防火墙是针对网络安全防护而出现,其采用访问控制技术,它是外部网络与内部网络之间的屏障,目前防火墙已成为目前最为流行也是使用最为广泛的一种网络安全技术,其处于网络安全的最底层,负责网络间的安全认证与传输,是网络安全的第一道防线。随着网络安全技术和网络应用的整体发展以及网络安全防御理念的需要,现代防火墙技术已经逐步由网络层扩展至其他安全层。不仅要完成传统防火墙的基本过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
虽然防火墙早在二十世纪九十年代就已出现并广泛应用,但随着越来越强的网络攻击手段的不断出现,与早期防火墙相比,如今的防火墙在技术上早已有了较大发展。在经历了多次技术变革后,防火墙的概念正在变得模糊,在不同语境中有着不同的含义。
防火墙(Firewall),也称防护墙,一般是指一种位于内部网络与外部网络之间的网络安全系统。设置防火墙目的是为了在内部网与外部网之间设立唯一通道,简化网络安全管理,防止不合法的访问。它建立起一套隔离体系,允许“同意”的人和数据进入网络,同时将“不同意”的人和数据拒之门外,将内部网络与外部网络“隔离”开来。
在描述具体产品时,防火墙大部分指代的是采用状态检测机制、集成VPN、支持桥/路由/NAT等工作模式的作用在二至四层的访问控制设备;宏观意义上的防火墙,实际上指的是以性能、稳定性为主导的、在网络边缘执行多层次的访问控制策略、使用状态检测或深度包检测机制、包含一种或多种安全功能的网关设备(Gateway)。传统防火墙在阻挡黑客攻击,非法入侵时发挥着重要作用。
但随着网络技术的不断发展,简单的安全规则和简单的协议过滤已无法满足威胁防御的需求,传统防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁,由于更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行,这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。
针对传统防火墙所暴露出来的一系列弊端,NGFW(Next generation firewall)即下一代防火墙应运而生。
业内普遍认同的NGFW定义来自Gartner2009年发布的一份名为《Defining the Next-Generation Firewall》的文档,在该文档中Gartner将 NGFW定义为:“下一代防火墙是一种深度包检测防火墙,超越了基于端口、协议的检测和阻断,增加了应用层的检测和入侵防护,下一代防火墙不应该与独立的网络入侵检测系统混为一谈,后者只包含了日常的或是非企业级的防火墙,或者把防火墙和IPS简单放到一个设备里,整合的并不紧密。”
NGFW不仅具备传统防火墙的功能,诸如数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN功能等,还具备应对综合威胁的发现能力、阻断能力,而且并不是简单的功能堆砌和性能叠加,而是从全局视角,帮助用户解决网络面临的实际问题。
NGFW的出发点是围绕应用,最大化地做应用识别、风险管理和分类,保留企业业务需要的应用,屏蔽业务不需要的应用,试图通过建立应用白名单的方式,做最小化的授权,使得网络中只允许使用白名单应用,从而保证安全。这种方式提高了攻击的门槛,使得攻击的难度和代价加大,这种防御思想是个非常好的想法。但现实中,很少有企业能按照这种方式进行管理,而且企业规模越大就越难,只能做到一定程度上的收紧。这样风险也就随之而来。
图1 防火墙的发展
具体来说NGFW具有以下局限:一是以本地规则库为核心,无法全面检测已知威胁;二是缺乏数据智能,无法感知未知威胁;三是没有协同防御机制,依然在用单机的、私有的思路来解决网络的、公有的威胁。
尽管NGFW在应用感知、精细管控、内容安全、全栈可视方面取得了不小的进步,但随着大数据时代的到来,以APT为代表的各类高级威胁让边界防御难以发挥作用,表现出越来越多的不足,例如高级威胁难发现、内部违规看不见、安全调查缺信息、威胁处置配置繁。
要想规避上述不足,简单的功能添加和性能提升是无法真正解决问题的,NGFW需要彻底的变革和重新定义。面对海量的数据及隐藏其中的各种高级威胁,防火墙不能再孤军作战,而是需要建立起协同防御的安全体系,并依托于持续更新的威胁情报和不断加强的技术能力,持续提升自身提升发现和响应高级威胁的能力,从而在边界更好的对抗各种安全威胁。智慧防火墙便应运而生,如图1所示。
防火墙在安全防御体系中的地位不言而喻,那防火墙对网络攻击究竟起到多大作用?能解决掉多少的攻击问题?真实数据却让人们大跌眼镜,根据Gartner的报告,防火墙能有效处理的攻击不超过25%。
智慧防火墙是为解决原有的下一代防火墙的不足而建立的。智慧防火墙仍旧具有传统防火墙的一般特征,但已不再仅仅是针对于其自身应对威胁能力的提升,而是体现了协同联动的理念,即以大数据处理平台为基础,然后再结合外部的威胁情报对这些数据进行分析处理,并将得到的策略下发到防火墙当中去,从而提升分析和响应能力,这就是智慧防火墙的核心理念。同样,这也是对数据协同理念的体现。