策略匹配及創建會話、套用識別、內容檢測。

當數據包進入主引擎後，首先會進行會話查找，看是否存在該數據包相關的會話。如果存在，則會依據已經設定的防火牆策略進行匹配和對應。否則就需要創建會話。具體步驟簡述為：進行轉發相關的信息查找;而後進行NAT相關的策略信息查找;最後進行防火牆的策略查找，檢查策略是否允許。如果允許則按照之前的策略信息建立對應的會話，如果不允許則丟棄該數據包。

數據包進行完初始的防火牆安全策略匹配並創建對應會話信息後，會進行套用識別檢測和處理，如果該套用為已經可識別的套用，則對此套用進行識別和標記並直接進入下一個處理流程。如果該套用為未識別套用，則需要進行套用識別子流程，對套用進行特徵匹配，協定解碼，行為分析等處理從而標記該套用。套用標記完成後，會查找對應的套用安全策略，如果策略允許則準備下一階段流程;如果策略不允許，則直接丟棄。

主引擎工作的最後一個流程為內容檢測流程，主要是需要對數據包進行深層次的協定解碼、內容解析、模式匹配等操作，實現對數據包內容的完全解析;然後通過查找相對應的內容安全策略進行匹配，最後依據安全策略執行諸如：丟棄、報警、記錄日誌等動作。

當數據包經過內容檢測模組後，會進入出站處理流程。首先系統會路由等信息查找，然後執行QOS，IP數據包分片的操作，如果該數據走VPN通道的話，還需要通過VPN加密，最後進行數據轉發。

統一策略實際上是通過同一套安全策略將處於不同層級的安全模組有效地整合在一起，在策略匹配順序及層次上實現系統智慧型匹配，其主要的目的是為了提供更好的可用性。舉個例子：有些產品HTTP的檢測，URL過濾是通過代理模組做的，而其他協定的入侵檢測是用另外的引擎。 用戶必須明白這些模組間的依賴關係，分別做出正確的購置才能達到需要的功能，而統一策略可以有效的解決上述問題。

下一代防火牆的執行範例包括阻止與針對細粒度網路安全策略違規情況發出警報，如：使用Web郵件、anonymizer、端到端或計算機遠程控制等。僅僅根據目的地IP位址阻止對此類服務的已知源訪問再也無法達到安全要求。細粒度策略會要求僅阻止發向其它允許目的地的部分類型的套用通訊，並利用重新導向功能根據明確的黑名單規則使其無法實現該通訊。這就意味著，即使有些應用程式設計可避開檢測或採用SSL加密，下一代防火牆依然可識別並阻止此類程式。而業務識別的另外一項優點還包括頻寬控制，例：因為拒絕了無用或不允許進入的端到端流量，從而大幅降低了頻寬的耗用。

僅有不到1%的網際網路連線採用了下一代防火牆保護。但是隨著下一代網路的來臨，下一代防火牆的套用已然是不可抗拒的趨勢，有理由相信到2014年年末使用這一產品進行保護的比例將上升至35%，同時，其中將有60%都為重新購買下一代防火牆。

大型企業都將隨著正常的防火牆與IPS更新循環的到來逐漸採用下一代防火牆代替其現有的防火牆，或因頻寬需求的增高或遭受了攻擊而進行防火牆升級。許多防火牆與IPS供應商都已升級了其產品，以提供業務識別與部分下一代防火牆特性，且有許多新興公司都十分關注下一代防火牆功能。Gartner的研究報告說明，認為隨著威脅情況的變化以及業務與IT程式的改變都促使網路安全經理在其下一輪防火牆/IPS更新循環中尋求具有下一代防火牆功能的產品。而下一代防火牆的供應商們成功占有市場的關鍵則在於需要證明第一代防火牆與IPS特性既可與當前的第一代功能相匹配，又能同時兼具下一代防火牆功能，或具有一定價格優勢。

隨著網路安全需求不斷深入，大量政府、金融、大企業等用戶將網路劃分了更為細緻的安全區域，並在各安全區域的邊界處部署下一代防火牆設備。對於所有的網路管理者來說，安全設備數量的不斷激增無疑增加了管理上的成本，甚至成為日常安全運維工作的負擔，對網路安全管理起著消極的反作用。對於大型網路而言，網路管理者往往需要在每一台安全設備上逐一部署安全策略、安全防護規則等，並且在日常的維護中，還要逐一的對設備進行升級等操作，類似重複的工作將耗費大量的時間，同時大量人工操作勢必將帶來誤配置的風險。

對於高風險、大流量、多業務的複雜網路環境而言，全網部署的下一代防火牆設備工作在不同的安全區域，各自為戰，為了進行有效的安全管理，管理者往往要單獨監控每一台設備的運行狀態、流量情況以及威脅狀況等，對於絕大多數人力資源並不充裕的信息部門，這無疑又是一項效率低、難度大的工作，監控到的信息往往由於實時性差，易疏漏等問題，對全網安全性的提升並無促進作用。

安全管理應面向風險而非單純的安全事件回響，網路安全同樣遵循這樣的方向和趨勢，而如何及時預見風險，以及在安全事件發生後如何快速溯源並採取回響措施，是擺在每一位網路管理者面前的難題。專家認為，基於大數據挖掘技術無疑可以幫助管理者更加快速的發現網路中的異常情況，進而儘早的確認威脅並採取干預措施，實現主動防禦。而此方案實現的前提，則需具備對數據的收集集中能力以及智慧型分析能力。

隨著以WEB2.0為代表的社區化網路時代的到來，網際網路進入了以論壇、部落格、社交、視頻、P2P分享等套用為代表的下一代網際網路時代，用戶不再是單向的信息接受者，更是以WEB套用為媒介的內容發布者和參與者，在這種趨勢下，越來越多的套用呈現出WEB化，據調查顯示超過90%的網路套用運行於HTTP協定的80和443連線埠，大量套用可以進行連線埠復用和IP位址修改。

然而，由於傳統的防火牆的基本原理是根據IP位址/連線埠號或協定標識符識別和分類網路流量，並執行相關的策略。所以對於WEB2.0套用來說，傳統防火牆看到的所有基於瀏覽器的應用程式的網路流量是完全一樣的，無法區分各種應用程式，更無法實施策略來區分哪些是不當的、不需要的或不適當的程式，或者允許這些應用程式。如果通過這些連線埠禁止相關的流量或者協定，會導致阻止所有基於web的流量，其中包括合法商業用途的內容和服務。即便是對授權通過的流量也會因為不能細粒度的準確分辨套用，而使針對套用的入侵攻擊或病毒傳播趁虛而入，使用戶私有網路完全暴露於廣域網威脅攻擊之中。

綜上所述，在新一代網路技術發展和新型套用威脅不斷湧現的現有環境下，對網路流量進行全面、智慧型、多維的套用識別需求已迫在眉睫，也必將成為下一代防火牆所必須具備的基本和核心理念之一。

每一種網路套用都應具備多方面的屬性和特質，比如商業屬性、風險屬性、資源屬性、技術屬性等等，只有從各個角度多維、立體的去識別一個套用才會更加全面和準確。舉例來說，從商業屬性來講，可以是ERP/CRM類、資料庫類、辦公自動化類或系統升級類套用;從風險屬性來講，可以是1至5級不等的風險級別分類，風險級別越高的套用(如QQ/MSN檔案傳輸等)其可能帶來的惡意軟體入侵、資產泄密的可能性就越高;從資源屬性來講，可以是容易消耗頻寬類、容易誤操作類或易規避類的套用等;而從技術屬性來講，又可以是P2P類、客戶端/伺服器類或是基於瀏覽器類的套用等。

對套用的多維、立體識別不僅是下一代防火牆做到全面、準確識別套用的必須要求，更是輔助用戶管理套用、制定套用相關的控制和安全策略的關鍵手段，從而將用戶從晦澀難懂的技術語言抽離出來，轉而採用用戶更關心和可以理解的語言去分類和解釋套用，方便其做出正確的控制和攻防決斷。下一代防火牆必須也應該要做到這一點，一種重要的實現手段就是---套用過濾器。

套用過濾器的關鍵特點是提供給用戶一種工具，讓用戶通過易於理解的屬性語言去多維度的過濾和篩選套用，經過篩選過濾後得到的所有套用形成一個套用集，用戶可以對此套用集針對性的進行統一的訪問控制或安全管理。舉例來說，作為邊界安全設備，用戶希望在允許區域網路用戶與外網進行必要的郵件、IM即時通信、網路會議通信的同時，能夠對其中的中、高級風險類套用進行安全掃描和防護，保證通信安全，杜絕威脅入侵。要做到這點用戶只要通過套用過濾器，在商業屬性維度給出選擇，這裡選擇協作類套用(包括郵件、IM通信、網路會議、社交網路、論壇貼吧等套用)，再在風險屬性維度給出選擇，這裡可選擇3級以上風險等級，套用過濾器會根據選擇過濾、篩選出符合維度要求的所有套用(這裡包括雅虎mail、QQ信箱、MSN聊天、WebEx會議、人人網論壇等幾十個套用)，並以分類頁表的形式呈現給用戶，用戶還可以通過點擊套用名稱查看每個套用的詳細描述信息。接下來在一體化安全策略中，用戶在指定好IP、安全區、時間、用戶等基本控制條件，以及指定好IPS、防病毒、URL過濾、內容過濾等安全掃描條件後，只要選定剛才的套用過濾器，即可對所有內外網協作且高風險類套用進行全天24小時的安全掃描和防護，當發現攻擊威脅時及時阻斷並審計記錄，保障用戶的套用安全無憂。

社區化網路的發展，縮短了世界各地用戶經驗交流和合作的時間與空間，套用數量和種類及相關的網路威脅都在日新月異的增長和發展著。面對來自世界各地、隨時隨地湧現的新類型、新套用，任何一個安全廠商或機構都無法第一時間毫無遺漏的全部涵蓋和一網打盡，下一代防火牆必須提供一種機制，去第一時間識別和控制套用，保障用戶網路每一秒都不會暴露在網路威脅之下。這就要求其必須要具備套用自定義的能力。

所謂套用自定義，就是以動態的方式允許用戶對某種/某些非通用化、用戶私有的無法識別的套用進行特徵化的描述，系統學習並記憶這種描述，並在之後的網路通信中去智慧型的分析和匹配此種特徵，從而將其識別出來，實現將套用由未知轉化為已知。這種機制免去了傳統以往為增加套用而重做的軟體引擎、識別庫版本開發、定製、上線、升級等大量工作，節省了大量寶貴時間，第一時間保障用戶網路安全。

下一代防火牆的套用自定義應該包括維度歸類和特徵碼指定兩部分。維度歸類將自定義出的套用如同其它已有套用一樣從多維度進行分類劃分，如該套用屬於哪種商業類型、何種資源屬性、怎樣的風險級別等等，與套用過濾器形成完美配合。同時通過特徵碼，指定出套用在包長度、服務連線埠、連線方式、甚至於特徵字元串/數字串等等方面的數據特徵，多種方式靈活組合，並可依需要無限度擴展，涵蓋了學習、辨識一個新套用的所有特徵因素，從而第一時間讓所有已有的或未來將有的未知套用無處遁形，完全掌握於控制之中。

全國人大代表、中國電子科技集團公司總經理熊群力向記者透露，我國自主開發的全新一代國產工業防火牆即將推出，將為國內工業用戶提供工業控制信息安全“固、隔、監”的防護體系。

據熊群力介紹，作為功能全面、安全性高的網路安全系統，這套名為三零衛士工業防火牆的新一代國產工業防火牆，採用國際上最先進的網路安全技術，是針對工控網路安全的具體套用環境完全自主開發的安全產品。工控網路安全涉及國家關鍵基礎設施信息系統如電力、軌道交通、石油、水務等的基礎網路所面臨的安全問題，此前在2013年，中國電科已率先研製了兩款國內首創、擁有完全自主智慧財產權、基於專用硬體的工業控制系統信息安全產品。

目前，國內外的下一代防火牆的發展非常迅速，大部分安全廠商都發布了下一代防火牆產品，甚至包括一些在傳統防火牆領域裡的絕對領導者都在推下一代防火牆。而作為下一代防火牆的首創者PaloAlto更是快速的在Gartner魔力四象限里成為了企業防火牆市場的領導者。但從國內實際接受程度上看，下一代防火牆想替代傳統防火牆還需要進行較多的市場投入。黃海表示，“讓客戶認識到下一代防火牆是能夠給現有的安全管理帶來改變是需要時間和金錢的。尤其是，中國市場相對海外可能會更加保守，市場化的完善程度也稍差，這些原因會導致下一代防火牆所蘊含的新理念和新技術在推行方面遇到更多障礙和阻力。”

黃海繼續談到，目前，從企業用戶的需求來看，不斷增長的下一代防火牆需求，反應出的是當前企業用戶對高性價比的基礎網路安全功能的需求。隨著安全技術的進步和黑客文化的流行在不斷的演變，十年前說到基礎網路安全功能，很多企業客戶想到的就是傳統防火牆，能夠劃分安全域，能進行訪問控制就行。但是近幾年套用、殭屍網路、蠕蟲、木馬、APT攻擊的泛濫都在不斷的給很多企業客戶敲響警鐘，企業必須部署IPS和內容級安全設備來增加整個網路系統的安全防護和管控能力。但專業的IPS設備與傳統防火牆設備相比可謂要價不菲，如果真的升級網路安全系統的話，對企業來說，它的資金消耗是非常龐大的。所以這個時候就需要有性價比更為優越的安全設備出現來解決企業客戶在資金和安全需求之間的矛盾關係。所以下一代防火牆這個時候出現。

即插即用式安裝

即插即用式配置可以使企業將設備的初始配置自動上傳到一台管理伺服器。遠程位置可以通過傳輸層安全（TLS）協定連線到這台管理伺服器。即插即用可以快捷地為不同地理位置的大型網路實現快速部署和安裝，同時又可以減少到設備進行現場訪問和人工配置的麻煩。自動化還可以減少出錯風險。

高效且集中化的故障診斷工具

如果企業的防火牆具有高效且集中化的故障診斷工具，故障診斷就未必占用安全團隊的大量時間。這種工具應當集成到防火牆中，而不應當在以後進行修補。這種工具還應當擁有企業從一個獨立的中央位置就可以控制的多種功能。理想的工具包括大量的遠程診斷功能和其它的診斷功能，以及集成化的通信捕捉工具、網路取證分析、會話監視和配置快照等。

快捷可靠的遠程更新

更新是高效的防火牆可以提供的更為輕鬆且高效的另一種功能。快捷可靠的遠程更新特性可以使技術人員在整個網路上實施安全可控的軟體更新，並且占用最少的通信量。在一個中央位置管理這種任務可以降低操作成本，使設定時間僅占用幾十分鐘而不是幾個小時或幾天。快捷可靠更新還可以降低操作風險，在更新新版本失效後，企業可利用其中的 “反轉”功能恢復到以前的版本。此外，企業能夠通過快捷可靠更新確定在非正常業務期間（或對網路影響最小的其它任何時間）進行操作的時間，從而實現接近100%的正常運行時間和可用性。

任務自動化

任務自動化並不僅僅為網路防火牆的升級帶來很大好處。網路防火牆還應當允許管理員自動化任何重複性的占用大量資源和時間的任務，並可確定其時間。這種特性不但對於那些有可能影響到服務的任務來說很有益，而且對於日常報告等活動來說，也很有好處。在任務實現自動化並確定好其時間後，就不再需要什麼人工勞動了，而管理員就可以在網路負載與非關鍵操作之間實現平衡，從而確保高可用性。

要素共享和再利用

要素共享和再利用可以減少工作量和出錯的風險。通過高質量的下一代防火牆，管理員不必每次在需要變更時為個別組件或客戶設定配置信息，而是可以重用相同的要素來管理多個客戶分組的服務變化。

策略驗證和分析工具

很多下一代防火牆配備了龐大的防火牆規則集，這會使故障診斷任務複雜化，並會帶來犧牲性能的不必要負擔。這些規則往往是重複的，有時甚至在轉換中丟失目標地址。用策略驗證和分析工具可以輕鬆地檢查和清除不用的或重複的規則，而不必犧牲安全性。清除冗餘的規則可以提高系統性能，增加安全性，簡化網路故障診斷的過程，並可以從資料庫中清除不必要的數據。

基於角色的管理訪問控制

並非所有管理員都應當享有訪問安全組件的同樣訪問權。基於角色的訪問控制可以允許用戶根據每個管理員的職責定義多種管理訪問的權利。企業應當能夠為每個管理員定義一個或多個角色，並限制每個角色適用的組件。防火牆的細節控制選項應當包括對每個要素和要素類型所涉及的管理員特權進行嚴格的、高度精細的控制，並可以控制讀寫操作的等級。

當挑選將要部署的下一代防火牆特定性能時，網路和安全團隊應該合作。用一個保守的方法來挑選性能是比較適合的，有兩個原因。首先，負責網路安全的管理員必須能熟練操作和監控新的性能。其次，許多功能都是單獨授權的，需要前期和持續的資金來維持。

最直接的方法就是選擇一個能提供所有你所希望部署的服務的下一代防火牆平台，但是只購買那些要立即使用的服務的授權。推出一套能緊密匹配目前你所擁有的利基產品的服務，然後慢慢妥善過渡到下一代防火牆。一旦一切都在掌握中，就可以開始考慮部署新的功能之一，直到慢慢達到你期望的最終狀態。

採購

套用識別和控制。任何下一代防火牆最重要的功能就是要能夠正確地理解、解碼以及分析套用流量來檢測已知或未知威脅。絕大部分關鍵業務套用的策略變化設計的很微妙，用以支持不同類型的功能。防火牆需要能夠察覺到這些細微的變化以做出恰當的策略決策。任何高效的下一代防火牆必須支持細顆粒度的套用策略部署及管控，同時，也要能更新至允許設備評估規則和持續套用它們的分析和處理引擎，而無論流量模式怎樣隨時間變化。

協定解析和異常檢測。任何下一代防火牆必須要能快速地將協定解析至現有組成部件中去。很多攻擊者使用複雜的隧道技術，將指定協定或敏感數據嵌入其他協定中。這樣一來，下一代防火牆需要判斷出ICMP、HTTP以及其他協定類型是真實的還是攻擊者人為製造的。

用戶識別。所有的企業級下一代防火牆產品都應該具備與各類目錄資源（比如說Active Directory以及現有環境中的相關活動）連線的功能用以進行用戶識別。理想情況下，系統應該能將IP位址映射到系統名稱以及用戶登錄上去。防火牆上基於角色的策略能用於特殊用戶檢測。這就使得防火牆能夠判斷出是否有與協定和套用有關的不尋常的流量出現，即使它追蹤的使用模式是基於特定的用戶和組的也無妨。此種情形下，對於打算進行採購的企業來說，需要考慮的最重要的一點就是產品對於用戶資源庫類型的支持。

速度和性能。除理解和過濾流量之外，評估NGFW的另一項關鍵的因素就是速度。考慮到對於任何下一代防火牆設備來說，數據包的處理和分析都非常密集，因而流量延遲是一個主要的關注點。很多廠家鼓吹其產品可以保持10 Gbps或更快的速度，不過在決定購買之前企業還是要進行徹底地檢測以得出實際的速度。

URL過濾。一些防火牆可以執行基於URL的內容過濾以及站點信譽分析。儘管不如單獨的內容過濾產品（比如來自Websense、BlueCoat或其他廠商的產品）那樣強大、特徵明顯，但URL過濾能將套用及流量分析方面的功能添加至已經運行的入侵檢測過程中。

SSL終止和檢驗。攻擊者非常聰明，他們製作惡意軟體和攻擊套件，使用像SSL之類的加密通道來運送敏感數據和機器命令。一些組織可能會認為這應該是下一代防火牆的一項必備功能，不過很多企業還沒有準備好對SSL進行監管或者因為某些與隱私相關的原因無法做到。

惡意軟體虛擬沙盒。一些更新的下一代防火牆產品已經開始將惡意軟體沙盒和分析集成在產品中，這將有益於檢測出更為高級的惡意軟體感染。
此外，也可以將易於使用和部署、與現有環境中的工具和技術集成以及可以默認設備的用戶登錄等特性考慮在內。

如果大部分數據都存儲在私有數據中心，那么使用下一代防火牆（NGFW）和網路訪問控制（NAC）的邊界安全性就是一種重要的數據保護措施。防火牆將防止企業網路之外的用戶接觸到數據，而NAC則負責保證用戶與設備有正確的數據訪問許可權。

另一方面，如果數據目前或將來存儲在雲中，那么整體架構安全性則應該重要關注於兼容雲平台的安全工具。例如，許多NGFW都支持用虛擬防火牆來兼容雲平台。類似地，網路安全措施還應該注重使用安全的Web網關（SWG）和惡意軟體沙箱來防止網路之間發生數據丟失。此外，這些工具能限制可能滋生惡意軟體的數據在企業網路、各種雲服務提供商及網際網路之間傳輸。許多SWG和惡意軟體沙箱都提供了雲服務，因此它們更適合那些將數據存儲在雲中的企業。