鲁田思
摘要:在“互联网+”的时代IT信息技术的快速发展已经成为必要趋势,在关注快速发展的同时信息安全也成为主流的关注对象,传统的网络架构已经成为基础建设的必要措施,然而安全是加固这层基建的重要保障,传统的防火墙对于应用的识别不精准造成数据包的判断错误导致安全风险增大。
关键词:下一代智能防火墙;区域边界;应用层策略
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2021)32-0046-03
1 背景
防火墙是内外网络之间的重要保障,是抵御外部威胁的第一道桥梁,传统的防火墙一般有四种类型分别是包过滤、应用级网关、代理服务器和状态检测等功能。
随着网络的攻防威胁的日益频繁和门槛的降低传统的防火墙已经不能抵御威胁,黑客可以轻易地躲避传统防火墙的拦截,传统的防火墙不能对加密的应用数据进行数据包分析、无法检测加密的Web流量信息、无法扩展检测的深度、無法联动其他安全设备经行统筹部署。
下一代智能防火墙相比传统的防火墙不仅具有传统防火墙基于四层防护的基本功能其优势是在于依据传统的防火墙的数据包进行七层过滤并且配合应用识别特征库做到包的拆分过滤真正对微小的数据包进行识别对判定存在威胁的数据进行过滤。
2 下一代智能防火墙的由来
2.1 下一代智能防护的诞生
防火墙虽然存在安全域的概念并且端口也应用在安全域下但是端口的状态检测仍然不能做到安全地阻止外部威胁,随着Web2.0的快速发展更小的数据包以及使用更小更常用的数据端口在传统的防火墙上是检测不到的,这意味着基于端口/协议的政策已经变得不能很好适应和奏效。
NGFW下一代智能防火墙[1]应该是可以承受高并发并且更加智能联动的防火墙一般具有以下几个属性:
1)典型的初代防火墙:数据包过滤、VPN虚拟专用网络[2]、NAT网络地址转换以及状态性协议检测等。
2)下一代智能防火墙有了智能判断的机制:集合特征库的分析精准判断数据包是否存在异常行为特征,当然需要有IPS和AV的授权并实时更新特征库与病毒库。
3)应用识别的精准:识别到独立运行的端口和协议,并非传统防火墙的协议号来判断。
4)下一代防火墙深度学习性:下一代智能防火墙具有深度学习功能,可以将数据包与用户建立起连带关系,通过全局的黑白名单信任机制可以做到及时有效的身份验证和阻断。
2.2 下一代智能防火墙的技术革新
应用的精准识别和设备的联防联动是下一代防火墙的重要方向数据包不再区分大小以抵御更多的威胁数据,而且下一代防火墙更加注重性能的要求根据七层协议实时命中应用特征库的识别。
经典防火墙和Unified Threat Management(统一威胁管理,以下简称:UTM)是在“瘦防火墙”的基础上逐步发展而来,但NGFW防火墙集成的WAF、URL过滤、VPN、IPS、AV、沙箱、态势感知等功能于一体的安全智能网关系统更加注重应用层的防护,结合自身特有的防护引擎模块实时精准高效地对于数据包和流量做出处理动作避免造成内部数据安全和威胁,而减少网络安全设备硬件的数量,更加有利于网络安全诊断效率。
下一代防火墙对数据流量的细粒度识别更加快速精准,对异常流量和数据能够及时做出阻止动作,可以基于应用层的QOS对流量进行整流和放行做到更加精准识别和控制,不再依据传统的ACL的匹配策略进行数据模型的整流模式使得控制更加灵活和安全。
3 下一代智能防火墙的功能
3.1 部署功能
1)路由模式[3]
路由模式一般适用于用户有少量的公网地址但是需要上网的私网地址用户较多的模式,因此防火墙需要采取NAT转换成出接口或者目的地址池内的地址进行转换上网,防火墙则是起到承上启下的作用那么DHCP地址池可以在防火墙中设置也可以在下层的交换设备上部署。
2)透明网桥模式
网桥模式是现在部署方式较多的形式,网桥模式的使用相当于接接口对之间形成一路可以监测和管理的网线模式,这种部署方式的好处就是不改变原来的网络架构省去烦琐的部署和分析现有网络拓扑的步骤,并且接口的形式与网络中二层接口模式相同。
3)旁挂模式
旁路模式又称旁挂模式也是现实中部署较多的形式,旁路部署一般需要将核心设备的接口开启流量镜像,将网络中的流量镜像给防火墙让防火墙进行识别,在不改动和不需要业务终中断的情况下这种部署模式有效地控制网络中存在的安全风险。
3.2 安全功能
1)业务安全
业务安全是从业务角度进行安全展示,展示网络中业务相关的整体安全状况,包括业务风险汇总、安全事件汇总攻击和实时漏洞分析三个功能。
①业务风险汇总是从业务角度进行安全展示。可以查看到业务是否存在被攻击或者看到潜在的风险。
关于风险等级说明如表1所示。
表1 风险等级
[风险等级 说明 已被入侵 已有数据证明服务器已被黑,如被挂webshell、黑链等。 曾被入侵 无数据证明服务器被黑,会存在被攻击的证据:包括SQL注入、暴力破解、webshell上传等攻击类型的日志。 曾被收集信息 无数据证明服务器被黑,会记录被搜集信息的证据。 存在漏洞 无数据证明服务器被黑,无被攻击记录,说明服务器本身存在漏洞。 ]
关键风险类型包含:监管通报、敏感信息泄露、公众形象受损,高中低危漏洞
②安全事件汇总攻击可关注到攻击事件类型TOP5和攻击者地图以及热点事件。
热点事件是防火墙收集的某段时间内来自全网的排列TOP10的安全事件,这些安全事件中,如果有对应的攻击威胁经过防火墙,就可以被防火墙能识别到。
③实时漏洞风险分析可以实时分析策略、安全策略、安全防护策略等产生的日志信息,可以分析业务中存在的安全漏洞风险。
2)用户安全
用户安全是从用户角度进行安全展示,掌握网络中用户端的安全状况,包括用户风险汇总和用户攻击事件两个功能。
①用户风险汇总包括安全状态分布和所处阶段分布。
用户安全状态分布:用于显示受影响的用户分布情况。
用户详情:用于显示最近用户发生的攻击事件。
内容包括:用户、安全等级、状态、威胁性、确定性、威胁类型、所处阶段、高危活跃次数、待处理文件/关联文件、联动状态、操作。
②用户攻击事件
用户安全事件是从攻击类型的角度进行用户安全展示,可以收集来自全网热点事件中流量经过防火墙来识别的用户风险。
全网实时热点事件是根据当前的热点事件进行整理,结合当前的攻击日志分析内网用户是否有遭受热点事件的攻击。
内容包括:序号、最后通信時间、影响用户、威胁等级、威胁类型、威胁描述、事件次数以及操作。
3)专项防护
专项防护提供设备特有防护功能模块的展示,能够快速了解专项防护功能模块的防护情况并进行响应,包括勒索专项防护、主动诱捕总览、热点事件预警、云端黑客IP防护和账号安全专项防护等功能。
①勒索专项防护是防火墙通过针对的防护对象而自动生成策略,可以达到全面防护勒索风险。同时可以全面以及可视化地识别勒索风险,并提供处置建议和处置思路。
②部署主动诱捕功能,设置蜜罐服务。
随着黑客的攻击手法变得越加隐晦,提供了攻击溯源的难度,单靠产品的传统基于规则、引擎、甚至云脑威胁情报等防护识别方式,已很难百分百识别拦截所有的攻击行为,所以我们可通过主动诱捕。
一方面可达到转移黑客攻击的效果,另一方面可以实现主动诱捕黑客攻击,掌握黑客使用的攻击手法和反制目的,也可通过窃听黑客之间的联系,掌握他们的社交网络行为,从而能够让防御方清晰地了解其所面对的安全威胁,并通过技术和管理手段来增强真实业务系统的安全防护能力。
③云端黑客IP防护是通过防火墙连接到云端,主动获取到云端的黑客数据并同步到本地中,将防护列表中的黑客IP进行防护。
当黑客流量经过防火墙后,匹配成功的源IP将自动拦截。若存在误报情况,会禁用该IP的访问;禁用后,云端黑客IP库将不再对该IP进行识别拦截。云端黑客IP库每隔2小时自动更新,保证最新情报信息。
④账号安全是以客户的业务对象为视角,通过分析该个业务对象是否存在账号安全的风险,比如是否存弱口令、是否遭受过口令爆破攻击、是否存在过账号异常登录等异常现象,帮助我们可视化地分析账号的相关安全风险,并给予对应的修复防护意见,从源头阻断攻击行为,从而大大降低业务的安全风险。
另外,还可以梳理所有业务资产的账号入口都有哪些,能够可视化地分析内网业务是否开发了什么不必要的账号登录入口,并给予对应账号登录入口的管理建议,有效梳理账号入口,减少资产暴露面。
4 下一代智能防火墙的优势
4.1 应用识别和控制
下一代智能防火墙在应用识别上相比传统防火墙有质的飞跃,下一代防火墙可以精准识别上万种应用的特征并正确地将它们识别出来,打破数据伪装和加密技术躲避安全防护。
下一代防火墙对固定端口小于1024以下的稳定端口能够迅速识别并与之分析流量特征做到是否存在伪装等问题,配合读取数据包载荷内的OSI模型解析和拆分数据包的特征匹配实时联动的特征库来确定是否安全。
对于数据流量的识别更加精准,大流量的数据包一般都具有固定的特征比如P2P的流量数据包的大小都在450字节,一般行为特征都是占用时间长、下载或者上传速率高、断点续传等特征;对于视频流量一般采用UDP的传输协议流量模型一般为前期波峰较高后期持续平稳的形状,并且伴随着大量的UDP连接持续。
4.2 用户识别和控制
下一代智能防火墙采用了用户和用户组的概念,可以基于对用户的单独、批量、区间段的控制,同时配合VPN的联动和策略的联动可以灵活地查看用户的流量和协议使用情况,而且对于人员较多的情况可以批量导入导出方便管理,同时还可以基于用户的源来控制访问可以访问哪些地址、应用、IP段范围以及用户认证方式等。
4.3 内容识别和控制
下一代智能防火墙可以将数据包的数据分析还原对异常的数据包和流量进行反向分析,下一代智能防火墙不仅要防护内部安全和阻止外部威胁,还要进行逆向溯源来判断黑客采用了哪些攻击手段和地理位置。
同时还要处理内部威胁,对内部用户的网络情况进行识别,识别哪些用户经过防火墙的流量存在病毒信息和攻击行为及时阻止避免安全事件范围的扩大。
4.4 防护模块联动
下一代智能防火墙不仅仅是应用上的识别事实上它可以认定是一个安全网关,基于对功能多维度的数据空间管理联合多模块多功能多接口的形式而存在,应用识别的精准需要特征库的强大。安全的模块的防护则是需要多模块的组合和联动。
入侵防御系统[4](IPS: Intrusion Prevention System)可以有效地抵御DDOS、蠕虫、垃圾邮件、木马等更加智能的数据威胁,在数据进入防火墙的初始阶段进行扼杀在萌芽之中并及时通告IPS库之中配合其他联动设备进行东西向和南北向的防护形成田字格的区域防护和拦截避免造成数据的大面积网络威胁。
5 下一代智能防火墙的架构
5.1 硬件架构
传统的ARM架构存在硬件拓展能力差运算效率低等问题已经不是市场上的主流,而下一代智能防火墙采用X86的硬件结构不仅可以实时灵活地拓展硬件资源同时架构的改变增加了运算的速度,智能防火墙的模块结构增多必须伴随更多的“大脑”进行配合运算才能最大地优化数据安全的效果。
采用CPU+ASIC融合硬件架構,CPU处理连接的新建与维护等功能,多组ASIC芯片[5]处理应用识别和安全检查。在应用层防护功能全部开启的情况下,CPU利用率依然保持正常范围,不影响网络层安全的处理性能。强劲的融合架构,不仅提高了数据转发的效率,也保障了应用层安全防护的性能。
5.2 软件平台架构
软件平台的架构也不是单一的五元组进行数据分析,打破了单一的网络壁垒形成群集性的安全防护是下一代防火墙的独特特性,在网络中形成一个“安全中心”的概念,多中心多联动多防护的特点保护数据安全的每一个角落,软件平台不仅是靠模块的堆积更需要性能的优化和设备之间的配合。
软件平台的升级极大增加了运算性能而且对数据识别和防护采用零信任的机制做到自动处置及时通告和联动。
6 结束语
军队信息化的建设不是靠设备的堆积而是设备的智能联防联动,下一代智能防火墙在网络边界的重要位置是首先接触威胁数据的设备起着重要的作用,传统的防护形式已经不能满足多样化的安全威胁,安全威胁不仅仅只来自互联网,也可能来自内部网络,那么下一代智能防火墙则是把好网络大门的第一关,NGFW实现了基于传统防火应有的特点同时依靠模块的联动和扩展使数据包的过滤变得更加细粒度,同时配合其他安全设备的防护变得更加立体,并且日志的可视化可以快速地定位安全问题出现的时间、事件内容、触发的防护模块、信息内容以及命中的防护策略。
设备成本方面也大大减少了设备的数量,下一代防火可以实现多设备功能的集合统一使功能的配合更加密切和无缝连接。
军队信息安全是关乎国家和人民命运的,信息安全在当下的时代中更为重要,在日益突出的国际矛盾问题上做好军队信息化的防护和加强防患于未然既是重中之重也是国家的安全保障。
参考文献:
[1] 陈志忠.下一代防火墙(NGFW)特性浅析[J].网络安全技术与应用,2017(10):21-22.
[2] 赵旭辉,刘江辉.探析下一代防火墙安全特征及发展趋势[J].信息与电脑(理论版),2013(22):152-154.
[3] 李洪亮.防火墙部署模式的研究与实现[J].信息与电脑(理论版),2013(18):71-72.
[4] 邱远兴.浅谈下一代防火墙的发展趋势[J].网络与信息,2012,26(4):68-69.
[5] 王华.防火墙发展趋势研究[J].软件导刊,2008,7(1):132-133.
【通联编辑:谢媛媛】