By

NGFW,全称是Next generation firewall,即下一代防火墙。 目录

1 NGFW的概念
2 NGFW的技术

NGFW的概念

NGFW(Next generation firewall)即下一代防火墙 是目前业界的热点声音。 Gartner最早在2009年给NGFW定义:必须有标准的防火墙功能,如网络地址转换,状态检测,VPN和大企业需要的功能如:IPS、AV、行为管理等功能 PAN 是NGFW的创始者,并引入了App、User、Content的概念 在policy里面引入了三个元素: APP-ID:application identity,应用的类型 User-ID:用户的id Content-ID:资源或者内容ID APP-ID是DPI/DFI(或者AI(application identification))的结果。怎么理解呢?2009年之后很多应用协议都可以运行在http上,http变成了一个承载协议,如果只控制http,显然粒度太大,如果能区分出里面的QQ, p2p(emule, bt等),facebook, twitter,控制的粒度更细,对用户越友好。 User-ID需要和企业内部的Auth服务或者UAC/NAC服务结合起来用。用户登录以后,就会有与之绑定的ip地址,policy里面可以匹配相应 的用户id。这应该不是什么新东西,很早的防火墙里面就有这个功能了。如果用户登录以后,在防火墙上会下载相应的访问控制策略,这样还有点新意,也就是说,访问控制策略是和用户动态绑定的,并不需要静态加载到防火墙上。但这需要单独的策略服务器,而且如何策略服务器失效,用户是允许访问,还是不允许访问哪?系统里面交互的部件越多,控制越复杂,出错的几率就越高。 Content-ID顾名思义,应该是访问对象的ID。这个和APP-ID的问题是一样的,那就是粒度。Content-ID应该在DLP(data leakage prevention)里面会用到,或者是URL filtering。什么是content?是URL,还是URL指向的内容,还是更深一层的内容。[1] NGFW的技术

我们可以看到,如果传统防火墙拥有了“支持联动的集成化IPS”、“应用管控与可视化”以及“智能化联动”相关特性就是下一代防火墙吗?显然不是。下一代防火墙并不是简单的功能堆砌和性能叠加,下一代防火墙应该站上更高的山峰,以全局的视角,从解决用户网络面临的实际问题出发来定义才更为妥当。 而且可以肯定的是,下一代防火墙并不是凭空而出的产品,也不会是防火墙的终极形态。 下一代防火墙需要安全厂商不断的关注IT环境和客户需求的变化、持续专注的技术积累及创新,而厚积薄发的产品成果。 在未来,下一代防火墙还会有“下一代”,那将是性能更强,功能更加贴合网络环境与用户需求的产品,“下一代”也将会无穷尽也。 所以我们不该把目光放到一个名字上,而是真正去关心一下,下一代防火墙所能解决的问题。 业界的主流观点认为,现阶段,下一代防火墙应该实实在在实现以下六大功能,才能证明:“我不是加强版和附属品,我是独立的,完全自我的网关安全产品,有独特的特性和气质的真正NGFW(下一代防火墙)。” 基于用户防护 传统防火墙策略都是依赖IP或MAC地址来区分数据流,不利于管理也很难完成对网络状况的清晰掌握和精确控制。下一代防火墙则具备用户身份管理系统,实现了分级、分组、权限、继承关系等功能,充分考虑到各种应用环境下不同的用户需求。此外还集成了安全准入控制功能,支持多种认证协议与认证方式,实现了基于用户的安全防护策略部署与可视化管控。 面向应用安全 在应用安全方面,下一代防火墙应该包括“智能流检测”和“虚拟化远程接入”两点。一方面可以做到对各种应用的深层次的识别;另外在解决数据安全性问题方面,通过将虚拟化技术与远程接入技术相结合,为远程接入终端提供虚拟应用发布与虚拟桌面功能,使其本地无需执行任何应用系统客户端程序的情况下完成与内网服务器端的数据交互,就可以实现了终端到业务系统的“无痕访问”,进而达到终端与业务分离的目的。 高效转发平台 为了突破传统网关设备的性能瓶颈,下一代防火墙可以通过整机的并行多级硬件架构设计,将NSE(网络服务引擎)与SE(安全引擎)独立部署。网络服务引擎完成底层路由/交换转发,并对整机各模块进行管理与状态监控;而安全引擎负责将数据流进行网络层安全处理与应用层安全处理。通过部署多安全引擎与多网络服务引擎的方式来实现整机流量的分布式并行处理与故障切换功能。 多层级冗余架构 下一代防火墙设备自身要有一套完善的业务连续性保障方案。针对这一需求,必须采用多层级冗余化设计。在设计中,通过板卡冗余、模块冗余以及链路冗余来构建底层物理级冗余;使用双操作系统来提供系统级冗余;而采用多机冗余及负载均衡进行设备部署实现了方案级冗余。由物理级、系统级与方案级共同构成了多层级的冗余化架构体系。 全方位可视化 下一代防火墙还要注意“眼球经济”,必须提供丰富的展示方式,从应用和用户视角多层面的将网络应用的状态展现出来,包括对历史的精确还原和对各种数据的智能统计分析,使管理者清晰的认知网络运行状态。实施可视化所要达到的效果是,对于管理范围内任意一台主机的网络应用情况及安全事件信息可以进行准确的定位与实时跟踪;对于全网产生的海量安全事件信息,通过深入的数据挖掘能够形成安全趋势分析,以及各类图形化的统计分析报告。 安全技术融合 动态云防护和全网威胁联防是技术融合的典范。下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。一方面可以通过“云”来收集安全威胁信息并快速寻找解决方案,及时更新攻击防护规则库并以动态的方式实时部署到各用户设备中,保证用户的安全防护策略得到及时、准确的动态更新;另一方面,通过 “云”,使得策略管理体系的安全策略漂移机制能够实现物理网络基于“人”、虚拟计算环境基于“VM”(虚拟机)的安全策略动态部署。